17Aug
Windows 8'deki yeni UEFI Güvenli Önyükleme sistemi, özellikle çift önyükleme aygıtları arasında, karışıklığın adil payından daha fazlasını sağlamıştır. Windows 8 ve Linux ile çift önyüklemeyle ilgili yanlış anlamaları temizlediğimizi okuyun.
Bugünkü Soru &Yanıt oturumu bize Q & A web sitelerinin topluluk temelli bir gruplandırması olan Stack Exchange'in bir alt bölümü olan SuperUser nezaketen geliyor.
Soru
SuperUser okuyucu Harsha K yeni UEFI sistemini merak ediyor. Yazıyor:
Microsoft'un Windows 8'de UEFI Güvenli Önyükleme'yi nasıl uyguladığına ilişkin çok şey duydum. Görünüşe göre "yetkisiz" önyükleyicilerin bilgisayarda çalıştırılmasını önleyerek zararlı yazılımları önlemiyor. Free Software Foundation tarafından güvenli önyükleme yapılmasına karşı bir kampanya var ve bir sürü insan çevrimiçi olarak Microsoft'un "özgür işletim sistemlerini ortadan kaldırmak" için bir "güç kaptanı" olduğunu söylüyor.
Windows 8 ve Güvenli Önyükleme önceden yüklenmiş bir bilgisayar alırsam, daha sonra Linux'u( veya başka bir işletim sistemini) kurabilir miyim? Veya Güvenli Önyükleme özelliğine sahip bir bilgisayar hiç Windows ile çalışmıyor mu?
Peki anlaşma nedir?Çift açılımcılar gerçekten şansa sahip değil mi?
Cevap
SüperKullanıcı katkıda bulunan Nathan Hinkle, UEFI'nin ne olduğuna ve sahip olmadığına dair fantastik bir genel bakış sunar:
Her şeyden önce, sorunuza basit cevap:
- Windows RT çalıştıran bir ARM tableti varsa( Yüzey RT ya daAsus Vivo RT), daha sonra ile Güvenli Önyükleme özelliğini devre dışı bırakamaz veya diğer işletim sistemlerini 'yi yükleyemezsiniz. Diğer birçok ARM tabletinde olduğu gibi, bu cihazlar ile birlikte gelen OS'yi çalıştırır.
- Windows 8 çalıştıran ARM olmayan bir bilgisayarınız varsa( Surface Pro veya sayısız ultrabooks, masaüstü bilgisayar ve x86-64 işlemcili tabletler gibi) 'yi kullanarak Secure Boot'u tamamen olarak devre dışı bırakabilir veyakendi anahtarlarınızı yükleyin ve kendi önyükleyicinizi imzalayın. Her iki durumda da, gibi Linux dağıtımı veya FreeBSD veya DOS gibi bir üçüncü parti işletim sistemini veya sizi memnun eden her şeyi yapabilirsiniz.
Şimdi, tüm bu Güvenli Önyükleme işinin gerçekte nasıl çalıştığını ayrıntılarıyla anlatalım: Özellikle Özgür Yazılım Vakfı ve benzeri gruplardan gelen Güvenli Önyükleme hakkında çok fazla yanlış bilgi var. Bu, Secure Boot'ın gerçekte ne yaptığı hakkında bilgi bulmakta zorlandı, bu nedenle açıklamak için elimden gelenin en iyisini yapacağım. Güvenli önyükleme sistemleri geliştirmede kişisel bir deneyime sahip olmadığıma dikkat edin;Bu sadece çevrimiçi okumadan öğrendiğim şey.
Her şeyden önce, Güvenli Önyükleme değil Microsoft'un önünü açtı. Bunları yaygın olarak uygulayan ilk kişilerdiler, ancak onu icat etmediler. Esas olarak eskiden kullandığınız eski BIOS için yeni bir yedek olan UEFI şartnamesinin bir parçası.Temel olarak, UEFI, işletim sistemi ve donanım arasında konuşan yazılımdır. UEFI standartları, Microsoft, Apple, Intel, AMD ve bir avuç bilgisayar üreticisinin de bulunduğu bilgisayar endüstrisi temsilcilerinden oluşan "UEFI Forumu" adlı bir grup tarafından oluşturuldu.
İkinci bir önemli nokta, 'nin bir bilgisayarda Güvenli Önyükleme etkin olması, değil , bilgisayarın başka hiçbir işletim sistemini önyükleme yapamayacağı anlamına gelir. Aslında, Microsoft'un kendi Windows Donanım Sertifikası Gereksinimleri, ARM dışı sistemler için Güvenli Önyüklemeyi devre dışı bırakabilmeniz ve tuşları değiştirebilmeniz( diğer OS'lara izin vermek için) yapabilmeniz gerektiğini belirtmektedir. Bununla ilgili daha fazla bilgi olsa da.
