Το νέο σύστημα ασφαλούς εκκίνησης UEFI στα Windows 8 προκάλεσε κάτι παραπάνω από το αδικαιολόγητο μερίδιο σύγχυσης, ειδικά μεταξύ των διπλών εκκινητών. Διαβάστε παρακάτω καθώς διαγράφουμε τις παρανοήσεις σχετικά με τη διπλή εκκίνηση με τα Windows 8 και Linux.
Η σημερινή συνεδρία Ερωτήσεων & Απαντήσεων μας προσφέρει ευγενική προσφορά του SuperUser - μια υποδιαίρεση του Stack Exchange, μιας ομάδας ιστότοπων Q&A που βασίζεται στην κοινότητα.
Το ερώτημα
Ο αναγνώστης SuperUser Harsha K είναι περίεργος για το νέο σύστημα UEFI. Αυτός γράφει:
Έχω ακούσει πολλά για τον τρόπο με τον οποίο η Microsoft εφαρμόζει το UEFI Secure Boot στα Windows 8. Προφανώς αποτρέπει την εκτέλεση μη εξουσιοδοτημένων εκφορτωτών εκκίνησης στον υπολογιστή, για την αποτροπή κακόβουλου λογισμικού. Υπάρχει μια εκστρατεία από το Ίδρυμα Ελεύθερου Λογισμικού κατά της ασφαλούς εκκίνησης, και πολλοί άνθρωποι λένε στο διαδίκτυο ότι είναι "αρπαγή ισχύος" από τη Microsoft για την "εξάλειψη των δωρεάν λειτουργικών συστημάτων".
Εάν λάβω έναν υπολογιστή με προεγκατεστημένα τα Windows 8 και το Secure Boot, θα μπορώ να εγκαταστήσω αργότερα το Linux (ή κάποιο άλλο λειτουργικό σύστημα); Ή μήπως ένας υπολογιστής με Secure Boot λειτουργεί μόνο με Windows;
Ποια είναι λοιπόν η συμφωνία; Τα διπλά παπούτσια πραγματικά δεν έχουν τύχη;
Η απάντηση
Ο συνεργάτης του SuperUser Nathan Hinkle προσφέρει μια φανταστική επισκόπηση του τι είναι και δεν είναι το UEFI:
Πρώτα απ 'όλα, η απλή απάντηση στην ερώτησή σας:
- Εάν έχετε tablet ARM Εκτελώντας τα Windows RT (όπως το Surface RT ή το Asus Vivo RT), τότε δεν θα μπορείτε να απενεργοποιήσετε το Secure Boot ή να εγκαταστήσετε άλλα λειτουργικά συστήματα . Όπως και πολλά άλλα tablet ARM, αυτές οι συσκευές θα μόνο εκτελέστε το λειτουργικό σύστημα που συνοδεύουν.
- Εάν διαθέτετε υπολογιστή εκτός ARM να εκτελείτε τα Windows 8 (όπως το Surface Pro ή οποιοδήποτε από τα μυριάδες ultrabooks, επιτραπέζιους υπολογιστές και tablet με επεξεργαστή x86-64), τότε μπορείτε να απενεργοποιήσετε εντελώς την ασφαλή εκκίνηση ή μπορείτε να εγκαταστήσετε τα δικά σας κλειδιά και να υπογράψετε το δικό σας bootloader. Οπως και να έχει, μπορείτε να εγκαταστήσετε ένα λειτουργικό σύστημα τρίτου μέρους, όπως μια διανομή Linux ή FreeBSD ή DOS ή ό, τι σας ευχαριστεί.
Τώρα, σχετικά με τις λεπτομέρειες για το πώς λειτουργεί αυτό το ολόκληρο πράγμα ασφαλούς εκκίνησης: Υπάρχουν πολλές παραπλανητικές πληροφορίες σχετικά με την ασφαλή εκκίνηση, ειδικά από το Ίδρυμα Ελεύθερου Λογισμικού και παρόμοιες ομάδες. Αυτό δυσκολεύτηκε να βρει πληροφορίες σχετικά με το τι κάνει πραγματικά η Ασφαλής εκκίνηση, επομένως θα προσπαθήσω να εξηγήσω. Σημειώστε ότι δεν έχω προσωπική εμπειρία με την ανάπτυξη ασφαλών συστημάτων εκκίνησης ή κάτι τέτοιο. αυτό έμαθα από την ανάγνωση στο διαδίκτυο
Πρωτα απο ολα, Η ασφαλής εκκίνηση είναι δεν κάτι που ήρθε η Microsoft. Είναι οι πρώτοι που το εφάρμοσαν ευρέως, αλλά δεν το εφευρέθηκαν. Του μέρος της προδιαγραφής UEFI , η οποία είναι βασικά μια νεότερη αντικατάσταση για το παλιό BIOS που έχετε συνηθίσει. Το UEFI είναι βασικά το λογισμικό που μιλά μεταξύ του λειτουργικού συστήματος και του υλικού. Τα πρότυπα UEFI δημιουργούνται από μια ομάδα που ονομάζεται « Φόρουμ UEFI «, Το οποίο αποτελείται από εκπροσώπους της βιομηχανίας υπολογιστών, συμπεριλαμβανομένων των Microsoft, Apple, Intel, AMD και μερικών κατασκευαστών υπολογιστών.
