Il nuovo sistema UEFI Secure Boot in Windows 8 ha causato più della sua giusta dose di confusione, specialmente tra i dual booter. Continua a leggere mentre chiariamo le idee sbagliate sul dual boot con Windows 8 e Linux.
La sessione di domande e risposte di oggi ci arriva per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento guidato dalla comunità di siti web di domande e risposte.
La domanda
Il lettore SuperUser Harsha K è curioso del nuovo sistema UEFI. Lui scrive:
Ho sentito molto parlare di come Microsoft sta implementando UEFI Secure Boot in Windows 8. Apparentemente impedisce l'esecuzione di bootloader "non autorizzati" sul computer, per prevenire il malware. C'è una campagna della Free Software Foundation contro l'avvio sicuro e molte persone hanno affermato online che è una "presa di potere" da parte di Microsoft per "eliminare i sistemi operativi liberi".
Se ottengo un computer con Windows 8 e Secure Boot preinstallato, potrò comunque installare Linux (o qualche altro sistema operativo) in seguito? Oppure un computer con Secure Boot funziona sempre e solo con Windows?
Allora qual è il problema? I dual booter sono davvero sfortunati?
La risposta
Il collaboratore di SuperUser Nathan Hinkle offre una fantastica panoramica di ciò che UEFI è e non è:
Prima di tutto, la semplice risposta alla tua domanda:
- Se hai un tablet ARM con Windows RT (come Surface RT o Asus Vivo RT), quindi non sarai in grado di disabilitare l'avvio protetto o installare altri sistemi operativi . Come molti altri tablet ARM, questi dispositivi lo faranno solo eseguire il sistema operativo con cui vengono forniti.
- Se hai un computer non ARM con Windows 8 (come Surface Pro o una miriade di ultrabook, desktop e tablet con processore x86-64), quindi puoi disabilitare completamente l'avvio protetto oppure puoi installare le tue chiavi e firmare il tuo bootloader. In entrambi i casi, puoi installare un sistema operativo di terze parti come una distribuzione Linux o FreeBSD o DOS o qualunque cosa ti piaccia.
Ora, passiamo ai dettagli di come funziona realmente l'intera faccenda di Secure Boot: c'è molta disinformazione su Secure Boot, specialmente dalla Free Software Foundation e gruppi simili. Ciò ha reso difficile trovare informazioni su ciò che Secure Boot fa effettivamente, quindi farò del mio meglio per spiegare. Nota che non ho esperienza personale con lo sviluppo di sistemi di avvio sicuri o qualcosa del genere; questo è proprio quello che ho imparato leggendo online.
Prima di tutto, Secure Boot è non qualcosa che Microsoft ha inventato. Sono i primi ad implementarlo ampiamente, ma non l'hanno inventato. Suo parte della specifica UEFI , che è fondamentalmente un sostituto più recente del vecchio BIOS a cui probabilmente sei abituato. UEFI è fondamentalmente il software che dialoga tra il sistema operativo e l'hardware. Gli standard UEFI sono creati da un gruppo chiamato " Forum UEFI ", Composto da rappresentanti del settore informatico tra cui Microsoft, Apple, Intel, AMD e una manciata di produttori di computer.
Secondo punto più importante, avere Secure Boot abilitato su un computer lo fa non significa che il computer non può mai avviare nessun altro sistema operativo . In effetti, i requisiti di certificazione hardware di Microsoft per Windows affermano che per i sistemi non ARM, è necessario essere in grado di disabilitare l'avvio protetto e modificare le chiavi (per consentire altri sistemi operativi). Ma ne riparleremo più avanti.
Cosa fa Secure Boot?
In sostanza, impedisce al malware di attaccare il tuo computer attraverso la sequenza di avvio. Il malware che entra attraverso il bootloader può essere molto difficile da rilevare e fermare, perché può infiltrarsi nelle funzioni di basso livello del sistema operativo, rendendolo invisibile al software antivirus. Tutto ciò che Secure Boot fa è verificare che il bootloader provenga da una fonte attendibile e che non sia stato manomesso. Pensalo come i tappi pop-up sulle bottiglie che dicono "non aprire se il coperchio è aperto o il sigillo è stato manomesso".
Al livello di protezione più alto, hai la chiave della piattaforma (PK). Esiste un solo PK su qualsiasi sistema e viene installato dall'OEM durante la produzione. Questa chiave viene utilizzata per proteggere il database KEK. Il database KEK contiene le chiavi di scambio chiavi, che vengono utilizzate per modificare gli altri database di avvio protetto. Possono esserci più KEK. C'è poi un terzo livello: l'Authorized Database (db) e il Forbidden Datbase (dbx). Questi contengono informazioni sulle autorità di certificazione, chiavi crittografiche aggiuntive e immagini del dispositivo UEFI da consentire o bloccare, rispettivamente. Affinché un bootloader possa essere eseguito, deve essere firmato crittograficamente con una chiave that è nel db, e non è nel dbx.
Immagine da Creazione di Windows 8: protezione dell'ambiente pre-OS con UEFI
Come funziona su un sistema certificato Windows 8 del mondo reale
L'OEM genera il proprio PK e Microsoft fornisce una KEK che l'OEM deve precaricare nel database KEK. Microsoft quindi firma il Bootloader di Windows 8 e utilizza la KEK per inserire questa firma nel database autorizzato. Quando UEFI avvia il computer, verifica la PK, verifica la KEK di Microsoft e quindi verifica il bootloader. Se tutto sembra a posto, il sistema operativo può essere avviato.
Immagine da Creazione di Windows 8: protezione dell'ambiente pre-OS con UEFIDove entrano in gioco i sistemi operativi di terze parti, come Linux?
