17Aug
Noul sistem UEFI Secure Boot din Windows 8 a provocat mai mult decât o parte echitabilă de confuzie, în special în rândul celor de tip dual booters. Citiți-ne pe măsură ce clarificăm concepțiile greșite despre dublarea cu Windows 8 și Linux.
Întrebarea de astăzi &Sesiunea de răspuns vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor web Q & A.
Întrebarea
Reader-ul SuperUser Harsha K este curios despre noul sistem UEFI.El scrie:
Am auzit multe despre modul în care Microsoft implementează UEFI Secure Boot în Windows 8. Se pare că împiedică bootloaderii "neautorizați" să ruleze pe computer, pentru a preveni malware-ul. Există o campanie de către Fundația pentru Software Liber împotriva unei boot-uri sigure și mulți oameni au spus online că Microsoft este "o apucătoare de putere" pentru a "elimina sistemele de operare gratuite".
Dacă primesc un computer care are instalat Windows 8 și Secure Boot preinstalat, voi mai putea să instalez Linux( sau alt sistem de operare) mai târziu? Sau funcționează vreodată un computer cu Secure Boot numai cu Windows?
Deci, ce este afacerea? Sunt dubii dubioși cu adevărat norocoși?
Răspunsul răspunsului
SuperUser Contributor Nathan Hinkle oferă o imagine de ansamblu fantastică a ceea ce este și nu este UEFI:
Mai întâi, răspunsul simplu la întrebarea dvs.:
- Dacă aveți o tabletă ARM care rulează Windows RT( cum ar fi Surface RT sauAsus Vivo RT), apoi nu veți putea să dezactivați Boot Secure sau să instalați alte OS-uri .Ca multe alte comprimate ARM, aceste dispozitive vor doar rula OS-ul cu care vin.
- Dacă aveți un computer non-ARM care rulează Windows 8( cum ar fi Surface Pro sau oricare dintre nenumăratele ultrabooks, desktop-uri și tablete cu un procesor x86-64), apoi puteți dezactiva complet boot-ul complet sau putețiinstalați propriile chei și semnați propriul bootloader.În orice caz, puteți instala un sistem de operare terț ca un distribuitor Linux sau FreeBSD sau DOS sau orice vă plac.
Acum, cu privire la detaliile despre modul în care funcționează întregul lucru securizat de boot: Există o mulțime de dezinformări despre Secure Boot, în special de la Fundația pentru Software Liber și grupuri similare. Acest lucru a făcut dificilă găsirea de informații despre ceea ce face Secure Boot, așa că voi încerca tot ce pot pentru a-mi explica. Rețineți că nu am nici o experiență personală cu dezvoltarea unor sisteme de boot securizate sau ceva similar;acesta este exact ceea ce am învățat de la citirea online.
În primul rând, Secure Boot este și nu ceva cu care Microsoft a venit. Sunt primii care o implementează pe scară largă, dar nu au inventat-o. Este parte a caietului de sarcini UEFI, care este în principiu un înlocuitor mai nou pentru vechiul BIOS pe care probabil îl folosiți. UEFI este în esență software-ul care vorbește între OS și hardware. Standardele UEFI sunt create de un grup numit "Forumul UEFI", format din reprezentanți ai industriei de calcul, inclusiv Microsoft, Apple, Intel, AMD și o mână de producători de calculatoare.
Cel de-al doilea cel mai important aspect, cu Secure Boot activat pe un computer, nu , nu înseamnă că computerul nu poate porni niciodată alt sistem de operare .De fapt, cerințele Microsoft de certificare a hardware-ului Microsoft specifică faptul că pentru sistemele non-ARM trebuie să puteți să dezactivați Secure Boot și să schimbați cheile( pentru a permite alte sisteme).Mai multe despre asta mai târziu.
Ce face Secure Boot?
În esență, previne ca malware-ul să atace calculatorul dvs. prin secvența de boot. Malware-ul care intră prin bootloader poate fi foarte dificil de detectat și oprit, deoarece poate infiltra funcțiile de nivel scăzut ale sistemului de operare, păstrându-l invizibil pentru software-ul antivirus. Tot ceea ce face Secure Boot într-adevăr este că verifică dacă bootloader-ul este dintr-o sursă de încredere și că nu a fost manipulat. Gândiți-vă cum ar fi capacele pop-up pe sticle care spun "nu se deschide dacă se ridică capacul sau se sigilează sigiliul".
La cel mai înalt nivel de protecție, aveți tasta platformă( PK).Există numai un singur PK pe orice sistem și este instalat de OEM în timpul procesului de fabricație. Această cheie este utilizată pentru protejarea bazei de date KEK.Baza de date KEK deține chei cheie de schimb, care sunt folosite pentru a modifica celelalte baze de date securizate de boot. Pot exista mai multe KEK-uri. Există apoi un al treilea nivel: baza de date autorizată( db) și interfața interzisă( dbx).Acestea conțin informații despre autorități de certificare, chei criptografice suplimentare și imagini ale dispozitivelor UEFI pentru a permite sau bloca, respectiv. Pentru ca un bootloader să poată fi rulat, acesta trebuie semnat criptografic cu o cheie care este în db și nu este în dbx.
Imagine din clădire Windows 8: Protejarea mediului pre-OS cu UEFI
Cum funcționează acest sistem Windows 8 certificat
OEM generează propriul PK, iar Microsoft oferă un KEK pe care OEM trebuie să îl pre-încărcați în baza de date KEK.Microsoft semnează apoi Bootloader-ul Windows 8 și folosește KEK pentru a pune această semnătură în baza de date autorizată.Când UEFI pornește computerul, verifică PK, verifică KEK-ul Microsoft și apoi verifică bootloader-ul. Dacă totul arată bine, atunci sistemul de operare poate porni.
