Novi sustav UEFI Secure Boot u sustavu Windows 8 prouzročio je više od njezinog poštenog dijela zbunjenosti, posebno među dvostrukim dizajnerima. Pročitajte kako razjasnimo zablude o dvostrukom dizanju s Windows 8 i Linuxom.
Današnja pitanja i odgovori nam se javljaju zahvaljujući SuperUseru - podjele Stack Exchange-a, zajednice-driven grupiranja Q & A web stranica.
Čitač SuperUser Harsha K znatiželjan je za novi UEFI sustav. Piše:
Čuo sam dosta o tome kako Microsoft provodi UEFI Secure Boot u sustavu Windows 8. Očigledno sprječava pokretanje "neovlaštenih" pokretačkih programatora na računalu kako bi spriječili zlonamjerni softver. Postoji kampanja od strane Free Software Foundation-a protiv sigurnog čizma, a mnogi ljudi govore online da je to "moćna hvataljka" tvrtke Microsoft za "uklanjanje besplatnih operativnih sustava".
Ako dobijem računalo s predinstaliranim sustavom Windows 8 i Secure Boot, hoću li još uvijek moći instalirati Linux (ili neki drugi OS) kasnije? Ili računalo sa sustavom Secure Boot samo ikada radi sa sustavom Windows?
Pa što je to posao? Jesu li dvostruki booteri zaista izvan sreće?
SuperUser suradnik Nathan Hinkle nudi fantastičan pregled onoga što UEFI jest i nije:
Prije svega, jednostavan odgovor na vaše pitanje:
- Ako imate ARM tablet pokrenite sustav Windows RT (poput Surface RT ili Asus Vivo RT)nećete moći onemogućiti Sigurno pokretanje sustava ili instalirati druge OS-ove, Kao i mnoge druge ARM tablice, ti uređaji ćesamo pokrenite operativni sustav s kojim dolaze.
- Ako imate ne-ARM računalo pokrenite sustav Windows 8 (poput Surface Pro ili bilo kojeg od bezbrojnih ultrabookova, stolnih računala i tableta s procesorom x86-64), a zatimmožete potpuno onemogućiti Secure Boot, ili možete instalirati svoje ključeve i potpisati svoj bootloader. Bilo kako bilo,možete instalirati OS treće strane kao što je Linux distro ili FreeBSD ili DOS ili što vam se svidi.
Sada, na detalje o tome kako ova cijela stvar Secure Boot zapravo funkcionira: Postoji mnogo dezinformacija o Secure Bootu, posebno iz Free Software Foundation i sličnih skupina. To je otežalo pronalaženje informacija o onome što Secure Boot zapravo radi, pa ću pokušati najbolje objasniti. Imajte na umu da nemam osobnog iskustva u razvoju sigurnih sustava za podizanje sustava ili bilo čega slično; to je upravo ono što sam naučio čitati na mreži.
Kao prvo,Sigurno podizanje sustava jene nešto što je Microsoft otkrio. Oni su prvi koji ih široko provode, ali nisu ga izmislili. To je dio UEFI specifikacije, što je u osnovi novije zamjene za stari BIOS za koji ste vjerojatno navikli. UEFI je u osnovi softver koji govori između operacijskog sustava i hardvera. UEFI standarde kreira skupina koja se zove "UEFI Forum", koji se sastoji od predstavnika računalne industrije, uključujući Microsoft, Apple, Intel, AMD i nekoliko proizvođača računala.
Druga najvažnija točka,nakon što je omogućeno Secure Boot na računalune znači da računalo nikad ne može pokrenuti bilo koji drugi operativni sustav, U stvari, Microsoftovi zahtjevi za certifikaciju hardvera tvrtke Windows navode da za ne-ARM sustave morate biti u mogućnosti onemogućiti Secure Boot i promijeniti ključeve (dopustiti drugim OS-ima). Više o tome kasnije.
Što čini Secure Boot?
