17Aug
Nowy system UEFI Secure Boot w systemie Windows 8 spowodował więcej niż zwykłe zamieszanie, zwłaszcza wśród podwójnych użytkowników. Czytaj dalej, kiedy wyjaśnimy nieporozumienia dotyczące podwójnego rozruchu w systemach Windows 8 i Linux.
Dzisiejsze pytanie &Sesja odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupy Q & A.
Pytanie Czytnik
SuperUser Harsha K jest ciekawy nowego systemu UEFI.Pisze:
Wiele słyszałem o tym, jak Microsoft wdraża bezpieczny rozruch w UEFI w systemie Windows 8. Pozornie zapobiega uruchamianiu "nieautoryzowanych" programów ładujących na komputerze, aby zapobiec złośliwemu oprogramowaniu. Istnieje kampania Free Software Foundation dotycząca bezpiecznego rozruchu, a wiele osób mówi w Internecie, że to "power grab" Microsoftu "eliminuje darmowe systemy operacyjne".
Jeśli otrzymam komputer z preinstalowanym systemem Windows 8 i Secure Boot, czy będę mógł później zainstalować system Linux( lub inny system operacyjny)?A może komputer z funkcją bezpiecznego rozruchu działa tylko w systemie Windows?
Więc jaka jest umowa? Czy dwoje booterów naprawdę nie ma szczęścia?
Odpowiedź Autor
SuperUser Nathan Hinkle oferuje fantastyczny przegląd tego, czym UEFI jest i nie jest:
Przede wszystkim prosta odpowiedź na pytanie:
- Jeśli masz tablet ARM z systemem Windows RT( jak Surface RT lubAsus Vivo RT), a następnie nie będzie można wyłączyć Bezpiecznego rozruchu ani zainstalować innych systemów .Podobnie jak wiele innych tabletów ARM, urządzenia te będą tylko uruchomić system operacyjny, z którego pochodzą.
- Jeśli masz komputer inny niż ARM z systemem Windows 8( taki jak Surface Pro lub dowolny z niezliczonych ultrabooków, komputerów stacjonarnych i tabletów z procesorem x86-64), możesz wyłączyć Bezpieczne uruchamianie całkowicie , lub możeszzainstaluj własne klucze i podpisz własny bootloader. Tak czy inaczej, można zainstalować system operacyjny innej firmy, taki jak dystrybucja Linuksa lub FreeBSD lub DOS lub cokolwiek innego.
Teraz, aby dowiedzieć się, jak działa ta cała funkcja Secure Boot: istnieje wiele dezinformacji na temat Bezpiecznego rozruchu, szczególnie z Free Software Foundation i podobnych grup. To sprawiło, że trudno jest znaleźć informacje o tym, co naprawdę robi Bezpieczny rozruch, więc postaram się wszystko wyjaśnić.Zauważ, że nie mam osobistego doświadczenia w tworzeniu bezpiecznych systemów rozruchowych ani niczego podobnego;to jest właśnie to, czego nauczyłem się czytając online.
Przede wszystkim Secure Boot to , a nie , coś, co Microsoft wymyślił. Są pierwszymi, którzy szeroko ją wdrażają, ale nie wymyślili jej. Jest to część specyfikacji UEFI, która jest w zasadzie nowszym zamiennikiem starego BIOS-u, do którego prawdopodobnie przywykliście. UEFI to w zasadzie oprogramowanie, które komunikuje system operacyjny ze sprzętem. Standardy UEFI są tworzone przez grupę o nazwie "UEFI Forum", w skład której wchodzą przedstawiciele branży komputerowej, w tym Microsoft, Apple, Intel, AMD i garstka producentów komputerów.
Drugi najważniejszy punkt, posiadający Bezpieczne uruchamianie włączone na komputerze, nie nie oznacza, że komputer nigdy nie może uruchomić żadnego innego systemu operacyjnego .W rzeczywistości, własne wymagania Microsoft dotyczące certyfikacji sprzętu Windows stwierdzają, że w przypadku systemów innych niż ARM użytkownik musi mieć możliwość zarówno wyłączenia Bezpiecznego rozruchu, jak i zmiany kluczy( w celu umożliwienia innym systemom operacyjnym).Więcej o tym później.
Do czego służy Bezpieczny rozruch?
