17Aug

Jei aš nusipirkau kompiuterį su "Windows 8" ir "Secure boot", ar galiu vis dar įdiegti "Linux"?

Nauja "UEFI" saugaus paleidimo sistema sistemoje "Windows 8" sukėlė daugiau negu jo sąžininga dalis, ypač tarp dviejų "booters".Perskaitykite, kai išsiaiškiname klaidingą supratimą apie dvigubą paleidimą naudodami "Windows 8" ir "Linux".

Šiandienos klausimas &Atsakymų sesija ateina pas mus iš "SuperUser" - "Stack Exchange", bendruomenės pagrįstos "Q & A" svetainių grupės pasidalijimo.

Klausimas

SuperUser skaitytojas Harsha K smalsu apie naują UEFI sistemą.Jis rašo:

Aš girdėjau daug apie tai, kaip "Microsoft" įdiegė "UEFI" saugią įkėlimo sistemą "Windows 8". Matyt, ji neleidžia "neįgaliesiems" paleidžiamiesiems įrenginiams veikti kompiuteryje, kad būtų užkirstas kelias kenkėjiškoms programoms."Free Software Foundation" kampanija yra skirta saugiam įkėlimui, o daugelis žmonių sako internete, kad tai "Microsoft" sugebėjimas "pašalinti nemokamas operacines sistemas".

Jei aš iš anksto įdiegiu "Windows 8" ir "Secure Boot" kompiuterį, ar vis tiek galėsiu įdiegti "Linux"( arba kai kurios kitos OS) vėliau? Ar kompiuteris su "Secure Boot" visada dirba su "Windows"?

Taigi koks yra sandoris? Ar dvigubos booters tikrai iš sėkmės?

Atsakymas

SuperUser autorius Nathan Hinkle siūlo fantastišką apžvalgą apie tai, kas yra UEFI ir ar ne:

Visų pirma paprastas atsakymas į jūsų klausimą:

  • Jei turite "ARM" plokštę su "Windows RT"( pvz., "Surface RT" arba "Asus Vivo RT), tuomet negalėsite išjungti "Secure Boot" arba įdiegti kitas operacines sistemas. Kaip ir daugelis kitų ARM plokščių, šie įrenginiai tik paleidžia OS, su kuria jie ateina.
  • Jei turite ne "ARM" kompiuterį , kuriame veikia "Windows 8"( pvz., "Surface Pro" ar bet kurio iš daugybės ultrabooks, stalinių kompiuterių ir planšetinių kompiuterių su x86-64 procesoriumi), tada galite visiškai išjungti "Secure Boot" visiškai arba galiteįdiekite savo raktus ir pasirašykite savo bootloader. Bet kuriuo atveju, galite įdiegti trečiosios šalies operacinę sistemą, pvz., Linux distribuciją arba "FreeBSD" arba "DOS", arba kas nori.

Dabar, išsami informacija apie tai, kaip iš tikrųjų veikia visa "Secure Boot" programa: yra daug dezinformacijos apie "Secure Boot", ypač iš "Free Software Foundation" ir panašių grupių.Dėl to sunku rasti informacijos apie tai, ką tikrai užtikrina "Secure Boot", todėl stengiuosi viską paaiškinti. Atkreipkite dėmesį, kad neturiu asmeninės patirties kuriant saugias įkrovos sistemas ar panašiai;tai tik tai, ką išmokau skaityti internete.

Visų pirma, Secure Boot yra , o ne kažkas, ką Microsoft atsirado. Jie pirmieji plačiai jį įgyvendina, bet jie to nesukūrė.Tai yra UEFI specifikacijos dalis, kuri iš esmės yra naujesnė senosios BIOS, kuria jūs tikriausiai naudojote, pakaitalas. UEFI iš esmės yra programinė įranga, kuri palaiko ryšį tarp OS ir aparatine įranga. UEFI standartus sukuria grupė "UEFI forumas", kurią sudaro skaičiavimo pramonės atstovai, įskaitant "Microsoft", "Apple", "Intel", "AMD" ir keletas kompiuterių gamintojų.

Antrasis svarbiausias dalykas, kai turi kompiuterį įjungtą saugią įkėlą, ne reiškia, kad kompiuteris niekada negali paleisti jokios kitos operacinės sistemos .Iš tiesų, "Microsoft" pačių "Windows" aparatūros sertifikavimo reikalavimai nurodo, kad ne ARM sistemoms privalote turėti galimybę išjungti saugią įkrovą ir pakeisti raktus( leisti kitoms operacinėms sistemoms).Daugiau apie tai vėliau, nors.