Imagine din clădire Windows 8: Protejarea mediului pre-OS cu UEFI
Unde vin OS-uri de la terțe părți, cum ar fi Linux?
Mai întâi, orice distribuție Linux ar putea alege să genereze un KEK și să ceară producătorilor de echipamente originale să le includă în baza de date KEK în mod implicit. Acestea ar avea apoi la fel de mult control asupra procesului de boot ca Microsoft. Problemele cu acest lucru, după cum explică Matthew Garrett de la Fedora, sunt: a) ar fi dificil să se includă orice producător de PC-uri pentru a include cheia Fedora și b) ar fi incorect față de alte distribuții Linux, deoarece cheia lor nu va fi inclusă, deoarece distribuțiile mai mici nu au atâtea parteneriate OEM.
Ceea ce Fedora a ales să facă( și alte distrugeri sunt următorul exemplu) este să utilizeze serviciile de semnare ale Microsoft. Acest scenariu necesită plata a 99 USD către Verisign( autoritatea de certificare folosită de Microsoft) și acordă dezvoltatorilor posibilitatea de a semna bootloader-ul lor folosind KEK-ul Microsoft. Deoarece KEK Microsoft va fi deja la majoritatea computerelor, acest lucru le permite să semneze bootloader-ul lor pentru a utiliza Secure Boot, fără a solicita KEK-ul propriu. Se încheie prin a fi mai compatibil cu mai multe computere și costă mai puțin în general decât să se stabilească propriul sistem de semnare și distribuție cheie. Există mai multe detalii despre cum va funcționa acest lucru( folosind GRUB, module Kernel semnate și alte informații tehnice) în postul de blog menționat anterior, pe care vă recomand să le citiți dacă sunteți interesat de astfel de lucruri.
Să presupunem că nu vreți să vă ocupați de hassle-ul de a vă înscrie pentru sistemul Microsoft, sau nu doriți să plătiți 99 $, sau pur și simplu aveți o părere împotriva marilor corporații care încep cu un M. Există o altă opțiune de a utiliza în continuare SecureÎncepeți și executați un alt sistem de operare decât Windows. Cerințele de hardware ale cer ca producătorii de echipamente originale să permită utilizatorilor să introducă sistemul lor în modul "personalizat" UEFI, unde pot modifica manual bazele de date Secure Boot și PK.Sistemul poate fi introdus în modul de configurare UEFI, unde utilizatorul poate chiar să specifice propriul PK și să semneze propriile încărcătoare de încărcare.
În plus, cerințele proprii de certificare ale Microsoft fac obligatoriu ca OEM-urile să includă o metodă de dezactivare a sistemului de boot securizat pe sistemele non-ARM. Puteți dezactiva Boot-ul securizat! Singurele sisteme în care nu puteți dezactiva boot-ul securizat sunt sistemele ARM care rulează Windows RT, care funcționează mai similar cu iPad-ul, unde nu puteți încărca OS-uri personalizate. Deși aș dori să fie posibilă schimbarea sistemului de operare pe dispozitivele ARM, este corect să spunem că Microsoft urmărește standardul din domeniu în ceea ce privește tabletele.
Deci, boot-ul sigur nu este în mod inerent rău?
Deci, după cum puteți vedea, Secure Boot nu este rău și nu este limitat doar la utilizarea cu Windows. Motivul pentru care FSF și alții sunt atât de deranjați în legătură cu aceasta este că nu adaugă pași suplimentari pentru utilizarea unui sistem de operare terț.Linux distros nu poate plăti să utilizeze cheia Microsoft, dar este cea mai ușoară și mai eficientă modalitate de a obține Secure Boot care lucrează pentru Linux. Din fericire, este ușor să dezactivați funcția Secure Boot și este posibil să adăugați alte chei, evitând astfel nevoia de a trata Microsoft.
Având în vedere cantitatea de malware din ce în ce mai avansată, Secure Boot pare o idee rezonabilă.Nu este vorba de un complot rău pentru a prelua lumea și este mult mai puțin înfricoșător decât unii specialiști de software liber vă vor crede.
Cerințe de certificare hardware Microsoft
TL; DR: Boot-ul securizat împiedică malware-ul să infecteze sistemul dvs. la un nivel scăzut, nedetectabil în timpul încărcării. Oricine poate crea cheile necesare pentru a funcționa, dar e greu să convingi producătorii de computere să-ți distribuie cheia pentru toată lumea, deci poți să plătești Verisign să folosească cheia Microsoft pentru a semna bootloaderele și a le face să funcționeze. De asemenea, puteți dezactiva Boot Secure pe orice computer non-ARM de tip .
Ultima gândire, în ceea ce privește campania FSF împotriva încărcării securizate: Unele dintre preocupările lor( adică, ceea ce îl face mai aspru pentru a instala sisteme de operare gratuite) sunt valide la un punct la un punct .Spunând că restricțiile vor "împiedica pe oricine să pornească orice altceva decât pe Windows" este demonstrat că este falsă, din motivele ilustrate mai sus. Campania împotriva UEFI / Secure Boot ca tehnologie este de scurtă durată, este dezinformată și este puțin probabil să fie eficientă oricum. Este mai important să se asigure că producătorii respectă cerințele Microsoft pentru a permite utilizatorilor să dezactiveze funcția Secure Boot sau să schimbe cheile dacă doresc acest lucru.
Trebuie să adăugați ceva la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.