17Aug
החדש UEFI Secure Boot מערכת ב- Windows 8 גרמה יותר מאשר נתח הוגן של בלבול, במיוחד בקרב booters כפול.המשך לקרוא כפי שאנו לנקות את misconceptions על אתחול כפול עם Windows 8 ו- Linux.
שאלה של היום &מפגש תשובה מגיע אלינו באדיבות SuperUser - חלוקה של סטאק שערי, קהילה מונחה קיבוץ של Q & אתרי אינטרנט.
השאלה
SuperUser הקורא Harsha K הוא סקרן לגבי מערכת UEFI חדש.הוא כותב:
שמעתי הרבה על האופן שבו מיקרוסופט מיישמת את ה- UEFI Secure Boot ב- Windows 8. נראה שהיא מונעת מאתחלי Boot לא מורשים לפעול במחשב, כדי למנוע תוכנות זדוניות.יש קמפיין של קרן התוכנה החופשית נגד אתחול מאובטח, והרבה אנשים היו אומרים באינטרנט כי זה "לתפוס כוח" על ידי מיקרוסופט כדי "לחסל את מערכות ההפעלה החופשית".
אם אני מקבל מחשב עם Windows 8 ו - Secure Boot מותקן מראש, האם אני עדיין יוכל להתקין לינוקס( או מערכת הפעלה אחרת) מאוחר יותר?או האם מחשב עם אתחול מאובטח רק פעם לעבוד עם Windows?
אז מה העסקה?האם Booters כפול באמת מזל?
תשובה
SuperUser תרומה Nathan Hinkle מציעה סקירה נהדרת של מה UEFI הוא לא:
קודם כל, התשובה הפשוטה לשאלה שלך:
- אם יש לך לוח ARM פועל Windows RT( כמו משטח RT אוAsus Vivo RT), אז לא תוכל לבטל את Secure Boot או להתקין מערכות הפעלה אחרות .כמו טבליות ARM רבות אחרות, התקנים אלה רק להפעיל את מערכת ההפעלה הם באים עם.
- אם ברשותך מחשב ללא ARM פועל עם Windows 8( כמו ה- Surface Pro או כל אחד מה- ultrabooks הרבים, שולחנות העבודה והטאבלטים עם מעבד x86-64), אז תוכל להשבית את Secure Boot לחלוטין , או שתוכללהתקין את המפתחות שלך ולחתום על האתחול שלך.כך או כך, ניתן להתקין מערכת הפעלה של צד שלישי כמו לינוקס או FreeBSD או DOS או מה שמענג אותך.
עכשיו, על הפרטים של איך זה כל דבר אתחול מאובטח באמת עובד: יש הרבה מידע שגוי על Secure Boot, במיוחד מן התוכנה חופשית קרן וקבוצות דומות.זה עשה את זה קשה למצוא מידע על מה בטוח מאובטח באמת עושה, אז אני אנסה כמיטב יכולתי להסביר.שים לב שאין לי שום ניסיון אישי בפיתוח מערכות אתחול מאובטח או משהו כזה;זה בדיוק מה שלמדתי מקריאת באינטרנט.
קודם כל, Secure Boot הוא לא משהו כי מיקרוסופט הגיע עם. הם הראשונים ליישם את זה, אבל הם לא המציאו את זה.זה חלק מפרט UEFI, שהוא בעצם תחליף חדש יותר עבור ה- BIOS הישן כי אתה כנראה רגיל.UEFI היא בעצם התוכנה שמדברת בין מערכת ההפעלה לבין החומרה.תקני UEFI נוצרים על ידי קבוצה בשם "פורום UEFI", המורכב מנציגי תעשיית המחשוב, כולל מיקרוסופט, אפל, אינטל, AMD וקומץ יצרני מחשבים.
הנקודה השנייה החשובה ביותר, לאחר Secure Boot מופעל במחשב האם לא אומר כי המחשב לא יכול לעולם אתחול כל מערכת הפעלה אחרת .למעשה, דרישות החומרה של Windows Windows Certified Certification מציינות כי עבור מערכות שאינן ARM, עליך להיות מסוגל לבטל את Secure Boot ולשנות את המקשים( כדי לאפשר מערכות הפעלה אחרות).עוד על זה מאוחר יותר.
מה עושה אתחול מאובטח?
