17Aug
Det nye UEFI Secure Boot-systemet i Windows 8 har forårsaket mer enn sin rettferdige andel av forvirring, særlig blant dual booters. Les videre når vi rydder opp misforståelsene om dual oppstart med Windows 8 og Linux.
Dagens Spørsmål &Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrevet gruppering av Q & A-nettsteder.
Spørsmålet
SuperUser-leseren Harsha K er nysgjerrig på det nye UEFI-systemet. Han skriver:
Jeg har hørt mye om hvordan Microsoft implementerer UEFI Secure Boot i Windows 8. Tilsynelatende forhindrer det at "uautoriserte" bootloaders kjører på datamaskinen for å forhindre skadelig programvare. Det er en kampanje fra Free Software Foundation mot sikker oppstart, og mange har nettopp sagt at det er en "power grip" av Microsoft for å "eliminere gratis operativsystemer".
Hvis jeg får en datamaskin som har Windows 8 og Secure Boot forhåndsinstallert, vil jeg fortsatt kunne installere Linux( eller noe annet OS) senere? Eller jobber en datamaskin med Secure Boot bare noen gang med Windows?
Så hva er avtalen? Er dual booters virkelig ute av lykke?
Svaret
SuperUser-bidragsyter Nathan Hinkle tilbyr et fantastisk overblikk over hva UEFI er og ikke er:
Først og fremst, det enkle svaret på spørsmålet ditt:
- Hvis du har en ARM-tablett som kjører Windows RT( som overflaten RT ellerAsus Vivo RT), så vil du ikke kunne deaktivere Sikker Boot eller installere andre OSes .Som mange andre ARM-tabletter, vil disse enhetene bare kjøre OS de kommer med.
- Hvis du har en ikke-ARM-datamaskin som kjører Windows 8( som Surface Pro eller noen av de myriade ultrabooks, desktops og tabletter med en x86-64 prosessor), så kan du deaktivere Secure Boot helt , eller du kaninstaller dine egne nøkler og signer din egen bootloader. Uansett, kan du installere et tredjeparts operativsystem som en Linux distro eller FreeBSD eller DOS, eller det som passer deg.
Nå, videre til detaljene om hvordan denne hele Secure Boot-funksjonen egentlig virker: Det er mye feilinformasjon om Secure Boot, spesielt fra Free Software Foundation og lignende grupper. Dette har gjort det vanskelig å finne informasjon om hva Secure Boot faktisk gjør, så jeg vil prøve mitt beste for å forklare. Legg merke til at jeg ikke har noen personlig erfaring med å utvikle sikre oppstartssystemer eller noe sånt;Dette er bare det jeg har lært av å lese online.
Først og fremst er Secure Boot ikke noe som Microsoft kom opp med. De er de første til å implementere det mye, men de fant det ikke opp. Det er en del av UEFI-spesifikasjonen, som egentlig er en nyere erstatning for det gamle BIOS som du sannsynligvis pleide å.UEFI er i utgangspunktet programvaren som snakker mellom operativsystemet og maskinvaren. UEFI-standarder er opprettet av en gruppe kalt "UEFI Forum", som består av databehandlingsrepresentanter, inkludert Microsoft, Apple, Intel, AMD, og en håndfull dataprodusenter.
Det andre viktigste punktet, som har Secure Boot aktivert på en datamaskin, betyr ikke at datamaskinen aldri kan starte opp et annet operativsystem .Faktisk oppgir Microsofts egen Windows-maskinvare sertifiseringskrav at for ikke-ARM-systemer må du både deaktivere sikker oppstart og endre nøklene( for å tillate andre operativsystemer).Mer om det senere skjønt.
Hva gjør Secure Boot?
I hovedsak forhindrer det at skadelig programvare angriper datamaskinen din gjennom oppstartssekvensen. Malware som går gjennom oppstartslaster kan være svært vanskelig å oppdage og stoppe, fordi det kan infiltrere lavnivåfunksjoner i operativsystemet, slik at det blir usynlig for antivirusprogramvare. Alt som Secure Boot virkelig gjør, er det verifiserer at opplasteren er fra en klarert kilde, og at den ikke har blitt manipulert. Tenk på det som popupskapene på flasker som sier "ikke åpne hvis lokket er poppet opp eller tetningen har blitt manipulert med".
På toppnivået av beskyttelse har du plattformstasten( PK).Det er bare ett PK på hvilket som helst system, og det er installert av OEM under produksjon. Denne nøkkelen brukes til å beskytte KEK-databasen. KEK-databasen inneholder nøkkelutvekslingstaster, som brukes til å modifisere de andre sikre oppstartsdatabaser. Det kan være flere KEKs. Det er da et tredje nivå: Den autoriserte databasen( db) og den forbudte databasen( dbx).Disse inneholder informasjon om sertifikatmyndigheter, ekstra kryptografiske nøkler og UEFI-enhetsbilder for å tillate eller blokkere, henholdsvis. For at en oppstartslaster skal kunne kjøre, må den bli kryptografisk signert med en nøkkel som er i db, og er ikke i dbx.
Bilde fra å bygge Windows 8: Beskytte pre-OS-miljøet med UEFI
Slik fungerer det på en ekte verden Windows 8 Sertifisert system
OEMen genererer sin egen PK, og Microsoft gir en KEK at OEM er pålagt å pre-last inn i KEK databasen. Microsoft signerer deretter Windows 8 Bootloader, og bruker KEK til å sette denne signaturen i den autoriserte databasen. Når UEFI støtter datamaskinen, verifiserer den PK, verifiserer Microsofts KEK, og verifiserer deretter opplastingsprogrammet. Hvis alt ser bra ut, kan operativsystemet starte.
