Nový systém UEFI Secure Boot v systému Windows 8 způsobil více než jeho spravedlivý podíl na zmatku, zejména u duálních bootů. Čtěte dále, když vyjasníme mylné představy o duálním bootování s Windows 8 a Linux.
Dnešní relace Otázky a odpovědi k nám přichází s laskavým svolením SuperUser - členění Stack Exchange, komunitního seskupení webů otázek a odpovědí.
Otázka
Čtečka SuperUser Harsha K je zvědavá na nový systém UEFI. Napsal:
Slyšel jsem toho hodně o tom, jak Microsoft implementuje UEFI Secure Boot ve Windows 8. Zdá se, že v počítači brání spuštění „neautorizovaných“ bootloaderů, aby se zabránilo malwaru. Probíhá kampaň Free Software Foundation proti bezpečnému spouštění a spousta lidí online říká, že jde o „uchopení moci“ společnosti Microsoft za účelem „odstranění bezplatných operačních systémů“.
Pokud si pořídím počítač s předinstalovaným systémem Windows 8 a zabezpečeným spouštěním, budu si moci i nadále nainstalovat Linux (nebo jiný OS) později? Nebo počítač se zabezpečeným spuštěním někdy funguje pouze v systému Windows?
O co tedy jde? Mají duální bootery opravdu smůlu?
Odpověď
Přispěvatel SuperUser Nathan Hinkle nabízí fantastický přehled o tom, co UEFI je a není:
Nejprve jednoduchá odpověď na vaši otázku:
- Pokud máte tablet ARM se systémem Windows RT (například Surface RT nebo Asus Vivo RT) nebudete moci deaktivovat zabezpečené spouštění ani instalovat jiné operační systémy . Stejně jako mnoho jiných tabletů ARM budou i tato zařízení pouze spusťte OS, se kterým přicházejí.
- Pokud máte počítač, který není ARM se systémem Windows 8 (jako Surface Pro nebo některý z nesčetných ultrabooků, stolních počítačů a tabletů s procesorem x86-64), pak Secure Boot můžete úplně vypnout , nebo si můžete nainstalovat vlastní klíče a podepsat si vlastní bootloader. Ať tak či onak, můžete nainstalovat OS třetí strany, jako je distribuce Linuxu nebo FreeBSD nebo DOS nebo cokoli vás potěší.
Nyní k podrobnostem o tom, jak celá ta věc Secure Boot vlastně funguje: O Secure Boot je spousta dezinformací, zejména od Free Software Foundation a podobných skupin. Díky tomu je těžké najít informace o tom, co Secure Boot vlastně dělá, takže se pokusím vše vysvětlit. Všimněte si, že nemám žádné osobní zkušenosti s vývojem zabezpečených bootovacích systémů nebo s něčím podobným; to je přesně to, co jsem se naučil z online čtení.
Nejprve, Secure Boot je ne něco, s čím Microsoft přišel. Jsou první, kdo to široce implementoval, ale nevymysleli to. Své součást specifikace UEFI , což je v podstatě novější náhrada za starý BIOS, na který jste pravděpodobně zvyklí. UEFI je v podstatě software, který komunikuje mezi operačním systémem a hardwarem. Standardy UEFI vytváří skupina s názvem „ Fórum UEFI “, Kterou tvoří zástupci výpočetního průmyslu včetně Microsoft, Apple, Intel, AMD a hrstka výrobců počítačů.
Druhý nejdůležitější bod, s povoleným zabezpečeným spuštěním v počítači ano ne znamená, že počítač nikdy nemůže spustit žádný jiný operační systém . Vlastní požadavky na certifikaci hardwaru pro Windows od společnosti Microsoft ve skutečnosti uvádějí, že u systémů jiných než ARM musíte být schopni deaktivovat zabezpečené spouštění a měnit klíče (povolit jiné operační systémy). Více k tomu později.
Co dělá Secure Boot?