בעיקרון, הוא מונע מתוכנות זדוניות לתקוף את המחשב שלך באמצעות רצף האתחול.תוכנה זדונית שנכנסת דרך האתחול יכולה להיות קשה מאוד לאתר ולהפסיק, כי זה יכול לחדור פונקציות ברמה נמוכה של מערכת ההפעלה, שמירה על זה בלתי נראה תוכנות אנטי וירוס.כל האתחול המאובטח באמת עושה את זה הוא מוודא כי האתחול הוא ממקור מהימן, וכי זה לא טופל עם.תחשוב על זה כמו קופצים קופצים על בקבוקים שאומרים "לא לפתוח אם מכסה הוא צץ למעלה או חותם כבר טופלו".
ברמה העליונה של ההגנה, יש לך את מפתח הפלטפורמה( PK).יש רק אחד PK על כל מערכת, והוא מותקן על ידי OEM במהלך הייצור.מפתח זה משמש להגנה על מסד הנתונים של KEK.מסד הנתונים של KEK מכיל Key Keys, המשמשים לשינוי מסדי הנתונים האתחוליים המאובטחים האחרים.לא יכול להיות מספר KEKs.יש אז רמה שלישית: מסד הנתונים המורשה( db) ואת Datbase האסורה( dbx).אלה מכילים מידע על רשויות אישורים, מפתחות הצפנה נוספים ותמונות התקן UEFI כדי לאפשר או לחסום, בהתאמה.על מנת לאפשר את הפעלת מנהל האתחול, עליו להיות חתום בכתב קריפטוגרפי עם מפתח הוא ב db, הוא לא ב dBx.
תמונה מתוך בניין Windows 8: הגנה על הסביבה לפני OS עם UEFI
איך זה עובד על העולם האמיתי Windows 8 מערכת מאושרת
OEM מייצר משלה PK, ומיקרוסופט מספקת KEK כי OEM נדרש מראש,לטעון לתוך מסד הנתונים של KEK.לאחר מכן מיקרוסופט חותמת על Windows 8 Bootloader, ומשתמשת ב- KEK כדי לשים חתימה זו במסד הנתונים המורשה.כאשר UEFI מאתחל את המחשב, הוא מאמת את ה- PK, מאמת את KEK של Microsoft ולאחר מכן מאמת את מנהל האיתחול.אם הכל נראה טוב, אז מערכת ההפעלה יכולה אתחול.
תמונה מתוך בניין Windows 8: הגנה על הסביבה לפני OS עם UEFI
איפה מערכות הפעלה של צד שלישי, כמו לינוקס, באים?
ראשית, כל הפצת לינוקס יכולה לבחור ליצור KEK ולבקש מעובדי OEM לכלול אותו במסד הנתונים של KEK כברירת מחדל.אז הם היו כל כך הרבה שליטה על תהליך האתחול כמו מיקרוסופט עושה.הבעיות עם זה, כפי שהוסבר על ידי מתיו גארט של פדורה, הן כי) יהיה קשה לקבל כל יצרן מחשב שיכלול את המפתח של פדורה, ו) ב לא יהיה זה הוגן לגבי הפצות לינוקס אחרות, כי המפתח שלהן לא ייכלל, מאז distros קטן אין כמו שותפויות OEM רבים.
מה פדורה בחרה לעשות( ו distros אחרים הם הבאים חליפה) היא להשתמש בשירותי החתימה של מיקרוסופט.תרחיש זה מחייב תשלום של $ 99 ל- Verisign( רשות האישורים המשמשת את Microsoft), ומעניק למפתחים את היכולת לחתום על מנהל האתחול שלהם באמצעות KEK של מיקרוסופט.מאז KEK של מיקרוסופט יהיה כבר ברוב המחשבים, זה מאפשר להם לחתום על האתחול שלהם להשתמש Secure Boot, ללא צורך KEK משלהם.זה בסופו של דבר להיות תואם יותר עם מחשבים נוספים, ועלות פחות הכולל מאשר להתמודד עם הגדרת החתימה שלהם מפתח מערכת ההפצה.יש עוד כמה פרטים על איך זה יעבוד( באמצעות GRUB, חתום מודולים Kernel, ופרטים טכניים אחרים) בפוסט בבלוג הנ"ל, אשר אני ממליץ לקרוא אם אתה מעוניין בסוג זה של דבר.
