17Aug
Nový systém UEFI Secure Boot v systéme Windows 8 priniesol viac než len spravodlivý podiel zmätku, najmä medzi dvoma bojovníkmi.Čítajte ďalej, keď objasňujeme nesprávne predstavy o duálnom zavedení systému Windows 8 a Linux.
Dnešná otázka &Odpoveď na zasadnutie nám príde s láskavým dovolením SuperUser - subdivíziu Stack Exchange, komunitne riadeného zoskupenia webových stránok Q & A.
Otázka
Čítačka SuperUser Harsha K je zvedavá o novom systéme UEFI.Píše:
Počul som veľa o tom, ako spoločnosť Microsoft implementuje systém UEFI Secure Boot v systéme Windows 8. Zrejme zabraňuje spusteniu "neautorizovaných" bootloaderov na počítači, aby sa zabránilo škodlivému softvéru. Existuje kampaň nadácie Free Software Foundation proti bezpečnej zavádzacej sieti a mnohí ľudia hovoria on-line, že Microsoft je "mocným grabom" na "odstránenie voľných operačných systémov".
Ak získam počítač s predinštalovaným systémom Windows 8 a Secure Boot, budem môcť nainštalovať Linux( alebo iný OS) neskôr? Alebo počítač s funkciou Secure Boot funguje iba v systéme Windows?
Takže čo je dohoda? Sú duálne posily skutočne zo šťastia?
Odpovedať
SuperUser prispievateľ Nathan Hinkle ponúka fantastický prehľad o tom, čo UEFI je a nie je:
Najskôr jednoduchá odpoveď na vašu otázku:
- Ak máte ARM tabletu so systémom Windows RT( napr. Surface RT aleboAsus Vivo RT), potom nebudete môcť vypnúť funkciu Secure Boot alebo inštalovať iné operačné systémy .Rovnako ako mnohé iné tablety ARM, tieto zariadenia budú len spustiť OS, ktoré prichádzajú s.
- Ak máte počítač bez počítača ARM so systémom Windows 8( ako je Surface Pro alebo niektorý z nespočetných ultrabookov, stolných počítačov a tabletov s procesorom x86-64), potom môžete úplne vypnúť funkciu Secure Boot úplne , alebo môžetenainštalujte svoje vlastné kľúče a podpíšte svoj vlastný bootloader. V obidvoch prípadoch môžete nainštalovať operačný systém tretej strany ako distribučný systém Linux alebo FreeBSD alebo DOS alebo čokoľvek, čo vás poteší.
Teraz podrobnosti o tom, ako funguje toto celé zabezpečenie Bezpečnej topánky: Je veľa dezinformácie o Secure Boot, hlavne od nadácie Free Software Foundation a podobných skupín. Je to ťažké nájsť informácie o tom, čo skutočne robí Secure Boot, a tak sa pokúsim vysvetliť čo najlepšie. Všimnite si, že nemám osobné skúsenosti s vývojom bezpečných zavádzacích systémov alebo niečo také;to je práve to, čo som sa naučil z čítania online.
Po prvé Secure Boot je nie niečo, čo Microsoft prišiel. Sú to prví, ktorí to široko implementovali, ale nevymysleli to. Je to súčasť špecifikácie UEFI, ktorá je v podstate novšia náhrada starého systému BIOS, s ktorým ste pravdepodobne zvyknutí.UEFI je v podstate softvér, ktorý hovorí medzi operačným systémom a hardvérom. Normy UEFI vytvára skupina s názvom Fórum UEFI, ktoré tvoria zástupcovia počítačového priemyslu vrátane spoločnosti Microsoft, spoločnosti Apple, spoločnosti Intel, spoločnosti AMD a niekoľkých výrobcov počítačov.
Druhý najdôležitejší bod, so zapnutou funkciou Secure Boot na počítači, neznamená , že počítač nikdy nespúšťa žiadny iný operačný systém .Vlastné požiadavky spoločnosti Microsoft na certifikáciu hardvéru spoločnosti Microsoft uvádzajú, že pre systémy, ktoré nie sú súčasťou systému ARM, musíte zakázať funkciu Secure Boot a zmeniť kľúče( aby ste povolili iné operačné systémy).Viac o tom neskôr.
Čo robí Secure Boot?
