17Aug
Jaunā UEFI Secure Boot sistēma Windows 8 ir radījusi vairāk nekā tā taisnīgu daļu neskaidrības, it īpaši starp dubultā booters. Lasiet tālāk, jo mēs noskaidrojam nepareizos priekšstatus par dubultā booting ar Windows 8 un Linux.
Šodienas jautājums &Atbildes sesija mums priecājas par SuperUser - Stack Exchange, kas ir kopienas un Q & A tīmekļa vietņu grupa.
Jautājums
SuperUser lasītājs Harsha K ir interesanti par jauno UEFI sistēmu. Viņš raksta:
Es esmu dzirdējis daudz par to, kā Microsoft ievieš UEFI Secure Boot operētājsistēmā Windows 8. Acīmredzot tas novērš "neautorizētu" bootloaders darbu pie datora, lai novērstu ļaunprātīgu programmatūru. Bezmaksas programmatūras fonds ir veicis kampaņu pret drošu boot, un daudzi cilvēki ir teikuši tiešsaistē, ka Microsoft to var "sagrābt", lai "likvidētu bezmaksas operētājsistēmas".
Ja man jau ir instalēts Windows 8 un Secure Boot dators, vai joprojām varu instalēt Linux( vai kādu citu OS) vēlāk? Vai arī dators ar drošu sāknēs darbojas tikai kopā ar Windows?
Tātad, kāds ir darījums? Vai dubultā booters patiešām nav veiksmi?
Atbilde
SuperUser atbalstītājs Nathan Hinkle piedāvā fantastisku pārskatu par to, kas ir un kas nav UEFI:
Pirmkārt, vienkārša atbilde uz jūsu jautājumu:
- Ja jums ir ARM planšetdators ar operētājsistēmu Windows RT( piemēram, Surface RT vaiAsus Vivo RT), pēc tam jūs nevarēsit atspējot Secure Boot vai instalēt citas operētājsistēmas .Tāpat kā daudzas citas ARM tabletes, šīs ierīces tikai palaist OS, ar kuru tās nāk.
- Ja jums ir ne-ARM dators ar operētājsistēmu Windows 8( piemēram, Surface Pro vai jebkuru no neskaitāmajiem ultrabooks, galddatoriem un planšetdatoriem ar x86-64 procesoru), tad jūs varat atspējot drošo sāknēšanas darbību pilnībā vai arī jūs varatinstalējiet savas atslēgas un parakstiet savu bootloader. Katrā ziņā, jūs varat instalēt trešās puses operētājsistēmu, piemēram, Linux distro vai FreeBSD vai DOS, vai kāds, kas jums patīk.
Tagad uz informāciju par to, kā patiešām darbojas šī visa drošā sāknēšanas lieta. Par drošo boot ir daudz nepatiesas informācijas, īpaši no Brīvās programmatūras fonda un līdzīgām grupām. Tas ir apgrūtinājis atrast informāciju par to, ko droši sāk darīt, tāpēc es centīšos izskaidrot.Ņemiet vērā, ka man nav personīgas pieredzes, izstrādājot drošas boot sistēmas vai tamlīdzīgu;tas ir tieši tas, ko esmu iemācījies lasīt tiešsaistē.
Pirmkārt, Secure Boot ir nevis kaut kas, ko Microsoft nāca klajā ar. Viņi pirmie plaši īsteno to, bet viņi to neraudēja. Tā ir daļa no UEFI specifikācijas, kas būtībā ir jaunāka vecās BIOS nomaiņa, kuru jūs, iespējams, izmantojāt. UEFI būtībā ir programmatūra, kas runā starp OS un aparatūru. UEFI standartus veido grupa "UEFI forums", kurā ietilpst skaitļošanas nozares pārstāvji, tostarp Microsoft, Apple, Intel, AMD un nedaudzi datoru ražotāji.
Otrais vissvarīgākais punkts, , kurā datorā ir iespējota drošā sāknēšana, nav , nozīmē, ka dators nekad nevar startēt citu operētājsistēmu .Patiesībā Microsoft pašu Windows aparatūras sertifikācijas prasības nosaka, ka sistēmām, kas nav ARM, jums jābūt iespējai gan atspējot drošo sāknēšanas funkciju, gan mainīt taustiņus( lai atļautu citas operētājsistēmas).Vairāk par to vēlāk, lai gan.
Ko dara drošā sāknēšana?
