17Aug
Нови УЕФИ Сецуре Боот систем у оперативном систему Виндовс 8 је проузроковао више од његовог правичног удела конфузије, посебно међу двоструким покретачима.Прочитајте како разјаснимо погрешне закључке о двоструком покретању са Виндовсом 8 и Линуком.
Данашње питање & амп;Сесија одговора долази нам захваљујући СуперУсер-у подскупу Стацк Екцханге-а, групације К & ама;
Питање
СуперУсер читач Харсха К је радознао о новом УЕФИ систему.Пише:
Чуо сам много о томе како Мицрософт имплементира УЕФИ Сецуре Боот у оперативном систему Виндовс 8. Очигледно то спречава да се неовлашћени покретачки покретачи покрећу на рачунару како би спречили злонамерни софтвер.Постоји кампања Фрее Софтваре Фоундатион-а против сигурног боот-а, а многи људи кажу на интернету да је то Мицрософтово повлачење за "уклањање слободних оперативних система".
Ако добијем рачунар са претходно инсталираним оперативним системом Виндовс 8 и Сецуре Боот, да ли ћу и даље моћи инсталирати Линук( или неки други ОС) касније?Или да ли рачунар са Сецуре Боот-ом ради само са Виндовсом?
Какав је договор?Да ли су дуал боотерс заиста срећни?
Одговорност
СуперУсер сарадник Натхан Хинкле нуди фантастичан преглед онога што је УЕФИ и није:
Пре свега, једноставан одговор на ваше питање:
- Ако имате АРМ таблет који ради преко Виндовс РТ( као што је Сурфаце РТ илиАсус Виво РТ), а затим нећете моћи да онемогућите Сецуре Боот или инсталирате друге ОСес .Као и многе друге АРМ таблете, ови уређаји ће само покренути оперативни систем са којим долазе.
- Ако имате рачунар који није АРМ који ради под оперативним системом Виндовс 8( као Сурфаце Про или било који од бројних ултрабоокова, десктоп рачунара и таблета са к86-64 процесором), онда можете потпуно онемогућити Сецуре Боот комплетно , или можетеинсталирајте своје кључеве и потпишите свој боотлоадер.У сваком случају, можете инсталирати независни ОС као што је Линук дистро или ФрееБСД или ДОС или шта вам се допада.
Сада, на детаље о томе како ова целокупна операција Сецуре Боот стварно функционише: Постоји много дезинформација о Сецуре Боот-у, посебно из Фрее Софтваре Фоундатион и сличних група.Ово је отежавало проналажење информација о томе шта заштитни поклопац заправо ради, па ћу покушати најбоље да објасним.Имајте на уму да немам лично искуство у развоју безбедних система за покретање система или слично томе;ово је оно што сам научио из читања на мрежи.
Пре свега, Сецуре Боот је не нешто с чим је Мицрософт дошао. Они су први који га широко примењују, али га нису измислили.То је део УЕФИ спецификације, што је у основи нова замена за стари БИОС на који сте вероватно навикли.УЕФИ је у основи софтвер који говори између оперативног система и хардвера.УЕФИ стандарде креира група која се зове "УЕФИ Форум", а састоји се од представника рачунарске индустрије укључујући Мицрософт, Аппле, Интел, АМД и неколико произвођача рачунара.
Друга најважнија ствар, са омогућеним безбедним покретањем на рачунару, не значи да рачунар никада не може покренути било који други оперативни систем .Заправо, Мицрософтова властита услова за сертификацију Виндовс хардвера тврде да за системе који нису АРМ, морате имати могућност да обоје искључите Сецуре Боот и промените тастере( да бисте омогућили друге оперативне системе).Још о томе касније.
Шта уради безбедно покретање?
У суштини, спречава злонамерни напад на ваш рачунар кроз редослед покретања.Малваре који улази кроз боотлоадер може бити врло тешко открити и зауставити, јер се може инфилтрирати на ниског нивоа оперативног система, чувајући га невидљивим за антивирусни софтвер.Сва та сигурносна копија заиста значи да верификује да је боотлоадер из поузданог извора и да није био замењен.Размислите о томе као поп-уп капице на бочицама које кажу "не отварајте ако се поклопи поклопац или ако је печат упарен".
На највишем нивоу заштите имате кључ платформе( ПК).Постоји само један ПК на било ком систему, а ОЕМ га је инсталирао током производње.Овај кључ се користи за заштиту базе података КЕК-а.База КЕК садржи кључне кључеве за размену, које се користе за модификовање других сигурносних база података о покретању.Може бити више КЕК-ова.Постоји трећи ниво: овлашћена база података( дб) и забрањена база података( дбк).Ове информације садрже информације о ауторитетима сертификата, додатним криптографским кључевима и сликама УЕФИ уређаја који дозвољавају или блокирају, респективно.Да би заглавље омогућило покретање, он мора бити криптографски потписан с кључем који представља у дб, а није у дбк.
Слика из изградње Виндовса 8: Заштита пре-ОС окружења помоћу УЕФИ
Како то функционише у реалном свету Виндовс 8 сертификован систем
ОЕМ генерише сопствени ПК, а Мицрософт обезбеђује КЕК да је ОЕМ-ов потребан да пре-унети у базу података КЕК.Мицрософт потом потписује Виндовс 8 Боотлоадер и користи свој КЕК да ставља овај потпис у овлашћену базу података.Када УЕФИ покреће рачунар, он верификује ПК, потврђује Мицрософт КЕК, а потом верификује боотлоадер.Ако све изгледа добро, онда ОС може покренути.