V zásadě brání malwaru v útoku na váš počítač prostřednictvím spouštěcí sekvence. Malware, který vstupuje přes bootloader, může být velmi obtížné detekovat a zastavit, protože může proniknout do nízkoúrovňových funkcí operačního systému a udržet jej tak neviditelným pro antivirový software. Secure Boot opravdu dělá jen to, že ověří, zda je bootloader z důvěryhodného zdroje a zda s ním nebylo manipulováno. Představte si to jako vyskakovací víčka na lahvích, která říkají „neotvírejte, pokud je víko vyklopené nebo došlo k manipulaci s těsněním“.
Na nejvyšší úrovni ochrany máte klíč platformy (PK). V každém systému je pouze jedna PK a je nainstalována výrobcem OEM během výroby. Tento klíč se používá k ochraně databáze KEK. Databáze KEK obsahuje klíče výměny klíčů, které se používají k úpravám ostatních zabezpečených zaváděcích databází. Může existovat více KEK. Pak existuje třetí úroveň: Autorizovaná databáze (db) a Zakázaná databáze (dbx). Ty obsahují informace o certifikačních autoritách, dalších kryptografických klíčích a obrázcích zařízení UEFI, které umožňují nebo blokují. Aby bylo možné spustit bootloader, musí být kryptograficky podepsán klíčem, který je v db a není v dbx.
Obrázek z Vytváření Windows 8: Ochrana prostředí před operačním systémem pomocí UEFI
Jak to funguje v reálném systému Windows 8 Certified
OEM generuje vlastní PK a Microsoft poskytuje KEK, který je OEM povinen předem načíst do databáze KEK. Microsoft poté podepíše zavaděč Windows 8 a pomocí svého KEK vloží tento podpis do autorizované databáze. Když UEFI nabootuje počítač, ověří PK, ověří Microsoft KEK a poté ověří bootloader. Pokud vše vypadá dobře, může se operační systém zavést.
Obrázek z Vytváření Windows 8: Ochrana prostředí před operačním systémem pomocí UEFIKam přicházejí OS třetích stran, jako je Linux?
Nejprve se každá distribuce Linuxu mohla rozhodnout vygenerovat KEK a požádat výrobce OEM, aby jej ve výchozím nastavení zahrnuli do databáze KEK. Pak by měli nad spouštěcím procesem stejně malou kontrolu jako Microsoft. Problémy s tímto, as vysvětluje Matthew Garrett z Fedory , jsou to a) bylo by obtížné přimět každého výrobce PC, aby zahrnoval klíč Fedory, ab) bylo by to nefér vůči jiným linuxovým distribucím, protože jejich klíč by nebyl zahrnut, protože menší distribuce nemají tolik OEM partnerství.
To, co se Fedora rozhodla udělat (a další distribuce se řídí tímto příkladem), je použití podpisových služeb společnosti Microsoft. Tento scénář vyžaduje zaplacení 99 $ společnosti Verisign (certifikační autorita, kterou společnost Microsoft používá) a poskytuje vývojářům možnost podepsat svůj zavaděč pomocí KEK společnosti Microsoft. Vzhledem k tomu, že Microsoft KEK již bude ve většině počítačů, umožňuje jim to podepsat jejich zavaděč, aby mohli používat zabezpečené spouštění, aniž by potřebovali vlastní KEK. Nakonec je více kompatibilní s více počítači a celkově stojí méně než zacházení s nastavením vlastního podepisování a distribuce klíčů. Ve výše uvedeném příspěvku na blogu, který vás zajímá, je několik dalších podrobností o tom, jak to bude fungovat (pomocí GRUBu, podepsaných modulů jádra a dalších technických informací).