Ką veikia "Secure Boot"?

Iš esmės, ji neleidžia kenkėjiškoms programoms atakuoti kompiuterio per įkrovos seka. Kenkėjišką programą, įeinančią į paleidžiamąjį paleidžiamąjį įrenginį, gali būti labai sudėtinga aptikti ir sustabdyti, nes ji gali įsiskverbti į žemo lygio operacinės sistemos funkcijas, nes ji yra nematoma antivirusinei programinei įrangai. Visa tai saugi įkėla yra tai, ar ji patikrina, ar paleidėjas yra iš patikimo šaltinio ir ar jis nebuvo pažeistas. Pagalvokite apie tai, kaip iššokantys dangteliai ant butelių, kurie sako: "neatidarinėkite, jei dangtelis pasirodys arba sugadinta plomba".

Aukščiausia apsaugos lygis yra platformos raktas( PK).Bet kurioje sistemoje yra tik viena PK, o gamintojas ją įdiegė OEM.Šis raktas naudojamas KEK duomenų bazės apsaugai. KEK duomenų bazėje saugomi pagrindiniai rakto klavišai, kurie naudojami kitų saugių įkrovos duomenų bazių modifikavimui. Gali būti keletas KEK.Tada yra trečiasis lygis: įgaliota duomenų bazė( db) ir uždrausta duomenų bazė( dbx).Juose pateikiama atitinkama informacija apie sertifikatų įstaigas, papildomus kriptografinius raktus ir UEFI įrenginių vaizdus. Kad įkrovos tvarkyklė būtų leidžiama paleisti, ji turi būti kriptografiškai pasirašyta su raktą, kad yra db, o nėra dbx.

vaizdas iš pastato "Windows 8": "pre-OS" aplinkos apsauga naudojant "UEFI

" Kaip tai veikia realiame "Windows 8" sertifikuotoje sistemoje

"OEM" sukuria savo PK, o "Microsoft" teikia "KEK", kad OEM reikalaujama,įkelti į KEK duomenų bazę.Tada "Microsoft" pasirašo "Windows 8" paleidyklę ir savo KEK naudoja šį parašą įgaliotajame duomenų baze. Kai UEFI baksuoja kompiuterį, jis patikrina PK, tikrina Microsoft KEK, tada patikrina įkrovos tvarkyklę.Jei viskas atrodo gerai, tada OS gali paleisti.


vaizdas iš pastato "Windows 8": "Pre-OS" aplinkos apsauga su "UEFI

". Kur yra trečiųjų šalių OS, pvz., "Linux"?

Pirma, bet kuris "Linux" distribukas galėjo pasirinkti kurti KEK ir paprašyti OEM jas įtraukti į KEK duomenų bazę pagal nutylėjimą.Tada jie turėtų kiek įmanoma daugiau kontroliuoti paleidimo procesą, kaip tai daro "Microsoft".Šios problemos, kaip paaiškino Fedora "Matthew Garrett", yra tai, kad a) būtų sunku kiekvieną kompiuterio gamintoją įtraukti "Fedora" raktą ir b) būtų nesąžininga kitoms "Linux" distribucijoms, nes jų raktas nebūtų įtrauktas, nes mažesniuose distrosuose nėra tiek daug OEM partnerystės.

Ką nusprendė padaryti Fedora( ir kiti platintojai), tai naudoti "Microsoft" pasirašymo paslaugas.Šis scenarijus reikalauja sumokėti $ 99 Verisign( sertifikavimo tarnyboje, kurią naudoja "Microsoft"), ir suteikia kūrėjams galimybę pasirašyti jų paleidyklę naudodami "Microsoft KEK".Kadangi "Microsoft KEK" jau bus daugelyje kompiuterių, tai leidžia jiems pasirašyti savo įkrovos tvarkyklę, kad būtų galima naudoti "Secure Boot", nereikalaujant savo KEK.Tai galų gale yra labiau suderinama su daugiau kompiuterių, o išlaidos yra mažesnės nei bendros raktų pasirašymo ir paskirstymo sistemos sukūrimas. Yra daugiau informacijos apie tai, kaip tai veiks( naudojant GRUB, pasirašytus branduolio modulius ir kitą techninę informaciją) minėtame tinklaraščio įraše, kurį rekomenduoju skaityti, jei jus domina tokio pobūdžio dalykas.