Būtībā tā neļauj ļaunprātīgai programmatūrai uzbrukt jūsu datoram, izmantojot sāknēšanas secību.Ļaunprātīgo programmatūru, kas ieplūst bootloader, var būt ļoti grūti atklāt un apturēt, jo tā var iekļūt operētājsistēmas zemā līmenī, saglabājot to neredzamu pretvīrusu programmatūrai. Viss, ko drošā sāknēšana patiešām notiek, ir tas, vai tiek pārbaudīts, vai bootloader ir no uzticama avota un ka tas nav ticis manipulēts ar to. Padomā par to, tāpat kā pudeles, kurās ir uznirstošie uzgaļi, kas saka: "neatveras, ja ir izvilkts vāks vai ir izmainīts zīmogs".
Aizsardzības augstākajā līmenī jums ir platformas atslēga( PK).Jebkurai sistēmai ir tikai viena PK, un to ražotājs ir uzstādījis OEM.Šo atslēgu izmanto, lai aizsargātu KEK datu bāzi. KEK datu bāzē ir atslēgu apmaiņas atslēgas, kuras tiek izmantotas, lai mainītu citas drošās sāknēšanas datubāzes. Var būt vairāki KEK.Toreiz ir trešais līmenis: autorizētā datu bāze( db) un aizliegtā datu bāze( dbx).Tie satur attiecīgi informāciju par sertifikātu iestādēm, papildu kriptogrāfijas taustiņiem un UEFI ierīču attēliem. Lai bootloader būtu atļauts palaist, tam jābūt kriptogrāfiski parakstītam ar taustiņu, kas ir db, un nav dbx.
attēls no ēkas Windows 8: iepriekšējās OS vides aizsardzība ar UEFI
Kā tas darbojas uz reālām Windows 8 sertificētajām sistēmām
OEM ģenerē savu PK un Microsoft nodrošina KEK, ka OEM ir nepieciešama iepriekšēja operētājsistēma,ielādēt KEK datu bāzē.Pēc tam Microsoft paraksta Windows 8 bootloader un izmanto to KEK, lai nodotu šo parakstu autorizētajā datubāzē.Kad UEFI uzņem datoru, tas pārbauda PK, pārbauda Microsoft KEK un pēc tam pārbauda bootloader. Ja viss izskatās labi, OS var palaist.
attēls no ēkas Windows 8: pre-OS vides aizsargāšana ar UEFI
Kur notiek trešās puses operētājsistēmas, piemēram, Linux?
Vispirms jebkurš Linux disks varēja izvēlēties ģenerēt KEK un lūgt OEM tās iekļaut KEK datubāzē pēc noklusējuma. Viņi tad tikpat daudz kontrolētu sāknēšanas procesu, kā to dara Microsoft. Problēmas ar to, kā paskaidroja Fedora Matthew Garrett, ir tādi, ka a) katram datoru ražotājam ir grūti iekļaut Fedora atslēgu un b) tas būtu negodīgi attiecībā pret citiem Linux distribūtiem, jo to atslēga netiktu iekļauta, jo mazākiem distros nav tik daudz OEM partnerattiecību.
Ko Fedora ir izvēlējies darīt( un citos distros pēc tam tiek piemērots) ir izmantot Microsoft parakstīšanas pakalpojumus. Saskaņā ar šo scenāriju Verisign( sertifikācijas iestāde, kuru izmanto Microsoft) maksā $ 99 un piešķir izstrādātājiem iespēju parakstīt savu bootloader, izmantojot Microsoft KEK.Tā kā Microsoft KEK jau būs lielākajā daļā datoru, tas ļaus viņiem parakstīt savu bootloader, lai izmantotu Secure Boot, neprasot savu KEK.Tas vairs nav saderīgs ar vairākiem datoriem, un izmaksas ir mazāk kopīgas nekā to, kā izveidot savu atslēgu parakstīšanas un izplatīšanas sistēmu. Iepriekš minētā emuāra ziņā ir vairāk detaļas par to, kā tas darbosies( izmantojot GRUB, parakstītos kodola moduļus un citu tehnisko informāciju), ko es ieteiktu izlasīt, ja jūs interesē šāda veida lieta.