Secure Boot ne yapar?
Esasen kötü amaçlı yazılımların önyükleme sırası ile bilgisayarınıza saldırmasını önler.Önyükleyici ile giren kötü amaçlı yazılım, algılamak ve durdurmak çok zor olabilir, çünkü işletim sisteminin alt düzey işlevlerine sızabilir ve virüsten koruma yazılımı tarafından görünmez kalabilir. Güvenli Önyükleme'nin tümü, önyükleyicinin güvenilir bir kaynaktan olduğunu ve oyunun değiştirilmediğini doğrular. Sanki "kapak açılırsa mühür açılmış" veya "mühür kurcalandı" diyen şişelerde açılan kapaklar gibi düşünün.
Üst düzey koruma düzeyinde platform anahtarınız( PK) vardır. Herhangi bir sistemde yalnızca bir tane PK vardır ve üretim sırasında OEM tarafından yüklenir. Bu anahtar KEK veritabanını korumak için kullanılır. KEK veritabanında, diğer güvenli önyükleme veritabanlarını değiştirmek için kullanılan Anahtar Değiştirme Tuşları bulunur. Birden fazla KEK olabilir.Üçüncü seviye vardır: Yetkili Veritabanı( db) ve Yasak Veri Tabanı( dbx).Bunlar sırasıyla izin vermek veya engellemek için Sertifika Yetkilileri, ek şifreleme anahtarları ve UEFI cihaz görüntüleri hakkında bilgi içerir. Bir önyükleyicinin çalışmasına izin verilmesi için, kriptografik olarak, 'nin db'de olduğu ve 'nin dbx'de olmadığı bir anahtarla imzalanması gerekir.
Windows 8'i Oluşturmadan Görüntü: UEFI
ile işletim öncesi ortamın korunması Bu, gerçek dünyadaki Windows 8 Sertifikalı sistemde nasıl işler.
OEM kendi PK'sini üretir ve Microsoft, OEM'in, KEK veritabanına yükleyin. Microsoft Windows 8 Bootloader'ı imzalar ve bu imzayı Yetkili Veritabanına koymak için KEK'ini kullanır. UEFI bilgisayarı önyükleme yaparken PK'yi doğrular, Microsoft'un KEK'ini doğrular ve daha sonra önyükleme yapıcıyı doğrular. Her şey iyi görünüyorsa, işletim sistemi önyüklenebilir.
Windows 8'i Oluşturma İmajı: UEFI
ile işletim öncesi ortamın korunması Linux gibi üçüncü taraf OS'ler nereye giriyor?
Önce, herhangi bir Linux dağıtımı bir KEK üretmeyi ve OEM'lere onu varsayılan olarak KEK veritabanına dahil etmeyi seçebilir. Daha sonra, Microsoft'un yaptığı gibi önyükleme işleminde her biti kontrol edebilirlerdi. Fedora'nın Matthew Garrett tarafından açıklandığı üzere bununla ilgili sorunlar şunlardır: a) her bir PC üreticisinin Fedora anahtarını içermesini zorlaştıracak ve b) diğer Linux dağıtımlarına haksız gelecek, çünkü anahtarları dahil edilmez, çünkü küçük dağıtımlar pek çok OEM ortaklığına sahip değildir.
Fedora ne yapmayı seçti( ve diğer dağıtımlar davayı takip ediyor), Microsoft imzalama servislerini kullanmaktır. Bu senaryo, Verisign'a( Microsoft'un kullandığı Sertifika Yetkilisi) 99 doları ödemeyi gerektirir ve geliştiricilere Microsoft'un KEK'ini kullanarak önyükleyicisini imzalama olanağı tanır. Microsoft'un KEK'i zaten birçok bilgisayarda bulunacağından bu, kendi KEK'lerine gerek duymadan kendilerinin Güvenli Önyükleme kullanmak için önyükleyicisini imzalamalarını sağlar. Sonunda, daha fazla bilgisayarla daha uyumlu hale gelir ve kendi anahtar imzalama ve dağıtım sistemini kurma ile uğraşmaktan daha az maliyet alır. Yukarıda bahsedilen blog yazısında, bunun nasıl işleyeceği( GRUB, imzalı Çekirdek modülleri ve diğer teknik bilgiler kullanılarak) biraz daha ayrıntıları var, bu tür bir şeyle ilgileniyorsanız okumayı öneriyorum.