Innanzitutto, qualsiasi distribuzione Linux potrebbe scegliere di generare una KEK e chiedere agli OEM di includerla nel database KEK per impostazione predefinita. Avrebbero quindi lo stesso controllo sul processo di avvio di Microsoft. I problemi con questo, come spiegato da Matthew Garrett di Fedora , sono che a) sarebbe difficile convincere ogni produttore di PC a includere la chiave di Fedora, eb) sarebbe ingiusto con altre distribuzioni Linux, perché la loro chiave non sarebbe inclusa, poiché le distribuzioni più piccole non hanno tanti OEM partnership.
Ciò che Fedora ha scelto di fare (e altre distribuzioni stanno seguendo l'esempio) è utilizzare i servizi di firma di Microsoft. Questo scenario richiede il pagamento di $ 99 a Verisign (l'autorità di certificazione utilizzata da Microsoft) e concede agli sviluppatori la possibilità di firmare il proprio bootloader utilizzando il KEK di Microsoft. Poiché la KEK di Microsoft sarà già nella maggior parte dei computer, ciò consente loro di firmare il proprio bootloader per utilizzare Secure Boot, senza richiedere la propria KEK. Finisce per essere più compatibile con più computer e costa meno complessivamente rispetto alla creazione di un proprio sistema di firma e distribuzione delle chiavi. Ci sono alcuni dettagli in più su come funzionerà (usando GRUB, moduli Kernel firmati e altre informazioni tecniche) nel post del blog di cui sopra, che consiglio di leggere se sei interessato a questo genere di cose.
Supponi di non voler affrontare la seccatura di iscriverti al sistema Microsoft, o di non voler pagare $ 99, o semplicemente di avere rancore contro le grandi aziende che iniziano con una M. C'è un'altra opzione per usare ancora Secure Boot ed eseguire un sistema operativo diverso da Windows. Microsoft’s hardware certification richiede che gli OEM consentano agli utenti di accedere al proprio sistema in modalità "personalizzata" UEFI, dove possono modificare manualmente i database di avvio protetto e il PK. Il sistema può essere messo in modalità di configurazione UEFI, in cui l'utente può persino specificare il proprio PK e firmare i bootloader stessi.
Inoltre, i requisiti di certificazione propri di Microsoft rendono obbligatorio per gli OEM includere un metodo per disabilitare l'avvio protetto su sistemi non ARM. Puoi disattivare Secure Boot! Gli unici sistemi in cui non è possibile disabilitare l'avvio protetto sono i sistemi ARM che eseguono Windows RT, che funzionano in modo più simile all'iPad, dove non è possibile caricare sistemi operativi personalizzati. Anche se vorrei che fosse possibile cambiare il sistema operativo sui dispositivi ARM, è giusto dire che Microsoft sta seguendo lo standard del settore per quanto riguarda i tablet qui.
Quindi l'avvio sicuro non è intrinsecamente malvagio?
Quindi, come si può sperare di vedere, Secure Boot non è dannoso e non è limitato solo all'uso con Windows. Il motivo per cui la FSF e altri sono così sconvolti è perché aggiunge ulteriori passaggi all'utilizzo di un sistema operativo di terze parti. Alle distribuzioni Linux potrebbe non piacere pagare per utilizzare la chiave Microsoft, ma è il modo più semplice ed economico per far funzionare Secure Boot per Linux. Fortunatamente, è facile disattivare Secure Boot ed è possibile aggiungere chiavi diverse, evitando così la necessità di trattare con Microsoft.
Data la quantità di malware sempre più avanzati, Secure Boot sembra un'idea ragionevole. Non vuole essere un complotto malvagio per conquistare il mondo, ed è molto meno spaventoso di quanto alcuni esperti di software libero ti faranno credere.
Letture aggiuntive:
- Requisiti di certificazione hardware Microsoft
- Creazione di Windows 8: protezione dell'ambiente pre-OS con UEFI
- Presentazione Microsoft sulla distribuzione di Secure Boot e sulla gestione delle chiavi
- Implementazione dell'avvio protetto UEFI in Fedora
- Panoramica dell'avvio protetto di TechNet
- Wikipedia article on UEFI
TL; DR: L'avvio protetto impedisce al malware di infettare il sistema a un livello basso e non rilevabile durante l'avvio. Chiunque può creare le chiavi necessarie per farlo funzionare, ma è difficile convincere i produttori di computer a distribuire il tuo chiave per tutti, quindi in alternativa puoi scegliere di pagare Verisign per utilizzare la chiave di Microsoft per firmare i tuoi bootloader e farli funzionare. Puoi anche disabilitare l'avvio protetto qualunque non-ARM computer.
Ultimo pensiero, per quanto riguarda la campagna della FSF contro l'avvio protetto: alcune delle loro preoccupazioni (cioè lo fa Più forte per installare sistemi operativi gratuiti) sono validi fino a un certo punto . Affermare che le restrizioni "impediranno a chiunque di avviare qualsiasi cosa tranne Windows" è tuttavia palesemente falso, per i motivi illustrati sopra. La campagna contro UEFI / Secure Boot come tecnologia è miope, disinformata ed è improbabile che sia comunque efficace. È più importante assicurarsi che i produttori seguano effettivamente i requisiti di Microsoft per consentire agli utenti di disabilitare l'avvio protetto o di modificare le chiavi se lo desiderano.
Hai qualcosa da aggiungere alla spiegazione? Suona nei commenti. Vuoi leggere altre risposte da altri utenti esperti di tecnologia Stack Exchange? Dai un'occhiata al thread di discussione completo qui .
