Nowy system UEFI Secure Boot w systemie Windows 8 spowodował więcej niż zwykły udział w zamieszaniu, zwłaszcza wśród podwójnych użytkowników. Czytaj dalej, kiedy wyjaśnimy nieporozumienia dotyczące podwójnego rozruchu w systemach Windows 8 i Linux.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, społecznościowego forum z pytaniami i odpowiedziami.
Czytnik SuperUser Harsha K jest ciekawa nowego systemu UEFI. On pisze:
Słyszałem wiele o tym, jak Microsoft wdraża bezpieczny rozruch w UEFI w systemie Windows 8. Pozornie zapobiega uruchamianiu "nieautoryzowanych" programów ładujących na komputerze, aby zapobiec złośliwemu oprogramowaniu. Istnieje kampania Free Software Foundation dotycząca bezpiecznego rozruchu, a wiele osób mówi w Internecie, że to "power grab" Microsoftu "eliminuje darmowe systemy operacyjne".
Jeśli otrzymam komputer z preinstalowanym systemem Windows 8 i Bezpiecznym bootowaniem, czy będę mógł później zainstalować system Linux (lub inny system operacyjny)? A może komputer z funkcją bezpiecznego rozruchu działa tylko w systemie Windows?
Więc jaka jest umowa? Czy dwoje booterów naprawdę nie ma szczęścia?
Współpracownik SuperUser, Nathan Hinkle, oferuje fantastyczny przegląd tego, czym jest UEFI, a czym nie jest:
Przede wszystkim prosta odpowiedź na twoje pytanie:
- Jeśli masz tablet ARM z systemem Windows RT (np. Surface RT lub Asus Vivo RT)nie będzie można wyłączyć Bezpiecznego rozruchu ani zainstalować innych systemów operacyjnych. Podobnie jak wiele innych tabletów ARM, te urządzenia będątylko uruchom system operacyjny, z którego pochodzą.
- Jeśli masz komputer inny niż ARM z systemem Windows 8 (takim jak Surface Pro lub dowolne z niezliczonych ultrabooków, komputerów stacjonarnych i tabletów z procesorem x86-64), a następniemożesz całkowicie wyłączyć Bezpieczne uruchamianielub możesz zainstalować własne klucze i podpisać własny bootloader. Tak czy inaczej,możesz zainstalować system operacyjny innej firmy jak dystrybucję Linuksa lub FreeBSD, DOS lub cokolwiek ci się podoba.
Przejdźmy teraz do szczegółów tego, jak działa ta cała funkcja Secure Boot: istnieje wiele dezinformacji na temat Secure Boot, szczególnie z Free Software Foundation i podobnych grup. To sprawiło, że trudno było znaleźć informacje o tym, co naprawdę robi Bezpieczny rozruch, więc postaram się wszystko wyjaśnić. Zauważ, że nie mam osobistego doświadczenia w tworzeniu bezpiecznych systemów rozruchowych ani niczego podobnego; to jest właśnie to, czego nauczyłem się podczas czytania w Internecie.
Po pierwsze,Bezpieczny rozruch jestnie coś, co Microsoft wymyślił. Są pierwszymi, którzy szeroko ją wdrażają, ale nie wymyślili jej. Jest to część specyfikacji UEFI, która jest w zasadzie nowszym zamiennikiem starego BIOS-u, do którego prawdopodobnie przywykliście. UEFI to w zasadzie oprogramowanie, które komunikuje system operacyjny ze sprzętem. Standardy UEFI są tworzone przez grupę o nazwie "UEFI Forum", w skład której wchodzą przedstawiciele branży komputerowej, w tym Microsoft, Apple, Intel, AMD i garstka producentów komputerów.
Drugi najważniejszy punkt,z włączonym Bezpiecznym uruchomieniem na komputerzenie oznacza, że komputer nigdy nie może uruchomić żadnego innego systemu operacyjnego. W rzeczywistości, własne wymagania Microsoft dotyczące certyfikacji sprzętu Windows stwierdzają, że w przypadku systemów innych niż ARM użytkownik musi mieć możliwość zarówno wyłączenia Bezpiecznego rozruchu, jak i zmiany kluczy (w celu umożliwienia innym systemom operacyjnym). Więcej o tym później.
Co robi Bezpieczny rozruch?