נניח שאתה לא רוצה להתמודד עם הטרחה של ההרשמה למערכת של מיקרוסופט, או לא רוצה לשלם 99 $, או פשוט יש טינה נגד תאגידים גדולים שמתחילים עם מ 'יש עוד אפשרות עדיין להשתמש Secureאתחול ולהפעיל מערכת הפעלה אחרת מאשר Windows.אישור החומרה של מיקרוסופט דורש כי יצרני OEM מאפשרים למשתמשים להיכנס למערכת שלהם במצב "מותאם אישית" של UEFI, שם הם יכולים לשנות באופן ידני את מאגרי ה- Secure Boot ואת ה- PK.המערכת ניתן לשים לתוך מצב ההתקנה UEFI, שבו המשתמש יכול אפילו לציין PK שלהם, ולחתום את האתחול עצמם.
בנוסף, דרישות ההסמכה של מיקרוסופט עצמה מחייבות את יצרני ציוד מקורי לכלול שיטה להשבית Secure Boot במערכות שאינן ARM. ניתן לבטל את אתחול מאובטח! המערכות היחידות שבהן לא ניתן להשבית את Secure Boot הן מערכות ARM שבהן פועל Windows RT, הפונקציה דומה יותר ל- iPad, שבה לא ניתן לטעון מערכות הפעלה מותאמות אישית.למרות שאני רוצה שזה יהיה אפשרי לשנות את מערכת ההפעלה על התקני ARM, זה הוגן לומר כי מיקרוסופט עוקבת אחר תקן התעשייה לגבי טבליות כאן.
אתחול מאובטח כל כך לא רע?
אז כמו שאתה יכול אני מקווה לראות, אתחול מאובטח הוא לא רע, והוא אינו מוגבל רק לשימוש עם Windows.הסיבה FSF ואחרים כה כועסים על זה כי זה עושה להוסיף צעדים נוספים באמצעות מערכת ההפעלה של צד שלישי.Linux distros אולי לא אוהב לשלם כדי להשתמש במפתח של מיקרוסופט, אבל זה הדרך הקלה ביותר וחסכונית ביותר להשיג עבודה מאובטח Secure עבור לינוקס.למרבה המזל, קל להפעיל את אתחול מאובטח, אפשר להוסיף מפתחות שונים, ובכך למנוע את הצורך להתמודד עם מיקרוסופט.
בהתחשב בכמות התוכנות הזדוניות המתקדמות, Secure Boot נראה כמו רעיון סביר.זה לא אמור להיות מזימה רעה להשתלט על העולם, וזה הרבה פחות מפחיד מאשר כמה pundits תוכנה חופשית יהיה לך להאמין.
- דרישות הסמכה של חומרה של Windows
- בניית Windows 8: הגנה על הסביבה שקדמה להפעלה עם מצגת UEFI
- Microsoft על פריסת אתחול מאובטח וניהול מקשים
- יישום UEFI Secure Boot ב- Fedora
- סקירה כללית של TechNet Secure Boot סקירה
- מאמר ב- Wikipedia על UEFI
TL: DR: אתחול מאובטח מונע תוכנות זדוניות להדביק את המערכת שלך ברמה נמוכה, בלתי ניתנים לגילוי במהלך האתחול.כל אחד יכול ליצור את המפתחות הדרושים כדי שזה יעבוד, אבל קשה לשכנע את יצרני המחשבים להפיץ את המפתח שלך ל - מפתח , כך שתוכל לבחור לשלם ל- Verisign כדי להשתמש במפתח של Microsoft כדי לחתום על האתחול ולהפוך אותם לעבודה. באפשרותך גם להשבית את המארח המאובטח ב- בכל מחשב שאינו ISM.
מחשבה אחרונה, בנוגע למסע הבחירות של FSF נגד אתחול מאובטח: חלק מהחששות שלהם( כלומר, זה עושה את זה קשה יותר להתקין מערכות הפעלה חינם) תקפים לנקודה .אומר כי ההגבלות יהיה "למנוע מאיש לאתחל שום דבר מלבד Windows" הוא שקר להפגין אם כי, מן הסיבות מאויר לעיל.קמפיין נגד UEFI / Secure Boot כטכנולוגיה הוא קצר רואי, misinformed, וכן סביר להיות יעיל בכל מקרה.חשוב יותר לוודא כי היצרנים בפועל בצע את הדרישות של מיקרוסופט לתת למשתמשים להשבית את Secure Boot או לשנות את המפתחות אם הם רוצים.
יש לך מה להוסיף להסבר?נשמע את ההערות.רוצה לקרוא תשובות נוספות ממשתמשים אחרים בעלי ידע טכנולוגי?בדוק את נושא הדיון המלא כאן.