17Aug
O novo sistema UEFI Secure Boot no Windows 8 causou mais do que a sua justa confusão, especialmente entre os booters duplos. Leia mais enquanto esclarecemos os equívocos sobre a inicialização dupla com Windows 8 e Linux.
Today's Question &A sessão de atendimento chega a cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento comunitário de sites Q & A.
A pergunta
O leitor SuperUser Harsha K é curioso sobre o novo sistema UEFI.Ele escreve:
Ouvi falar muito de como a Microsoft está implementando UEFI Secure Boot no Windows 8. Aparentemente, impede que os carregadores de inicialização "não autorizados" sejam executados no computador, para evitar malware. Há uma campanha da Free Software Foundation contra uma inicialização segura e muitas pessoas têm dito online que é uma "força de energia" da Microsoft para "eliminar sistemas operacionais gratuitos".
Se eu tiver um computador com Windows 8 e Secure Boot pré-instalado, ainda poderei instalar o Linux( ou algum outro sistema operacional) mais tarde? Ou um computador com o Secure Boot só funciona com o Windows?
Então, qual é o negócio? Os leilões duais não têm sorte?
A resposta
SuperUser contribuidor Nathan Hinkle oferece uma fantástica visão geral do que UEFI é e não é:
Em primeiro lugar, a resposta simples à sua pergunta:
- Se você possui um tablet ARM executando o Windows RT( como o Surface RT ou oAsus Vivo RT), então você não poderá desativar a inicialização segura ou instalar outros SOs .Como muitos outros comprimidos ARM, esses dispositivos serão apenas executar o sistema operacional que eles vêm com.
- Se você tiver um computador não ARM executando o Windows 8( como o Surface Pro ou qualquer um dos miríades de ultrabooks, desktops e tablets com um processador x86-64), então, , você pode desativar o Secure Boot completamente , ou você podeinstale suas próprias chaves e assine seu próprio carregador de inicialização. De qualquer forma, , você pode instalar um sistema operacional de terceiros como um distribuidor Linux ou FreeBSD ou DOS ou o que lhe agrada.
Agora, sobre os detalhes de como toda essa coisa do Secure Boot realmente funciona: Há muita desinformação sobre o Secure Boot, especialmente da Free Software Foundation e grupos similares. Isso tornou difícil encontrar informações sobre o que o Secure Boot realmente faz, então vou tentar o meu melhor para explicar. Note que não tenho experiência pessoal com o desenvolvimento de sistemas de inicialização seguros ou algo assim;Isto é exatamente o que aprendi com a leitura on-line.
Antes de tudo, Secure Boot é e não , algo que a Microsoft apresentou. Eles são os primeiros a implementá-lo amplamente, mas eles não inventaram. Faz parte da especificação do UEFI, que é basicamente uma substituição mais nova para a BIOS antiga, que você provavelmente está acostumado. UEFI é basicamente o software que fala entre o sistema operacional e o hardware. Os padrões UEFI são criados por um grupo chamado "UEFI Forum", composto por representantes da indústria de computação, incluindo Microsoft, Apple, Intel, AMD e alguns fabricantes de computadores.
Segundo ponto mais importante, com Secure Boot habilitado em um computador não significa que o computador nunca pode iniciar qualquer outro sistema operacional .De fato, os Requisitos de Certificação de Hardware do Windows da Microsoft indicam que, para os sistemas que não são ARM, você deve ser capaz de desativar a inicialização segura e alterar as teclas( para permitir outros sistemas operacionais).Mais tarde, mais tarde.
O que o Secure Boot faz?
Essencialmente, evita que o malware ataque seu computador através da seqüência de inicialização. O malware que entra através do carregador de inicialização pode ser muito difícil de detectar e parar, pois pode infiltrar-se em funções de baixo nível do sistema operacional, mantendo-o invisível ao software antivírus. Tudo o que o Secure Boot realmente faz é verifica se o carregador de inicialização é de uma fonte confiável e não foi adulterado. Pense nisso, como as tampas pop-up em garrafas que dizem "não abra se a tampa aparece ou a vedação foi adulterada".
No nível superior de proteção, você possui a chave da plataforma( PK).Há apenas um PK em qualquer sistema, e é instalado pelo OEM durante a fabricação. Esta chave é usada para proteger o banco de dados KEK.O banco de dados KEK contém Key Exchange Keys, que são usadas para modificar os outros bancos de dados de inicialização seguros. Pode haver múltiplos KEKs. Existe então um terceiro nível: o Banco de Dados Autorizado( db) e a Base de Dados Proibida( dbx).Estes contêm informações sobre autoridades de certificação, chaves criptográficas adicionais e imagens de dispositivos UEFI para permitir ou bloquear, respectivamente. Para que um gerenciador de inicialização possa ser executado, ele deve ser criptograficamente assinado com uma chave que é no db e não é no dbx.
Imagem do Building Windows 8: Protegendo o ambiente pré-OS com o UEFI
Como isso funciona em um sistema autêntico Windows 8 Certified
O OEM gera seu próprio PK e a Microsoft fornece um KEK que o OEM é necessário para pré-carregar no banco de dados KEK.A Microsoft então assina o Bootloader do Windows 8 e usa o KEK para colocar essa assinatura no banco de dados autorizado. Quando o UEFI inicia o computador, ele verifica o PK, verifica o KEK da Microsoft e verifica o carregador de inicialização. Se tudo estiver bem, o sistema operacional pode inicializar.