Δεύτερο πιο σημαντικό σημείο, η ενεργοποίηση της ασφαλούς εκκίνησης σε υπολογιστή δεν σημαίνει ότι ο υπολογιστής δεν μπορεί ποτέ να εκκινήσει οποιοδήποτε άλλο λειτουργικό σύστημα . Στην πραγματικότητα, οι απαιτήσεις της Microsoft για πιστοποίηση υλικού για Windows δηλώνουν ότι για συστήματα εκτός ARM, πρέπει να μπορείτε να απενεργοποιήσετε και την ασφαλή εκκίνηση και να αλλάξετε τα κλειδιά (για να επιτρέψετε σε άλλα λειτουργικά συστήματα). Περισσότερα για αυτό αργότερα όμως.
Τι κάνει το Secure Boot;
Ουσιαστικά, αποτρέπει το κακόβουλο λογισμικό να επιτεθεί στον υπολογιστή σας μέσω της ακολουθίας εκκίνησης. Το κακόβουλο λογισμικό που εισέρχεται μέσω του bootloader μπορεί να είναι πολύ δύσκολο να εντοπιστεί και να σταματήσει, επειδή μπορεί να διεισδύσει σε λειτουργίες χαμηλού επιπέδου του λειτουργικού συστήματος, διατηρώντας το αόρατο από λογισμικό προστασίας από ιούς. Το μόνο που κάνει η Ασφαλής εκκίνηση είναι να επαληθεύει ότι ο bootloader προέρχεται από μια αξιόπιστη πηγή και ότι δεν έχει παραβιαστεί. Σκεφτείτε το σαν τα αναδυόμενα καπάκια σε μπουκάλια που λένε "μην ανοίγετε εάν έχει αναδυθεί το καπάκι ή έχει παραβιαστεί η σφραγίδα".
Στο ανώτερο επίπεδο προστασίας, έχετε το κλειδί πλατφόρμας (PK). Υπάρχει μόνο ένα PK σε οποιοδήποτε σύστημα και εγκαθίσταται από τον ΚΑΕ κατά την κατασκευή. Αυτό το κλειδί χρησιμοποιείται για την προστασία της βάσης δεδομένων ΚΕΚ. Η βάση δεδομένων ΚΕΚ διαθέτει κλειδιά ανταλλαγής κλειδιών, τα οποία χρησιμοποιούνται για την τροποποίηση των άλλων ασφαλών βάσεων δεδομένων εκκίνησης. Μπορεί να υπάρχουν πολλά ΚΕΚ. Υπάρχει τότε ένα τρίτο επίπεδο: η Εξουσιοδοτημένη Βάση Δεδομένων (db) και η Απαγορευμένη Βάση Δεδομένων (dbx). Περιέχουν πληροφορίες σχετικά με τις αρχές έκδοσης πιστοποιητικών, τα πρόσθετα κρυπτογραφικά κλειδιά και τις εικόνες συσκευών UEFI που επιτρέπονται ή αποκλείονται, αντίστοιχα. Για να επιτραπεί η εκτέλεση ενός προγράμματος φόρτωσης εκκίνησης, πρέπει να υπογραφεί κρυπτογραφικά με ένα κλειδί που είναι στο db, και δεν είναι στο dbx.
Εικόνα από Δημιουργία Windows 8: Προστασία του περιβάλλοντος πριν το λειτουργικό σύστημα με UEFI
Πώς λειτουργεί αυτό σε ένα πραγματικό σύστημα Windows 8 Certified
Ο ΚΑΕ δημιουργεί το δικό του PK και η Microsoft παρέχει ένα ΚΕΚ ότι ο ΚΑΕ υποχρεούται να προφορτώσει στη βάση δεδομένων ΚΕΚ. Στη συνέχεια, η Microsoft υπογράφει το Bootloader των Windows 8 και χρησιμοποιεί το KEK για να τοποθετήσει αυτήν την υπογραφή στην Εξουσιοδοτημένη βάση δεδομένων. Όταν το UEFI εκκινεί τον υπολογιστή, επαληθεύει το PK, επαληθεύει το KEK της Microsoft και, στη συνέχεια, επαληθεύει το bootloader. Εάν όλα φαίνονται καλά, τότε το λειτουργικό σύστημα μπορεί να εκκινήσει.