U osnovi, sprečava zlonamjerni softver da napada računalo putem slijeda podizanja sustava. Zlonamjerni softver koji ulazi kroz bootloader može biti vrlo teško otkriti i zaustaviti, jer se može infiltrirati na niskoj razini funkcija operacijskog sustava, čuvajući ga nevidljivim antivirusnim softverom. Sve što je Secure Boot uistinu provjerava je da je program za podizanje sustava iz pouzdanog izvora i da nije mijenjan. Mislite na to kao pop-up kape na bocama koje kažu "ne otvarajte ako poklopac je popped up ili pečat je tampered".
Na najvišoj razini zaštite imate ključ za platformu (PK). Postoji samo jedna PK na bilo kojem sustavu, a OEM ga instalira tijekom proizvodnje. Taj se ključ koristi za zaštitu KEK baze podataka. Baza podataka KEK sadrži ključne ključeve za izmjenu, koje se koriste za izmjenu drugih sigurnih baza podataka za podizanje sustava. Može biti više KEK-a. Tada je treća razina: Autorizirana baza podataka (db) i Zabranjena baza podataka (dbx). One sadrže informacije o ovlastima certifikata, dodatnim kriptografskim ključevima i slikama UEFI uređaja za dopuštanje ili blokiranje. Kako bi se omogućio pokretanje pokretačkog programa za pokretanje, mora biti kriptografski potpisan ključemje u db, inije u dbx.
Slika sa zgrade sustava Windows 8: Zaštita pred-OS okruženja s UEFI-om
Kako to funkcionira na sustavu Windows 8 Certified u stvarnom svijetu
OEM generira vlastiti PK, a Microsoft pruža KEK-u da je OEM potreban za prednaprezanje u bazu podataka KEK-a. Microsoft potom potpisuje Windows 8 Bootloader i koristi svoju KEK da ovaj potpis stavi u Ovlaštenu bazu podataka. Kada UEFI pokrene računalo, provjerava PK, potvrđuje Microsoftov KEK, a potom provjerava bootloader. Ako sve izgleda dobro, OS se može podići.
Slika sa zgrade sustava Windows 8: Zaštita pred-OS okruženja s UEFI-omOdakle dolaze treće strane OS-a, poput Linuxa?
Prvo, bilo koji Linux distro mogao je odabrati generiranje KEK-a i zamoliti OEM-a da ga uključe u bazu podataka KEK prema zadanim postavkama. Tada bi imali svaku kontrolu nad boot procesom kao i Microsoft.Problemi s ovim, kako je objasnio Fedorov Matthew Garrett, jesu: a) da bi svaki proizvođač PC-a mogao biti teško uključiti Fedorinu ključ i b) da bi bilo nepošteno drugim Linux distrima, jer njihov ključ neće biti uključen , budući da manje distributeri nemaju toliko OEM partnerstva.
Ono što je Fedora odlučilo raditi (i ostali distributeri prate postupak) je korištenje Microsoftovih usluga potpisivanja. Ovaj scenarij zahtijeva plaćanje 99 dolara za Verisign (ovlaštenje za izdavanje certifikata koju koristi Microsoft), a razvojnim programerima omogućava da potpišu svoj bootloader pomoću Microsoftovog KEK-a. Budući da će Microsoft KEK već biti na većini računala, to im omogućuje da potpišu svoj bootloader za korištenje Secure Boot, bez potrebe za vlastitim KEK-om. Završava se više kompatibilno s više računala i košta sve manje nego što se bavi postavljanjem vlastitog sustava potpisivanja i distribucije. Dodatne pojedinosti o tome kako će to funkcionirati (pomoću GRUB-a, potpisanih modula kernela i drugih tehničkih informacija) u prethodno spomenutom blogu, preporučujem da pročitate ako ste zainteresirani za ovu vrstu.