Microsoft'un sistemine kaydolma zorunluluğuyla uğraşmak istemediğinizi veya 99 dolara ödeme yapmak istemediğinizi veya sadece bir M ile başlayan büyük şirketlere karşı bir kininiz olduğunu varsayalım. Hâlâ Güvenli Kullanmaya ilişkin başka bir seçenek varWindows dışında bir işletim sistemini önyükleyin ve çalıştırın. Microsoft'un donanım sertifikası , 'yi gerektirir; bu nedenle OEM'ler, kullanıcıları sistemlerini Secure Boot veritabanlarını ve PK'yi manuel olarak değiştirebilecekleri UEFI "özel" moduna girmelerine izin verir. Sistem UEFI Kurulum Modu'na yerleştirilebilir; burada kullanıcı kendi PK'sini belirleyebilir ve kendilerini önyükleyiciler imzalayabilir.
Ayrıca, Microsoft'un kendi sertifikasyon gereksinimleri, OEM'lerin ARM dışı sistemlerde Güvenli Önyükleme özelliğini devre dışı bırakmak için bir yöntem içermesi zorunluluğunu getirmektedir. Secure Boot'u kapatabilirsiniz! Güvenli Önyükleme özelliğini devre dışı bırakamayacağınız tek sistem, özel OS'ler yükleyemediğiniz iPad'e benzer şekilde işlev gören Windows RT çalıştıran ARM sistemleri. ARM aygıtlarında işletim sistemini değiştirmek mümkün olsa da, Microsoft'un buradaki tabletlerle ilgili endüstri standardını takip ettiğini söylemek doğru olacaktır.
Yani güvenli önyükleme kökten kötü mü değildir?
Öyle ki umarız görebilirsiniz, Güvenli Önyükleme kötülük değildir ve sadece Windows ile kullanım için sınırlandırılmamıştır. FSF'nin ve diğerlerinin bu durumdan bu kadar üzülmesinin nedeni, bir üçüncü taraf işletim sistemini kullanmak için fazladan adımlar atmasıdır. Linux dağıtımları, Microsoft'un anahtarını kullanmak için ödeme yapmaktan hoşlanmayabilir, ancak Secure Boot'ın Linux için çalışması için en kolay ve maliyet etkili yoludur. Neyse ki, Güvenli Önyükleme özelliğini kapatmak kolaydır ve farklı tuşlar eklemek mümkündür, böylece Microsoft ile başa çıkma gereksinimi ortadan kalkar.
Giderek artan kötü amaçlı yazılım miktarı göz önüne alındığında, Secure Boot mantıklı bir fikir gibi görünüyor. Bu, dünyayı ele geçirmek için kötü bir arsa olmak anlamına gelmez ve bazı ücretsiz yazılım uzmanlarının inandıracağından daha az korkunçtur.
Ek okuma listesi:
- Microsoft Donanım Sertifika Gereksinimleri
- Windows 8'i Oluşturun: UEFI
- ile işletim sistemi öncesi ortamın korunması Güvenli Önyükleme ve anahtar yönetimi konusunda Microsoft'un sunumu
- Fedora'da UEFI Güvenli Önyükleme Uygulaması
- TechNet Güvenli Önyükleme Genel Bakış
- UEFI
ile ilgili Wikipedia makalesiTL: DR: Güvenli önyükleme, kötü amaçlı yazılımın önyükleme sırasında düşük, algılanamayan bir seviyede sisteminize bulaşmasını önler. Herkes işe yarayacak gerekli anahtarları oluşturabilir, ancak bilgisayar üreticilerini 'yi anahtarınızı herkese dağıtmaya ikna etmek zor, bu yüzden alternatif olarak Microsoft'un anahtarını kullanarak önyükleyicilerinizi imzalamak ve çalışmak için Verisign'a ödeme yapmayı seçebilirsiniz. Secure Boot'u 'de herhangi bir ARM olmayan bilgisayar da devre dışı bırakabilirsiniz.
FSF'nin Güvenli önyüklemeyle mücadele konusundaki son düşüncesi: Bazı endişeleriniz( diğer bir deyişle, 'yi ücretsiz işletim sistemlerini yüklemek için daha zor hale getiriyor) 'dan noktasına kadar geçerlidir. Kısıtlamaların "yukarıda bahsedilen nedenlerden ötürü herhangi birinin Windows'tan önyüklenmesini önleyeceğini" söyleyerek açıkça yanlış olduğu söyleniyor. Bir teknoloji olarak UEFI / Güvenli Önyükleme'ye karşı kampanya yapmak kısa görüşlü, yanlış bilgilendirilmiş ve zaten etkili olmamıştır.Üreticilerin Microsoft'un Güvenli Önyükleme'yi devre dışı bırakmasına veya anahtarları istedikleri takdirde değiştirmelerine izin vermek için gerçekte uymalarını sağlamak için daha önemlidir.
Açıklamaya eklemek için bir şey var mı?Açıklamalarda ses çıkıyor. Diğer teknik uzman Stack Exchange kullanıcılarından daha fazla cevap okumak ister misiniz? Buradaki tam tartışma dizinine göz atın.