Zasadniczo zapobiega atakowaniu twojego szkodliwego oprogramowania przez sekwencję rozruchową.Złośliwe oprogramowanie, które przechodzi przez bootloader, może być bardzo trudne do wykrycia i zatrzymania, ponieważ może infiltrować funkcje niskiego poziomu systemu operacyjnego, dzięki czemu jest niewidoczne dla oprogramowania antywirusowego. Wszystko, co naprawdę robi Secure Boot, to sprawdzenie, czy bootloader pochodzi z zaufanego źródła i czy nie został zmodyfikowany. Pomyśl o tym jak o wyskakujących zatyczkach na butelkach, które mówią: "nie otwieraj, jeśli przykrywa się pokrywka lub została naruszona plomba".
Na najwyższym poziomie ochrony masz klucz platformy( PK).Na każdym systemie jest tylko jeden PK, który jest instalowany przez producenta OEM podczas produkcji. Ten klucz służy do ochrony bazy danych KEK.Baza danych KEK przechowuje klucze wymiany kluczy, które służą do modyfikowania innych bezpiecznych baz danych rozruchowych. Może być wiele KEKs. Istnieje wtedy trzeci poziom: Autoryzowana baza danych( db) i zakazana baza danych( dbx).Zawierają one informacje o urzędach certyfikacji, dodatkowych kluczach kryptograficznych i obrazach urządzeń UEFI, odpowiednio do zezwalania lub blokowania. Aby program rozruchowy mógł być uruchamiany, musi być podpisany kryptograficznie kluczem, którego ma w db, a nie jest w dbx.
Obraz z budynku Windows 8: Ochrona środowiska pre-OS za pomocą UEFI
Jak to działa na prawdziwym świecie System certyfikowany Windows 8
OEM generuje własny PK, a Microsoft zapewnia KEK, że OEM jest zobowiązany do wstępnegozaładuj do bazy danych KEK.Microsoft następnie podpisuje Bootloader systemu Windows 8 i używa ich KEK, aby umieścić ten podpis w Autoryzowanej bazie danych. Gdy UEFI uruchamia komputer, weryfikuje PK, weryfikuje KEK firmy Microsoft, a następnie weryfikuje bootloader. Jeśli wszystko wygląda dobrze, system operacyjny może się uruchomić.
Image from Building Windows 8: Ochrona środowiska pre-OS za pomocą UEFI
Gdzie są dostępne systemy firm trzecich, takie jak Linux?
Po pierwsze, każda dystrybucja Linuksa może wybrać generowanie KEK i poprosić producentów OEM, aby domyślnie umieścili go w bazie danych KEK.Będą wtedy mieli równie dużą kontrolę nad procesem uruchamiania, jak robi to Microsoft. Problemy z tym, jak wyjaśnił Matthew Garrett z Fedory, są następujące: a) trudno byłoby każdemu producentowi PC włączyć klucz Fedory, i b) byłoby to niesprawiedliwe dla innych dystrybucji Linuksa, ponieważ ich klucz nie byłby włączony, ponieważ mniejsze dystrybucje nie mają tak wielu partnerstw OEM.
To, co Fedora zdecydowała się zrobić( i inne dystrybucje podążają za tym przykładem), to korzystać z usług podpisu firmy Microsoft. Ten scenariusz wymaga zapłacenia 99 USD firmie Verisign( urzędowi certyfikacji, z której korzysta Microsoft) i zapewnia programistom możliwość podpisania ich programu rozruchowego za pomocą KEK firmy Microsoft. Ponieważ KEK firmy Microsoft jest już w większości komputerów, pozwala im to na podpisywanie ich bootloadera w celu korzystania z bezpiecznego rozruchu, bez konieczności posiadania własnego KEK.Kończy się to tym, że jest bardziej kompatybilny z większą ilością komputerów, i kosztuje mniej ogólnie niż zajmowanie się konfigurowaniem własnego systemu podpisywania kluczy i dystrybucji. Więcej informacji na temat tego, jak to będzie działać( przy użyciu GRUB-a, podpisanych modułów jądra i innych informacji technicznych) we wspomnianym wcześniej wpisie na blogu, które polecam przeczytać, jeśli jesteś zainteresowany tego typu rzeczami.