Zasadniczo zapobiega to atakowaniu twojego komputera przez sekwencję rozruchową. Złośliwe oprogramowanie, które przechodzi przez bootloader, może być bardzo trudne do wykrycia i zatrzymania, ponieważ może infiltrować funkcje niskiego poziomu systemu operacyjnego, dzięki czemu jest niewidoczne dla oprogramowania antywirusowego. Wszystko, co naprawdę robi Secure Boot, to sprawdzenie, czy bootloader pochodzi z zaufanego źródła i czy nie został zmodyfikowany. Pomyśl o tym jak o wyskakujących zatyczkach na butelkach, które mówią: "nie otwieraj, jeśli przykryjesz pokrywkę lub pieczęć została naruszona".
Na najwyższym poziomie ochrony masz klucz platformy (PK). Na każdym systemie jest tylko jeden PK, który jest instalowany przez producenta OEM podczas produkcji. Ten klucz służy do ochrony bazy danych KEK. Baza danych KEK przechowuje klucze wymiany kluczy, które służą do modyfikowania innych bezpiecznych baz danych rozruchowych. Może być wiele KEKs. Istnieje wtedy trzeci poziom: Autoryzowana baza danych (db) i zakazana baza danych (dbx). Zawierają one informacje o urzędach certyfikacji, dodatkowych kluczach kryptograficznych i obrazach urządzeń UEFI, odpowiednio do zezwalania lub blokowania. Aby bootloader mógł działać, musi być podpisany kryptograficznie kluczemjest w db, inie jest w dbx.
Obraz z systemu Windows 8: Ochrona środowiska pre-OS za pomocą UEFI
Jak to działa w prawdziwym systemie Windows 8 Certified
OEM generuje własny PK, a Microsoft zapewnia KEK, że OEM jest wymagany do wstępnego załadowania do bazy danych KEK. Microsoft następnie podpisuje Bootloader systemu Windows 8 i używa ich KEK, aby umieścić ten podpis w Autoryzowanej bazie danych. Gdy UEFI uruchamia komputer, sprawdza PK, weryfikuje KEK firmy Microsoft, a następnie weryfikuje bootloader. Jeśli wszystko wygląda dobrze, system operacyjny może się uruchomić.
Obraz z systemu Windows 8: Ochrona środowiska pre-OS za pomocą UEFIGdzie wchodzą systemy innych producentów, takie jak Linux?
Po pierwsze, każda dystrybucja Linuksa może wybrać generowanie KEK i poprosić producentów OEM, aby domyślnie umieścili go w bazie danych KEK. Będą wtedy mieli równie dużą kontrolę nad procesem uruchamiania, jak robi to Microsoft.Problemy z tym, jak wyjaśnił Matthew Garrett z Fedory, są następujące: a) trudno byłoby każdemu producentowi PC włączyć klucz Fedory, i b) byłoby to niesprawiedliwe dla innych dystrybucji Linuksa, ponieważ ich klucz nie byłby włączony , ponieważ mniejsze dystrybucje nie mają tak wielu partnerstw OEM.
To, co Fedora zdecydowała się zrobić (i inne dystrybucje podążają za tym przykładem), to korzystać z usług podpisu firmy Microsoft. Ten scenariusz wymaga zapłacenia 99 USD firmie Verisign (urzędowi certyfikacji, z której korzysta Microsoft) i zapewnia programistom możliwość podpisania ich programu rozruchowego za pomocą KEK firmy Microsoft. Ponieważ KEK firmy Microsoft jest już w większości komputerów, pozwala im to na podpisywanie ich bootloadera w celu korzystania z bezpiecznego rozruchu, bez konieczności posiadania własnego KEK. Kończy się to tym, że jest bardziej kompatybilny z większą ilością komputerów, i kosztuje mniej ogólnie niż zajmowanie się konfigurowaniem własnego systemu podpisywania kluczy i dystrybucji. Więcej informacji na temat tego, jak to będzie działać (przy użyciu GRUB-a, podpisanych modułów jądra i innych informacji technicznych) we wspomnianym wcześniej wpisie na blogu, które polecam przeczytać, jeśli jesteś zainteresowany tego typu rzeczami.