Bilde fra Building Windows 8: Beskytt pre-OS-miljøet med UEFI
Hvor kommer tredjeparts OSes, som Linux, inn?
Først kan noen Linux distro velge å generere en KEK og spør OEMer å inkludere den i KEK databasen som standard. De ville da ha så mye kontroll over oppstartsprosessen som Microsoft gjør. Problemene med dette, som forklart av Fedora's Matthew Garrett, er at a) det ville være vanskelig å få alle PC-produsenter til å inkludere Fedora-nøkkelen, og b) det ville være urettferdig mot andre Linux-distroer fordi deres nøkkel ikke ville bli inkludert, siden mindre distroer ikke har så mange OEM-partnerskap.
Hva Fedora har valgt å gjøre( og andre distroer følger etter) er å bruke Microsofts signeringstjenester. Dette scenariet krever at du betaler $ 99 til Verisign( sertifikatautoriteten som Microsoft bruker), og gir utviklere muligheten til å signere sin startlaster ved hjelp av Microsofts KEK.Siden Microsofts KEK allerede finnes i de fleste datamaskiner, lar dette dem signere oppstartslederen for å bruke Secure Boot, uten å kreve sin egen KEK.Det ender med å være mer kompatibelt med flere datamaskiner, og koster mindre samlet enn å håndtere å sette opp sitt eget nøkkel signerings- og distribusjonssystem. Det er noen flere detaljer om hvordan dette vil fungere( ved hjelp av GRUB, signerte Kernel-moduler og annen teknisk info) i det nevnte blogginnlegget, som jeg anbefaler å lese om du er interessert i denne typen ting.
Anta at du ikke vil takle bryet med å registrere deg for Microsofts system, eller ikke vil betale $ 99, eller bare ha et motvilje mot store selskaper som starter med en M. Det er et annet alternativ å fortsatt bruke SecureStart og kjør et annet operativsystem enn Windows. Microsofts maskinvare sertifisering krever at OEM-brukere lar brukerne skrive inn systemet i UEFI "Custom" -modus, der de kan manuelt endre Secure Boot-databasene og PK.Systemet kan settes inn i UEFI Setup Mode, hvor brukeren selv kunne spesifisere sin egen PK, og signere opplastingsprogrammer selv.
Microsofts egne sertifiseringskrav gjør det også obligatorisk for OEM-er å inkludere en metode for å deaktivere Secure Boot på ikke-ARM-systemer. Du kan slå sikker Boot av! De eneste systemene der du ikke kan deaktivere Secure Boot, er ARM-systemer som kjører Windows RT, som fungerer mer på samme måte som iPad, hvor du ikke kan laste tilpassede OSer. Selv om jeg ønsker at det ville være mulig å endre operativsystemet på ARM-enheter, er det rimelig å si at Microsoft følger industristandarden med hensyn til tabletter her.
Så sikker boot er ikke iboende ondskap?
Så som du forhåpentligvis kan se, er Sikker Boot ikke ond, og er ikke bare begrenset til bruk med Windows. Grunnen til at FSF og andre er så opprørt over det, er fordi det legger til ekstra skritt for å bruke et tredjeparts operativsystem. Linux distros kan ikke like å betale for å bruke Microsofts nøkkel, men det er den enkleste og mest kostnadseffektive måten å få Secure Boot på for Linux. Heldigvis er det enkelt å slå Secure Boot av, og mulig å legge til forskjellige nøkler, og dermed unngå behovet for å håndtere Microsoft.
Gitt mengden av stadig mer avansert malware, virker Secure Boot som en rimelig ide. Det er ikke ment å være et ondt plott å ta over hele verden, og det er mye mindre skummelt enn noen frie software-pundits vil ha deg til å tro.
Tilleggsavlesning:
- Microsoft-maskinvare sertifiseringskrav
- Building Windows 8: Beskyttelse av pre-OS-miljøet med UEFI
- Microsoft-presentasjon om sikker oppstart og sikkerhetsstart
- Implementering av UEFI Sikker Boot i Fedora
- TechNet Sikker Boot-oversikt
- Wikipedia artikkel om UEFI
TL; DR: Sikker oppstart forhindrer skadelig programvare fra å infisere systemet ditt på et lavt, uoppdagbart nivå under oppstart. Alle kan lage de nødvendige nøklene for å få det til å fungere, men det er vanskelig å overbevise datamaskin beslutningstakere om å distribuere -nøkkelen til alle, så du kan alternativt velge å betale Verisign for å bruke Microsofts nøkkel til å signere bootloaders og få dem til å fungere. Du kan også deaktivere Secure Boot på , hvilken ikke-ARM-datamaskin.
Sist tenkt, med hensyn til FSFs kampanje mot Secure boot: Noen av deres bekymringer( det vil si at det gjør vanskeligere å installere gratis operativsystemer) er gyldige til et punkt .Å si at restriksjonene vil "hindre at noen starter fra annet enn Windows", er beviselig falsk skjønt av de grunner som er illustrert ovenfor. Kampanjer mot UEFI / Secure Boot som teknologi er kortsynt, misinformert og usannsynlig å være effektiv uansett. Det er viktigere å sikre at produsentene faktisk følger Microsofts krav til at brukerne deaktiverer Secure Boot, eller endrer nøklene hvis de ønsker det.
Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.