Imagem do Building Windows 8: Protegendo o ambiente pré-OS com UEFI
Onde os sistemas operacionais de terceiros, como Linux, entram?
Primeiro, qualquer distro Linux pode optar por gerar um KEK e pedir OEM para incluí-lo no banco de dados KEK por padrão. Eles teriam tanto controle sobre o processo de inicialização quanto a Microsoft. Os problemas com isso, como explicado pelo Matthew Garrett do Fedora, são que a) seria difícil conseguir que cada fabricante de PC incluísse a chave do Fedora e b) seria injusto com outras distros do Linux, porque sua chave não seria incluída, uma vez que as distribuições menores não possuem tantas parcerias OEM.
O que o Fedora escolheu para fazer( e outras distros estão seguindo o exemplo) é usar os serviços de assinatura da Microsoft. Este cenário requer o pagamento de US $ 99 para a Verisign( a Autoridade de Certificação que a Microsoft usa) e concede aos desenvolvedores a capacidade de assinar o carregador de inicialização usando o KEK da Microsoft. Uma vez que o KEK da Microsoft já estará na maioria dos computadores, isso permite que eles assinem seu bootloader para usar o Secure Boot, sem exigir o seu próprio KEK.Ele acaba sendo mais compatível com mais computadores e custa menos global do que lidar com a criação de seu próprio sistema de assinatura e distribuição de chaves. Há mais detalhes sobre como isso funcionará( usando o GRUB, módulos do Kernel assinados e outras informações técnicas) na postagem do blog acima mencionada, que eu recomendo ler se você estiver interessado neste tipo de coisa.
Suponha que você não queira lidar com o aborrecimento de se inscrever no sistema da Microsoft, ou não quer pagar US $ 99, ou apenas tenha um ressentimento contra grandes corporações que começam com um M. Existe outra opção para continuar usando SecureInicialize e execute um sistema operacional diferente do Windows. A certificação de hardware da Microsoft requer que os OEMs permitem que os usuários entrem no sistema no modo "personalizado" UEFI, onde eles podem modificar manualmente os bancos de dados do Boot seguro e o PK.O sistema pode ser colocado no modo de configuração UEFI, onde o usuário pode até especificar seu próprio PK e assinar os próprios bootloaders.
Além disso, os próprios requisitos de certificação da Microsoft tornam obrigatório que os OEMs incluam um método para desativar a inicialização segura em sistemas não-ARM. Você pode desligar o Secure Boot! Os únicos sistemas em que você não pode desativar o Secure Boot são sistemas ARM que executam o Windows RT, que funcionam de forma mais semelhante ao iPad, onde você não pode carregar SOs personalizados. Embora eu deseje que seja possível mudar o sistema operacional em dispositivos ARM, é justo dizer que a Microsoft está seguindo o padrão da indústria em relação aos tablets aqui.
Então, a inicialização segura não é inerentemente má?
Então, como você pode ver, Secure Boot não é maligno e não é restrito apenas para usar com o Windows. A razão pela qual a FSF e outros estão tão chateados com isso é porque ele adiciona etapas adicionais para usar um sistema operacional de terceiros. As distribuições de Linux talvez não gostem de pagar para usar a chave da Microsoft, mas é a maneira mais fácil e econômica de obter o Boot Seguro funcionando para o Linux. Felizmente, é fácil desligar o Secure Boot, e é possível adicionar chaves diferentes, evitando a necessidade de lidar com a Microsoft.
Dado a quantidade de malware cada vez mais avançado, o Secure Boot parece ser uma idéia razoável. Não se trata de ser uma trama maligna para conquistar o mundo, e é muito menos assustador do que alguns especialistas em software livre terão você acreditado.
Leitura adicional:
- Requisitos de Certificação de Hardware da Microsoft
- Construindo o Windows 8: Protegendo o ambiente pré-OS com UEFI
- Apresentação da Microsoft sobre a implantação de inicialização segura e gerenciamento de chaves
- Implementando UEFI Secure Boot no Fedora
- TechNet Secure Boot Visão geral
- Artigo de Wikipedia sobre UEFI
TL; DR: O boot seguro impede que o malware infecte seu sistema em um nível baixo e indetectável durante a inicialização. Qualquer um pode criar as chaves necessárias para fazê-lo funcionar, mas é difícil convencer os fabricantes de computadores a distribuir sua chave para todos, para que você possa optar por pagar a Verisign para usar a chave da Microsoft para assinar seus bootloaders e fazê-los funcionar. Você também pode desativar a inicialização segura no qualquer computador não ARM.
O último pensamento, no que diz respeito à campanha da FSF contra o boot seguro: algumas das suas preocupações( ou seja, Hard para instalar sistemas operacionais gratuitos) são válidos para um ponto .Dizendo que as restrições "evitarão que alguém guie qualquer coisa, exceto o Windows", é demonstravelmente falso, por razões acima ilustradas. A campanha contra UEFI / Secure Boot como tecnologia é míope, mal informada e improvável que seja efetiva de qualquer maneira.É mais importante garantir que os fabricantes realmente seguem os requisitos da Microsoft para permitir que os usuários desativem a inicialização segura ou alterem as chaves se assim o desejarem.
Tem algo a ser adicionado à explicação? Som na parte dos comentários. Deseja ler mais respostas de outros usuários Tech-savvy Stack Exchange? Confira o tópico de discussão completo aqui.