Załóżmy, że nie chcesz zajmować się problemami z rejestracją w systemie Microsoftu, lub nie chcesz płacić 99 USD lub po prostu mieć urazę do dużych korporacji, które zaczynają się od M. Istnieje jeszcze jedna opcja, aby nadal używać bezpiecznego rozruchu i uruchomić system operacyjny inny niż Windows. Certyfikacja sprzętu Microsoftwymaga producenci OEM pozwalają użytkownikom wprowadzać swój system do "niestandardowego" trybu UEFI, gdzie mogą ręcznie modyfikować bazy danych Bezpiecznego rozruchu i PK. System może zostać przełączony do trybu konfiguracji UEFI, w którym użytkownik może nawet określić własny PK i podpisać bootloadery.
Co więcej, własne wymagania certyfikacyjne Microsoftu sprawiają, że producenci OEM muszą stosować metodę wyłączania bezpiecznego rozruchu w systemach innych niż ARM.Możesz wyłączyć Bezpieczne uruchamianie! Jedynymi systemami, w których nie można wyłączyć Bezpiecznego rozruchu, są systemy ARM z systemem Windows RT, które działają podobnie jak iPad, gdzie nie można załadować niestandardowych systemów operacyjnych. Chociaż żałuję, że nie można zmienić systemu operacyjnego na urządzeniach ARM, można śmiało powiedzieć, że Microsoft przestrzega standardu branżowego w odniesieniu do tabletów.
Czy bezpieczny rozruch nie jest z natury zły?
Tak więc, jak można się spodziewać, Bezpieczny rozruch nie jest zły i nie jest ograniczony tylko do korzystania z systemu Windows. Powodem, dla którego FSF i inni są tak zdenerwowani, jest to, że dodaje dodatkowe kroki do korzystania z systemu operacyjnego innej firmy. Dystrybucje linuksowe mogą nie lubić płacenia za używanie klucza Microsoftu, ale jest to najłatwiejszy i najbardziej opłacalny sposób na to, aby Secure Boot działało na Linuksie. Na szczęście łatwo można wyłączyć Bezpieczne uruchamianie i można dodawać różne klucze, unikając w ten sposób konieczności radzenia sobie z firmą Microsoft.
Biorąc pod uwagę ilość coraz bardziej zaawansowanego złośliwego oprogramowania, Bezpieczny rozruch wydaje się rozsądnym pomysłem. To nie ma być zła fabuła, by przejąć świat i jest o wiele mniej przerażająca niż niektórzy zwolennicy wolnego oprogramowania uwierzą.
Dodatkowe czytanie:
- Wymagania sprzętowe Microsoft Hardware
- Budowanie Windows 8: Ochrona środowiska pre-OS za pomocą UEFI
- Prezentacja Microsoft na temat bezpiecznego wdrażania i zarządzania kluczami
- Implementowanie bezpiecznego rozruchu UEFI w Fedorze
- Przegląd Bezpiecznego rozruchu TechNet
- Artykuł Wikipedii o UEFI
TL; DR: Bezpieczne ładowanie zabezpiecza przed złośliwym oprogramowaniem przed zainfekowaniem systemu na niskim, niewykrywalnym poziomie podczas rozruchu. Każdy może stworzyć niezbędne klucze, aby to działało, ale trudno jest przekonać twórców komputerów do dystrybucjiTwój klucz do wszystkich, więc możesz wybrać opcję płacenia Verisign za używanie klucza Microsoftu do podpisywania bootloaderów i do ich uruchamiania.Możesz również wyłączyć Bezpieczne uruchamianiekażdy komputer inny niż ARM.
Ostatnia myśl, w odniesieniu do kampanii FSF przeciwko Bezpieczne ładowanie: Niektóre z ich obaw (to znaczy, że to robitrudniejsze zainstalować bezpłatne systemy operacyjne) są ważnedo pewnego stopnia. Mówienie, że restrykcje "uniemożliwią komukolwiek uruchamianie czegokolwiek poza Windows" jest ewidentnie fałszywe, z powodów przedstawionych powyżej. Kampania przeciwko UEFI / Secure Boot jako technologii jest krótkowzroczna, dezinformowana i prawdopodobnie nie będzie skuteczna. Ważniejsze jest zapewnienie, że producenci faktycznie przestrzegają wymogów Microsoft, aby umożliwić użytkownikom wyłączenie Bezpiecznego rozruchu lub zmienić klucze, jeśli sobie tego życzą.
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.