V podstate zabraňuje napadnutiu škodlivého softvéru počítačom prostredníctvom zavádzacej sekvencie. Malware, ktorý vstupuje cez bootloader, môže byť veľmi ťažké odhaliť a zastaviť, pretože môže preniknúť do nižších úrovní funkcií operačného systému a udržať ho neviditeľný pre antivírusový softvér. Všetko, čo služba Secure Boot naozaj robí, je overiť, či je bootloader z dôveryhodného zdroja a či nebol narušený.Premýšľajte o tom ako o vyskakovacích uzáveroch na fľašiach, ktoré hovoria: "Neotvárajte otvorenie poklopu alebo poškodenie tesnenia".
V najvyššej úrovni ochrany máte kľúč na platforme( PK).Na každom systéme je iba jedno zariadenie PK a výrobca OEM ho inštaluje počas výroby. Tento kľúč slúži na ochranu databázy KEK.Databáza KEK obsahuje kľúčové kľúče Exchange, ktoré sa používajú na úpravu ostatných zabezpečených databáz. Môžu byť viaceré KEK.Potom existuje tretia úroveň: autorizovaná databáza( db) a zakázaná databáza( dbx).Tieto informácie obsahujú informácie o certifikačných autoritách, dodatočných kryptografických kľúčoch a obrázkoch zariadení UEFI, ktoré umožňujú alebo blokujú.Aby bootloader mohol bežať, musí byť kryptograficky podpísaný s kľúčom, ktorý je v db a nie je v dbx.
Obrázok z budovy Windows 8: Ochrana pred OS prostredím s UEFI
Ako to funguje na skutočnom systéme Windows 8 Certified
OEM vytvára vlastné PK a spoločnosť Microsoft poskytuje KEK, že OEM je povinný pre-načítať do databázy KEK.Spoločnosť Microsoft potom podpíše Bootloader systému Windows 8 a používa svoj KEK na vloženie tohto podpisu do autorizovanej databázy. Keď UEFI spustí počítač, overí PK, overí KEK spoločnosti Microsoft a potom overí bootloader. Ak všetko vyzerá dobre, operačný systém sa môže naštartovať.
Obrázok z budovy Windows 8: Ochrana pred OS prostredím s UEFI
Kde prichádzajú operačné systémy tretích strán, ako napríklad Linux?
Po prvé, akýkoľvek distribučný systém Linux by sa mohol rozhodnúť vygenerovať KEK a požiadať OEM, aby ho štandardne zaradili do databázy KEK.Oni by potom mali každý bit toľko kontroly nad procesom zavádzania, ako to robí spoločnosť Microsoft. Problémy s tým, ako to vysvetlil Matthew Garrett z Fedory, spočívajú v tom, že a) by bolo ťažké dostať každého výrobcu PC do Fedoryho kľúča a b) by to bolo nespravodlivé pre iné distribučné systémy Linux, pretože ich kľúč by nebol zahrnutý, pretože menšie distribúcie nemajú toľko partnerov OEM.
Čo sa Fedora rozhodla urobiť( a ostatné rozdiely sú nasledovné) je používať podpisové služby spoločnosti Microsoft. Tento scenár si vyžaduje, aby Verisign( certifikačný orgán, ktorý spoločnosť Microsoft používa) zaplatil 99 dolárov a poskytuje vývojárom možnosť podpísať svoj bootloader pomocou KEK spoločnosti Microsoft. Vzhľadom na to, že spoločnosť KEK spoločnosti Microsoft už bude vo väčšine počítačov, umožní im to, aby podpísali svoj bootloader na používanie funkcie Secure Boot bez toho, aby vyžadovali vlastné KEK.Výsledkom je, že je viac kompatibilný s viacerými počítačmi a stojí oveľa menej ako riešenie vytvorenia vlastného kľúčového podpisového a distribučného systému. Podrobnejšie informácie o tom, ako to bude fungovať( pomocou modulov GRUB, podpísaných modulov jadra a ďalších technických informácií), nájdete na vyššie uvedenom blogovom príspevku, ktorý vám odporúčam čítať, ak vás zaujímajú takéto veci.