Předpokládejme, že se nechcete vypořádat s potížemi s registrací do systému Microsoftu, nebo nechcete platit 99 $, nebo jen mít zášť vůči velkým korporacím, které začínají písmenem M. Existuje ještě další možnost, jak stále používat Secure Boot a spustit jiný operační systém než Windows. Certifikace hardwaru společnosti Microsoft vyžaduje že výrobci OEM umožňují uživatelům vstoupit do jejich systému do „vlastního“ režimu UEFI, kde mohou ručně upravovat databáze zabezpečeného spouštění a PK. Systém lze uvést do režimu nastavení UEFI, kde si uživatel může dokonce zadat vlastní PK a sám si podepsat zavaděče.
Vlastní certifikační požadavky společnosti Microsoft dále stanoví, že výrobci OEM musí povinně zahrnovat metodu deaktivace zabezpečeného spouštění v systémech jiných než ARM. Secure Boot můžete vypnout! Jediným systémem, kde nemůžete zabezpečené spouštění deaktivovat, jsou systémy ARM se systémem Windows RT, které fungují podobně jako iPad, kde nelze načíst vlastní operační systémy. I když si přeji, aby bylo možné změnit OS na zařízeních ARM, je třeba říci, že Microsoft se řídí průmyslovým standardem, pokud jde o tablety zde.
Takže bezpečné spuštění není ve své podstatě zlé?
Jak snad vidíte, Secure Boot není zlý a není omezen pouze na použití s Windows. Důvodem, proč jsou FSF a ostatní tak naštvaní, je to, že přidává další kroky k používání operačního systému jiného výrobce. Linuxovým distribucím se nemusí líbit platit za použití klíče od společnosti Microsoft, ale je to nejjednodušší a nákladově nejefektivnější způsob, jak zajistit, aby zabezpečené spuštění fungovalo pro Linux. Naštěstí je snadné vypnout Secure Boot a je možné přidat různé klíče, čímž se vyhnete nutnosti vypořádat se s Microsoftem.
Vzhledem k množství stále pokročilejšího malwaru se Secure Boot jeví jako rozumný nápad. Není zamýšleno jako zlé spiknutí s cílem ovládnout svět a je mnohem méně děsivé, než vám věří někteří vědci svobodného softwaru.
Dodatečné čtení:
- Požadavky na certifikaci hardwaru společnosti Microsoft
- Vytváření Windows 8: Ochrana prostředí před operačním systémem pomocí UEFI
- Prezentace společnosti Microsoft o nasazení zabezpečeného spouštění a správě klíčů
- Implementace zabezpečeného spouštění UEFI ve Fedoře
- Přehled zabezpečeného spuštění TechNet
- Článek Wikipedie o UEFI
TL; DR: Zabezpečené spuštění zabraňuje malwaru infikovat váš systém na nízké, nezjistitelné úrovni během spouštění. Kdokoli může vytvořit nezbytné klíče, aby to fungovalo, ale je těžké přesvědčit výrobce počítačů, aby distribuovali vaše klíč pro každého, takže můžete alternativně zaplatit společnosti Verisign za použití klíče společnosti Microsoft k podpisu vašich zavaděčů a jejich fungování. Zabezpečené spuštění můžete také vypnout žádný počítač, který není ARM.
Poslední myšlenka, pokud jde o kampaň FSF proti Secure boot: Některé z jejich obav (tj. To dělá těžší k instalaci bezplatných operačních systémů) jsou platné do bodu . Říká se, že omezení „zabrání komukoli zavést cokoli jiného než Windows“, je však z důvodů ilustrovaných výše prokazatelně nepravdivá. Kampaň proti technologii UEFI / Secure Boot jako technologii je krátkozraká, dezinformovaná a je nepravděpodobné, že by byla stejně účinná. Je důležitější zajistit, aby výrobci skutečně dodržovali požadavky společnosti Microsoft na to, aby uživatelé mohli deaktivovat zabezpečené spouštění nebo měnit klíče, pokud si to přejí.
Máte co dodat k vysvětlení? Zvuk v komentářích. Chcete si přečíst více odpovědí od ostatních technicky zdatných uživatelů Stack Exchange? Podívejte se na celé diskusní vlákno zde .