Εικόνα από Δημιουργία Windows 8: Προστασία του περιβάλλοντος πριν το λειτουργικό σύστημα με UEFIΠού μπαίνουν τα λειτουργικά συστήματα τρίτων, όπως το Linux;
Πρώτον, κάθε διανομή Linux θα μπορούσε να επιλέξει να δημιουργήσει ένα KEK και να ζητήσει από τους OEM να το συμπεριλάβουν στη βάση δεδομένων KEK από προεπιλογή. Στη συνέχεια θα είχαν τον ίδιο έλεγχο της διαδικασίας εκκίνησης όπως και η Microsoft. Τα προβλήματα με αυτό, όπως εξηγείται από τον Matthew Garrett του Fedora , είναι ότι α) θα ήταν δύσκολο να συμπεριλάβει κάθε κατασκευαστής υπολογιστών το κλειδί του Fedora και β) θα ήταν άδικο για άλλες διανομές Linux, επειδή το κλειδί τους δεν θα συμπεριλαμβανόταν, καθώς οι μικρότερες διανομές δεν έχουν τόσο OEM συνεργασίες.
Αυτό που επέλεξε η Fedora να κάνει (και άλλες διανομές ακολουθούν) είναι να χρησιμοποιεί τις υπηρεσίες υπογραφής της Microsoft Αυτό το σενάριο απαιτεί την πληρωμή 99 $ στη Verisign (η Αρχή Πιστοποιητικών που χρησιμοποιεί η Microsoft) και παρέχει στους προγραμματιστές τη δυνατότητα να υπογράψουν το bootloader τους χρησιμοποιώντας το KEK της Microsoft. Δεδομένου ότι το KEK της Microsoft θα είναι ήδη στους περισσότερους υπολογιστές, αυτό τους επιτρέπει να υπογράψουν το bootloader τους για να χρησιμοποιήσουν το Secure Boot, χωρίς να απαιτούν το δικό τους KEK. Καταλήγει να είναι πιο συμβατό με περισσότερους υπολογιστές και να κοστίζει λιγότερο συνολικά από ό, τι αφορά την εγκατάσταση του δικού τους κλειδιού συστήματος υπογραφής και διανομής. Υπάρχουν μερικές περισσότερες λεπτομέρειες σχετικά με το πώς θα λειτουργήσει αυτό (χρησιμοποιώντας το GRUB, υπογεγραμμένες μονάδες πυρήνα και άλλες τεχνικές πληροφορίες) στην προαναφερθείσα ανάρτηση ιστολογίου, την οποία προτείνω να διαβάσετε αν σας ενδιαφέρει κάτι τέτοιο.
Ας υποθέσουμε ότι δεν θέλετε να αντιμετωπίσετε την ταλαιπωρία της εγγραφής στο σύστημα της Microsoft ή δεν θέλετε να πληρώσετε 99 $ ή απλώς έχετε μνησικακία εναντίον μεγάλων εταιρειών που ξεκινούν με ένα M. Υπάρχει μια άλλη επιλογή να εξακολουθείτε να χρησιμοποιείτε το Secure Boot και εκτελέστε ένα λειτουργικό σύστημα διαφορετικό από τα Windows. Πιστοποίηση υλικού της Microsoft απαιτεί ότι οι OEM επιτρέπουν στους χρήστες να εισάγουν το σύστημά τους σε UEFI «προσαρμοσμένη» λειτουργία, όπου μπορούν να τροποποιήσουν χειροκίνητα τις βάσεις δεδομένων Secure Boot και το PK. Το σύστημα μπορεί να τεθεί σε UEFI Setup Mode, όπου ο χρήστης θα μπορούσε ακόμη και να καθορίσει το δικό του PK και να υπογράψει τους ίδιους τους bootloaders.
Επιπλέον, οι απαιτήσεις πιστοποίησης της Microsoft καθιστούν υποχρεωτικό για τους OEM να συμπεριλαμβάνουν μια μέθοδο για την απενεργοποίηση της ασφαλούς εκκίνησης σε συστήματα εκτός ARM. Μπορείτε να απενεργοποιήσετε την ασφαλή εκκίνηση! Τα μόνα συστήματα στα οποία δεν μπορείτε να απενεργοποιήσετε το Secure Boot είναι τα συστήματα ARM που χρησιμοποιούν Windows RT, τα οποία λειτουργούν πιο παρόμοια με το iPad, όπου δεν μπορείτε να φορτώσετε προσαρμοσμένα λειτουργικά συστήματα. Αν και επιθυμώ να είναι δυνατή η αλλαγή του λειτουργικού συστήματος σε συσκευές ARM, είναι δίκαιο να πούμε ότι η Microsoft ακολουθεί το βιομηχανικό πρότυπο όσον αφορά τα tablet εδώ.