Pretpostavimo da se ne želite nositi s gnjavažom da se prijavite za Microsoftov sustav, ili ne želite platiti 99 dolara, ili jednostavno nametati protiv velikih korporacija koje počinju s M. Postoji još jedna mogućnost da se i dalje koristi Secure Boot i pokrenuti OS koji nije Windows. Microsoftova hardverska certifikacijatraži da OEM-ovi omogućuju korisnicima da unesu svoj sustav u UEFI "prilagođeni" način rada, gdje mogu ručno mijenjati baze podataka Secure Boot i PK. Sustav se može staviti u UEFI Setup Mode, gdje korisnik može odrediti vlastitu PK i sami potpisati bootloadere.
Nadalje, Microsoftovi vlastiti zahtjevi za certifikaciju obvezni su za OEM-ove da uključuju metode za onemogućivanje Secure Boot na ne-ARM sustavima.Možete isključiti Secure Boot! Jedini sustavi na kojima ne možete onemogućiti Secure Boot su ARM sustavi sa sustavom Windows RT, koji funkcioniraju slično na ipad, gdje ne možete učitati prilagođene OS-ove. Iako želim da će biti moguće promijeniti OS na ARM uređajima, to je pošteno reći da Microsoft slijedi industrijski standard s obzirom na tablete ovdje.
Dakle, sigurnost čizma nije inherentno zlo?
Dakle, kao što možete nadati, Secure Boot nije zlo i nije ograničen samo na korištenje s sustavom Windows. Razlog zbog kojeg su FSF i drugi tako uzrujani zbog toga što dodaju dodatne korake za korištenje operacijskog sustava treće strane. Linux distros možda neće voljeti plaćati za korištenje Microsoftovog ključa, ali je to najlakši i najisplativiji način da Secure Boot radi za Linux. Srećom, lako je isključiti Secure Boot i moguće je dodati različite ključeve, čime se izbjegava potreba za rješavanjem Microsoftove.
S obzirom na količinu sve naprednijeg zlonamjernog softvera, Secure Boot izgleda kao razumna ideja. Nije namjera da bude zločesti zavjeru za preuzimanje svijeta i puno je manje zastrašujuće od nekih besplatnih stručnjaka za softver koji će vam vjerovati.
Dodatno čitanje:
- Zahtjevi za Microsoft Hardware Certification
- Izgradnja sustava Windows 8: Zaštita pred-OS okruženja s UEFI-om
- Microsoftova prezentacija o implementaciji sigurnog pokretanja sustava i upravljanje ključem
- Provedba UEFI Secure Boot u Fedora
- Pregled TechNet Secure Boot
- Članak iz Wikipedije o UEFI
TL; DR: Sigurno pokretanje sprječava zlonamjernog softvera da zarazi vaš sustav na niskoj razini koja se ne može detektirati tijekom podizanja sustava. Svatko može stvoriti potrebne ključeve kako bi radio, ali je teško uvjeriti proizvođače računala na distribucijuvaš ključ svima, tako da možete alternativno odabrati da platite Verisignu da biste upotrijebili Microsoftov ključ da biste potpisali svoje bootloadere i napravili ih da rade.Također možete onemogućiti Secure Bootbilo koji ne-ARM računalu.
Posljednja je misao, s obzirom na kampanju FSF-a protiv Secure boot: Neke od njihovih zabrinutosti (tj. To činiteže za instalaciju besplatnih operacijskih sustava) vrijededo točke, Rekavši da će ograničenja "spriječiti bilo koga da podiže bilo što osim sustava Windows", očigledno je pogrešna, iz gore navedenih razloga. Kampanja protiv UEFI / Secure Boot kao tehnologije je kratkovidna, pogrešna i vjerojatno neće biti učinkovita. Važno je osigurati da proizvođači zapravo slijede Microsoftove zahtjeve za dopuštanje da korisnici onemogućuju Secure Boot ili promijene ključeve ako to žele.
Imate li nešto za objašnjenje? Zvuči u komentarima. Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.