Pieņemsim, ka nevēlaties tikt galā ar Microsoft sistēmas pierakstīšanos vai nevēlas samaksāt 99 ASV dolārus vai arī vienkārši izlikties par lielām korporācijām, kas sākas ar M. Tur ir vēl viena iespēja joprojām izmantot SecureIelādējiet un palaidiet operētājsistēmu, kas nav Windows. Microsoft aparatūras sertifikācija pieprasa , ka OEM ļauj lietotājiem ievadīt savu sistēmu UEFI "custom" režīmā, kur viņi var manuāli modificēt Secure Boot datubāzes un PK.Sistēmu var ievietot UEFI iestatīšanas režīmā, kur lietotājs pat varētu norādīt savu PK un parakstīt bootloaders paši.
Turklāt Microsoft pašas sertifikācijas prasības padara OEM obligātu pienākumu iekļaut metodi, lai atspējotu Secure Boot ne ARM sistēmās. Jūs varat izslēgt drošo boot! Vienīgās sistēmas, kurās jūs nevarat atspējot Secure Boot, ir ARM sistēmas, kurās darbojas Windows RT, kas darbojas līdzīgi kā iPad, kur nevar ielādēt pielāgotās operētājsistēmas. Lai gan es vēlos, lai būtu iespējams mainīt operētājsistēmu ARM ierīcēs, ir godīgi teikt, ka Microsoft šajā nozarē ievēro nozares standartus attiecībā uz planšetdatoriem.
Tātad drošs boot nav pēc būtības ļauns?
Tāpēc, kā jūs cerams redzēt, Secure Boot nav ļauna, un to neierobežo tikai lietošana kopā ar Windows. Iemesls, kādēļ FSF un citi ir tik satraukti par to, jo tas papildina papildu pasākumus, lai izmantotu trešās puses operētājsistēmu. Linux diskos, iespējams, nepatīk maksāt, lai izmantotu Microsoft atslēgu, bet tas ir vieglākais un izmaksu ziņā efektīvākais veids, kā iegūt drošu sāknēšanas programmu, kas darbojas Linux. Par laimi, droši startēt ir viegli ieslēgt, un, iespējams, pievienot dažādus atslēgas, tādējādi izvairoties no nepieciešamības rīkoties ar Microsoft.
Ņemot vērā arvien pieaugošo ļaundabīgo programmu daudzumu, Secure Boot šķiet saprātīga ideja. Tas nav domāts kā ļaunais uzmetums, lai pārņemtu pasauli, un tas ir daudz mazāk biedējošs, nekā jūs domājat par dažiem bezmaksas programmatūras pundits.
Papildu nolasījums:
- Microsoft aparatūras sertifikācijas prasības
- Windows 8 ēka: pre-OS vides aizsardzība ar UEFI
- Microsoft prezentācija par drošu boot ieviešanu un atslēgu pārvaldību
- Īstenojot UEFI Secure Boot Fedora
- TechNet drošā sāknēšanas pārskats
- Wikipedia article par UEFI
TL; DR: Secure boot novērš ļaundabīgo programmu inficē jūsu sistēmu zemā, nenosakāmā līmenī boot laikā.Ikviens var izveidot vajadzīgās atslēgas, lai tas darbotos, taču ir grūti pārliecināt datoru veidotājus izplatīt savu atslēgu ikvienam, tādēļ jūs varat arī izvēlēties maksāt Verisign, lai izmantotu Microsoft atslēgu, lai parakstītu bootloaders un veiktu to darbību. Varat arī atspējot Secure Boot uz jebkuru bez ARM datora.
Pēdējā doma, kas attiecas uz FSF kampaņu pret drošu boot: dažas no viņu bažām( t.i., tas padara grūtāku , lai instalētu bezmaksas operētājsistēmas) ir derīgas uz punktu .Uzstādot, ka ierobežojumi "neļaus ikvienam boilerizēt kaut ko, bet Windows", ir redzams, ka tas ir nepareizs iepriekš minēto iemeslu dēļ.Aktivizēšana pret UEFI / Secure Boot kā tehnoloģija ir īslaicīga, nepareizi informēta un visticamāk nebūs efektīva. Ir svarīgi nodrošināt, ka ražotāji faktiski ievēro Microsoft prasības, kas ļauj lietotājiem atspējot drošo sāknēšanas darbību vai mainīt atslēgas, ja viņi to vēlas.
Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem?Šeit skatiet pilnu diskusiju pavedienu.
![Bezmaksas lejupielāde pirmajiem 1000 lasītājiem: Mobile Video Converter un failu pārvaldnieks [Sponsorēts]](/f/8cf294f038388d2fd22c6fbcc3ba1fc3.jpg?width=150&height=150)