Predpokladajme, že sa nechcete zaoberať problémami s registráciou systému Microsoft, alebo nechcete platiť 99 dolárov, alebo máte len zármutok voči veľkým spoločnostiam, ktoré začínajú s M. Existuje ďalšia možnosť stále používať SecureZavádzajte a spustite operačný systém iný ako Windows. Certifikácia hardvéru spoločnosti od spoločnosti vyžaduje , aby výrobcovia OEM dovolili používateľom vstúpiť do svojho "vlastného" režimu UEFI, kde môžu manuálne upravovať databázy Secure Boot a PK.Systém môže byť umiestnený do režimu nastavenia UEFI, kde môže užívateľ dokonca určiť vlastnú PK a sám podpisovať bootloadery.
Okrem toho vlastné požiadavky na certifikáciu od spoločnosti Microsoft vyžadujú, aby výrobcovia OEM zahrnuli metódu na zakázanie systému Secure Boot na systémoch, ktoré nie sú súčasťou systému ARM. Bezpečné spustenie môžete vypnúť! Jediné systémy, v ktorých nemožno zakázať funkciu Secure Boot, sú systémy ARM so systémom Windows RT, ktoré fungujú podobne ako iPad, kde nie je možné načítať vlastné operačné systémy. Aj keď by som chcel, aby bolo možné zmeniť operačný systém na zariadeniach ARM, je spravodlivé povedať, že spoločnosť Microsoft dodržiava štandardné štandardy pre tablety tu.
Takže bezpečná obuv nie je vlastne zlá?
Tak ako môžete dúfajme vidieť, Secure Boot nie je zlá a nie je obmedzený len na použitie s Windows. Dôvod, prečo je FSF a iní tak rozrušený, je to, že pridáva ďalšie kroky k používaniu operačného systému tretej strany. Distribúcia Linuxu nemusí platiť za používanie kľúčov spoločnosti Microsoft, ale je to najjednoduchší a najefektívnejší spôsob, ako získať funkciu Secure Boot pre Linux. Našťastie je jednoduché vypnúť Secure Boot a je možné pridávať rôzne kľúče, čím sa zabráni nutnosti riešiť problém so spoločnosťou Microsoft.
Vzhľadom na množstvo čoraz pokročilejších malware sa Secure Boot zdá byť rozumným nápadom. Nie je to zlý plán, ktorý by prevzal svet a je oveľa menej desivý, než akýkoľvek veriaci veriaci.
Ďalšie požiadavky:
- Požiadavky na certifikáciu hardvéru Microsoft
- Budovanie systému Windows 8: Ochrana pred OS prostredím s UEFI
- Prezentácia spoločnosti Microsoft o nasadení a správe kľúčov Secure Boot
- Implementácia UEFI Secure Boot vo Fedore
- Prehľad bezpečného bootovania TechNet
- Článok Wikipedia o UEFI
TL; DR: Zabezpečené zavedenie zabraňuje infikovaniu vášho systému malým, nedetekovateľným spôsobom počas zavádzania. Ktokoľvek môže vytvoriť potrebné kľúče na to, aby fungoval, ale je ťažké presvedčiť výrobcov počítačov, aby distribuovali kľúč všetkým, takže si môžete alternatívne zaplatiť Verisign za používanie kľúča spoločnosti Microsoft na podpísanie vašich zavádzačov a ich prácu. Môžete tiež zakázať zabezpečené spustenie na akýkoľvek počítač bez ARM.
Posledná myšlienka, pokiaľ ide o kampaň FSF proti Secure boot: Niektoré z ich obáv( to znamená, že je ťažšie nainštalovať voľné operačné systémy) sú platné do bodu .Povedal, že obmedzenia "zabránia komukoľvek, aby zavádzali čokoľvek iné ako Windows", je preukázateľne nepravdivé, a to z vyššie uvedených dôvodov. Kampaň proti technológii UEFI / Secure Boot ako technológii je krátkozraká, dezinformovaná a je nepravdepodobné, že by bola účinná.Je dôležitejšie zabezpečiť, aby výrobcovia skutočne dodržiavali požiadavky Microsoftu na to, aby umožnili používateľom zakázať zabezpečené zavádzanie alebo zmenili kľúče, ak si to želajú.
Musíte niečo doplniť k vysvetleniu? Zvuk vypnúť v komentároch. Chcete si prečítať viac odpovedí od iných používateľov technológie Stack Exchange? Pozrite sa na celý diskusný príspevok tu.