Έτσι, η ασφαλής εκκίνηση δεν είναι εγγενώς κακό;
Έτσι, όπως μπορείτε να δείτε, το Secure Boot δεν είναι κακό και δεν περιορίζεται μόνο στη χρήση με τα Windows. Ο λόγος για τον οποίο το FSF και άλλοι είναι τόσο αναστατωμένοι γι 'αυτό είναι επειδή προσθέτει επιπλέον βήματα στη χρήση ενός λειτουργικού συστήματος τρίτων. Οι διανομές Linux μπορεί να μην θέλουν να πληρώσουν για να χρησιμοποιήσουν το κλειδί της Microsoft, αλλά είναι ο ευκολότερος και οικονομικότερος τρόπος για να λειτουργήσει το Secure Boot για Linux Ευτυχώς, είναι εύκολο να απενεργοποιήσετε το Secure Boot και να προσθέσετε διαφορετικά κλειδιά, αποφεύγοντας έτσι την ανάγκη αντιμετώπισης της Microsoft.
Δεδομένου του όγκου του ολοένα και πιο προχωρημένου κακόβουλου λογισμικού, το Secure Boot φαίνεται λογική ιδέα Δεν προορίζεται να είναι μια κακή συνωμοσία για να αναλάβει τον κόσμο και είναι πολύ λιγότερο τρομακτικό από ό, τι ορισμένοι ειδικοί ελεύθερου λογισμικού θα πρέπει να πιστεύετε.
Πρόσθετη ανάγνωση:
- Απαιτήσεις πιστοποίησης υλικού της Microsoft
- Δημιουργία Windows 8: Προστασία του περιβάλλοντος πριν το λειτουργικό σύστημα με UEFI
- Παρουσίαση της Microsoft σχετικά με την ανάπτυξη ασφαλούς εκκίνησης και τη διαχείριση κλειδιών
- Εφαρμογή ασφαλούς εκκίνησης UEFI στο Fedora
- Επισκόπηση TechNet Secure Boot
- Άρθρο της Wikipedia για το UEFI
TL; DR: Η ασφαλής εκκίνηση αποτρέπει το κακόβουλο λογισμικό να μολύνει το σύστημά σας σε χαμηλό, μη ανιχνεύσιμο επίπεδο κατά την εκκίνηση. Οποιοσδήποτε μπορεί να δημιουργήσει τα απαραίτητα κλειδιά για να το κάνει, αλλά είναι δύσκολο να πείσει τους κατασκευαστές υπολογιστών να διανείμουν τα δικα σου κλειδί για όλους, ώστε να μπορείτε εναλλακτικά να επιλέξετε να πληρώσετε το Verisign για να χρησιμοποιήσετε το κλειδί της Microsoft για να υπογράψετε τους bootloaders και να τους κάνετε να λειτουργήσουν. Μπορείτε επίσης να απενεργοποιήσετε την ασφαλή εκκίνηση όποιος υπολογιστή εκτός ARM.
Τελευταία σκέψη, σχετικά με την εκστρατεία του FSF ενάντια στο Secure boot: Μερικές από τις ανησυχίες τους (δηλ. Το κάνει πιο δυνατα για την εγκατάσταση δωρεάν λειτουργικών συστημάτων) είναι έγκυρα σε ένα σημείο . Το να πούμε ότι οι περιορισμοί θα «αποτρέψουν κανέναν από την εκκίνηση οτιδήποτε εκτός από τα Windows» είναι αποδεικτικά ψευδές, ωστόσο, για τους λόγους που απεικονίζονται παραπάνω. Η εκστρατεία εναντίον του UEFI / Secure Boot ως τεχνολογίας είναι κοντόφθαλμη, παραπληροφόρηση και είναι απίθανο να είναι αποτελεσματική. Είναι πιο σημαντικό να διασφαλιστεί ότι οι κατασκευαστές ακολουθούν πραγματικά τις απαιτήσεις της Microsoft για να επιτρέπουν στους χρήστες να απενεργοποιούν το Secure Boot ή να αλλάζουν τα κλειδιά, αν το επιθυμούν.
Έχετε κάτι να προσθέσετε στην εξήγηση; Ακούστε στα σχόλια. Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους χρήστες τεχνολογίας Stack Exchange; Δείτε ολόκληρο το νήμα συζήτησης εδώ .