Tarkime, kad nenorite susidoroti su "Microsoft" sistemos užsiregistravimu arba nenori mokėti 99 dolerių arba tiesiog kankintis didelėms korporacijoms, kurios prasideda M. Taip pat yra dar viena galimybė vis dar naudoti "Secure"Įkelkite ir paleiskite kitą nei "Windows" OS."Microsoft" aparatinės įrangos sertifikate reikalingas , kad OEM leidžia vartotojams patekti į savo sistemą į "custom" režimą UEFI, kur jie gali rankiniu būdu keisti "Secure Boot" duomenų bazes ir PK.Sistema gali būti įdiegta į UEFI sąrankos režimą, kur vartotojas galėtų net nurodyti savo PK ir pats pasirašyti įkrovos tvarkykles.

Be to, pagal "Microsoft" paties sertifikavimo reikalavimus gamintojams OEM privaloma įtraukti metodą, skirtą "Secure Boot" išjungimui ne ARM sistemose. Jūs galite išjungti saugią įkrovą! Vienintelės sistemos, kuriose negalite išjungti "Secure Boot", yra "ARM" sistemos, kuriose veikia "Windows RT", kurios veikia panašiau kaip iPad, kur negalima įkelti tinkintų OS.Nors aš norėčiau, kad būtų galima pakeisti OS į ARM įrenginius, teisingai sakoma, kad "Microsoft" laikosi šiame sektoriuje taikomų standartų dėl planšetinių kompiuterių.

Taigi saugus įkrovimas iš esmės nėra blogas?

Taigi, kaip tikimės pamatyti, "Saugi įkrova" nėra bloga ir neapsiriboja tik "Windows" naudojimu. Priežastis, dėl kurios FSF ir kiti yra tokie nuliūdę, yra tai, kad ji papildomai įtraukia trečiosios šalies operacinės sistemos naudojimo veiksmus."Linux distros" gali nenorėti mokėti naudoti "Microsoft" raktą, tačiau tai paprasčiausias ir ekonomiškiausias būdas "Secure Boot" sistemai "Linux" veikti. Laimei, paprasta išjungti "Secure Boot" ir įmanoma įtraukti skirtingus raktus, taip išvengiant būtinybės susidoroti su "Microsoft".

Atsižvelgiant į vis labiau pažengusių kenkėjiškų programų kiekį, "Secure Boot" atrodo pagrįsta idėja. Tai nereiškia, kad esate blogas planas perimti pasaulį ir yra daug mažiau bauginantis, kaip tikėtina, kad kai kurie nemokama programinės įrangos ekspertai.

Papildoma literatūra:

  • įranga Microsoft sertifikavimo reikalavimai
  • statybos "Windows 8": pasirengimo OS Aplinkos apsauga su UEFI
  • Microsoft pristatymą Secure Boot darbui ir raktų
  • įgyvendinimo UEFI Secure Boot Fedora
  • TechNet Secure Boot Apžvalga
  • Vikipedijos straipsnio apie UEFI

TL; DR: Saugus įkrovimas neleidžia kenkėjiškoms programoms užkrėsti savo sistemą paleisties metu esant žemam, neaptinkamam lygiui. Bet kas gali sukurti reikiamus raktus padaryti jį dirbti, bet tai sunku įtikinti kompiuterių aparatai platinti savo raktą visiems, todėl jūs galite alternatyviai pasirinkti mokėti Verisign naudoti "Microsoft" klavišą, norėdami pasirašyti savo įkrovos tvarkyklių ir padaryti juos dirbti. Taip pat galite išjungti "Secure Boot" į bet kurį ne ARM kompiuterį.

Paskutinė mintis, kalbant apie FSF kampaniją prieš saugų paleidimą: kai kurie jų rūpesčiai( pvz., sunkiau įdiegti nemokamas operacines sistemas ) galioja iki taško .Pasakydamas, kad apribojimai "užkirsti kelią bet kuriam nors paleisti bet Windows", yra akivaizdžiai klaidinga, nors dėl pirmiau minėtų priežasčių.Kampanija prieš UEFI / Secure Boot kaip technologiją yra trumparegiška, dezinformuota ir vis tiek nelabai veiksminga. Labiau svarbu užtikrinti, kad gamintojai iš tikrųjų laikytųsi "Microsoft" reikalavimų, leidžiančių vartotojams išjungti saugią įkėlą arba pakeisti raktus, jei jie to pageidauja.

Ar ką nors įtraukti į paaiškinimą?Garsas išjungtas komentaruose. Norite skaityti daugiau atsakymų iš kitų "Tech-savvy Stack Exchange" vartotojų?Patikrinkite visą diskusijų temą čia.