Załóżmy, że nie chcesz zajmować się problemami z rejestracją w systemie Microsoftu, lub nie chcesz płacić 99 $ lub po prostu mieć urazę do dużych korporacji, które zaczynają się od M. Istnieje jeszcze jedna opcja, aby nadal korzystać z BezpiecznegoUruchom i uruchom system operacyjny inny niż Windows. Certyfikacja sprzętowa Microsoftu wymaga , aby producenci OEM mogli wprowadzać swój system do "niestandardowego" trybu UEFI, gdzie mogą ręcznie modyfikować bazy danych Secure Boot i PK.System może zostać przełączony do trybu konfiguracji UEFI, w którym użytkownik może nawet określić własny PK i podpisać bootloadery.
Ponadto, własne wymagania certyfikacyjne Microsoftu nakładają na producentów OEM obowiązek włączenia metody wyłączania bezpiecznego rozruchu w systemach innych niż ARM. Możesz wyłączyć Bezpieczne uruchamianie! Jedynymi systemami, w których nie można wyłączyć Bezpiecznego rozruchu, są systemy ARM z systemem Windows RT, które działają bardziej podobnie do iPada, gdzie nie można załadować niestandardowych systemów operacyjnych. Chociaż żałuję, że nie można zmienić systemu operacyjnego na urządzeniach ARM, można śmiało powiedzieć, że Microsoft przestrzega standardu branżowego w odniesieniu do tabletów.
Czy bezpieczny rozruch nie jest z natury zły?
Jak można się spodziewać, Bezpieczny rozruch nie jest zły i nie jest ograniczony tylko do korzystania z systemu Windows. Powodem, dla którego FSF i inni są tak zdenerwowani, jest to, że dodaje dodatkowe kroki do korzystania z systemu operacyjnego innej firmy. Dystrybucje linuksowe mogą nie lubić płacenia za używanie klucza Microsoftu, ale jest to najłatwiejszy i najbardziej opłacalny sposób na to, aby Secure Boot działało na Linuksie. Na szczęście łatwo można wyłączyć Bezpieczne uruchamianie i można dodawać różne klucze, unikając w ten sposób konieczności radzenia sobie z firmą Microsoft.
Biorąc pod uwagę liczbę coraz bardziej zaawansowanych złośliwych programów, Bezpieczny rozruch wydaje się rozsądnym pomysłem. To nie ma być zła fabuła, by przejąć świat i jest o wiele mniej przerażająca niż niektórzy zwolennicy wolnego oprogramowania uwierzą.
Dodatkowy odczyt:
- Wymagania sprzętowe dotyczące certyfikatu Microsoft
- Budowanie systemu Windows 8: Ochrona środowiska pre-OS za pomocą interfejsu UEFI
- Prezentacja firmy Microsoft na temat Bezpiecznego uruchamiania systemu i zarządzania kluczami
- Implementowanie bezpiecznego interfejsu użytkownika UEFI w Fedorze
- Bezpieczne uruchamianie TechNet
- Artykuł Wikipedii o UEFI
TL; DR: Bezpieczne ładowanie zapobiega zainfekowaniu Twojego szkodliwego oprogramowania przez system na niskim, niewykrywalnym poziomie podczas rozruchu. Każdy może stworzyć niezbędne klucze, aby to zadziałało, ale trudno przekonać twórców komputerów do dystrybucji twojego klucza do wszystkich, więc możesz ewentualnie zapłacić Verisign, aby użyć klucza Microsoftu do podpisania bootloaderów i sprawienia, żeby działały. Możesz również wyłączyć Bezpieczne uruchamianie na na dowolnym komputerze innym niż ARM.
Ostatnia myśl, jeśli chodzi o kampanię FSF przeciwko Bezpieczne ładowanie: Niektóre z ich obaw( tj. Sprawia, że jest trudniejsze do zainstalowania darmowych systemów operacyjnych) są zgodne z do punktu .Mówienie, że restrykcje "uniemożliwią komukolwiek uruchamianie czegokolwiek poza Windows" jest ewidentnie fałszywe, z powodów przedstawionych powyżej. Kampania przeciwko UEFI / Secure Boot jako technologii jest krótkowzroczna, dezinformowana i mało prawdopodobne, aby była skuteczna. Ważniejsze jest zapewnienie, że producenci faktycznie przestrzegają wymogów Microsoft, aby umożliwić użytkownikom wyłączenie Bezpiecznego rozruchu lub zmienić klucze, jeśli sobie tego życzą.
Czy chcesz coś dodać do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.