Слика из изградње Виндовса 8: Заштита пре-ОС окружења помоћу УЕФИ
Где долазе ОС-ови треће стране, као што је Линук?
Прво, било који Линук дистро би могао изабрати да генерише КЕК и затражити од ОЕМ-а да га подразумевано укључе у базу података КЕК.Затим би имали сваку контролу над процесом покретања као што то чини Мицрософт.Проблеми са овим, како је објаснио Федора Маттхев Гарретт, су: а) било би тешко добити сваки произвођач рачунара да укључи Федорин кључ и б) би било неправично према другим Линук дистрибуцијама, јер њихов кључ не би био укључен, с обзиром да мањи дистрикти немају толико ОЕМ партнерстава.
Оно што је Федора одабрала да уради( и друге дистрибуције су слиједеће) је да користи Мицрософтове услуге потписивања.Овај сценарио захтева плаћање од 99 долара Верисигн-у( ауторитет цертификата који Мицрософт користи) и додељује програмерима могућност да потпишу свој боотлоадер користећи Мицрософт КЕК.Пошто Мицрософт КЕК већ буде на већини рачунара, то им омогућава да потпишу свој боотлоадер да користи Сецуре Боот, без потребе за сопственим КЕК-ом.Завршава се што више компатибилан са више рачунара и кошта мање него да се бави постављањем сопственог система за потписивање и дистрибуцију кључа.Постоји још неколико детаља о томе како ће ово радити( користећи ГРУБ, потписане модуле Кернела и остале техничке информације) у поменутом блог посту, који препоручујем читање ако вас занима ова врста ствари.
Претпоставимо да не желите да се бавите проблемима при пријављивању за Мицрософтов систем, или не желите да платите 99 долара, или немојте замерити велике корпорације које почињу са М. Постоји још једна могућност да још увек користите СецуреПокрените и покрените ОС осим оперативног система Виндовс.Мицрософтов сертификат хардвера захтева да ОЕМ-ови омогућавају корисницима да унесу свој систем у УЕФИ "прилагођени" мод, гдје могу ручно модифицирати базу података Сецуре Боот и ПК.Систем се може ставити у режим УЕФИ подешавања, где корисник може чак одредити сопствени ПК и сам потписати боотлоадере.
Штавише, Мицрософтови сопствени захтеви за сертификацију обавезују да ОЕМ-ови укључују методу за онемогућавање Сецуре Боот-а на не-АРМ системима. Можете искључити Сецуре Боот! Једини системи у којима не можете онемогућити Сецуре Боот су АРМ системи који користе Виндовс РТ, који функционишу више слично иПад-у, где не можете учитати прилагођене оперативне системе.Иако бих желео да је могуће променити ОС на АРМ уређајима, поштено је рећи да Мицрософт прати индустријски стандард у односу на таблете овде.
Дакле, безбедно покретање није инхерентно зло?
Као што можете надам се видети, Сецуре Боот није зло и није ограничен само за коришћење са Виндовсом.Разлог због којих су ФСФ и други толико узнемирени због тога што додају додатне кораке за коришћење независног оперативног система.Линук дистрос можда не жели да плати за коришћење Мицрософтовог кључа, али је то најлакши и најисплативији начин да се Сецуре Боот ради за Линук.Срећом, лако је искључити Сецуре Боот и могуће је додати различите кључеве, чиме се избјегава потреба за рјешавањем Мицрософт-а.
С обзиром на количину све напреднијег малвера, Сецуре Боот изгледа као разумна идеја.Није намијењено да буде зла завера за преузимање свијета, а много је мање застрашујућа него што ће вам неки вјеродостојни бесплатни софтвер вјеровати.
Додатно читање:
- Услови за сертификацију Мицрософт хардвера
- Изградња оперативног система Виндовс 8: Заштита пре-ОС окружења помоћу УЕФИ
- Мицрософт презентација о безбедном покретању и управљању кључевима
- Имплементација УЕФИ сигурносног покрета у Федори
- ТецхНет сигурном покретном прегледу
- Википедиа артицле он УЕФИ
ТЛ; ДР: Сецуре боот спречава злонамерни софтвер да инфицира ваш систем на ниском, неоткривеном нивоу приликом покретања система.Свако може да створи потребне кључеве како би то функционисало, али је тешко уверити произвођаче рачунара да дистрибуирају ваш кључ за све, тако да можете алтернативно да одаберете да платите Верисигн-у да користи Мицрософтов кључ за потписивање вашег боотлоадера и учинити их радом. Такође можете онемогућити Сецуре Боот на било који нон-АРМ рачунар.
Задња мисао, с обзиром на кампању ФСФ-а против Сецуре боот-а: Неке од њихових забринутости( тј. То чини тежим да инсталира бесплатне оперативне системе) су важеће до точке .Ако кажете да ће ограничења "спречити било ког покретања било чега осим Виндовс-а", очигледно је погрешно, из разлога илустрованих горе.Кампања против УЕФИ / Сецуре Боот као технологије је кратковидна, дезинформисана и вероватно неће бити ефикасна у сваком случају.Важније је осигурати да произвођачи уствари прате Мицрософтове захтјеве за омогућавање корисницима онемогућавање сигурног покретања или промјену кључева ако то желе.
Имате ли нешто да додате објашњењу?Звучи у коментарима.Желите да прочитате више одговора од других корисничких корисника Стацк Екцханге?Овде погледајте комплетну тему.