Het nieuwe UEFI Secure Boot-systeem in Windows 8 heeft voor meer dan voldoende verwarring gezorgd, vooral onder dual-booters. Lees verder terwijl we de misvattingen over dual booting met Windows 8 en Linux opruimen.
De vraag- en antwoordsessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een community-gedreven groepering van Q & A-websites.
De vraag
SuperUser-lezer Harsha K is benieuwd naar het nieuwe UEFI-systeem. Hij schrijft:
Ik heb veel gehoord over hoe Microsoft UEFI Secure Boot implementeert in Windows 8. Blijkbaar voorkomt het dat "ongeautoriseerde" bootloaders op de computer worden uitgevoerd, om malware te voorkomen. Er is een campagne van de Free Software Foundation tegen veilig opstarten en veel mensen hebben online gezegd dat het een "machtsgreep" van Microsoft is om "gratis besturingssystemen te elimineren".
Als ik een computer krijg waarop Windows 8 en Secure Boot vooraf zijn geïnstalleerd, kan ik dan later nog steeds Linux (of een ander besturingssysteem) installeren? Of werkt een computer met Secure Boot ooit alleen met Windows?
Dus wat is de deal? Zijn dual-booters echt pech?
Het antwoord
SuperUser-bijdrager Nathan Hinkle biedt een fantastisch overzicht van wat UEFI wel en niet is:
Allereerst het simpele antwoord op uw vraag:
- Als u een ARM-tablet heeft met Windows RT (zoals de Surface RT of de Asus Vivo RT), dan u kunt Secure Boot niet uitschakelen of andere besturingssystemen installeren . Net als veel andere ARM-tablets zullen deze apparaten dat ook doen enkel en alleen voer het besturingssysteem uit waarmee ze worden geleverd.
- Als u een niet-ARM-computer heeft met Windows 8 (zoals de Surface Pro of een van de talloze ultrabooks, desktops en tablets met een x86-64 processor), en u kunt Secure Boot volledig uitschakelen , of je kunt je eigen sleutels installeren en je eigen bootloader ondertekenen. Hoe dan ook, je kunt een besturingssysteem van een derde partij installeren zoals een Linux-distro of FreeBSD of DOS of wat u maar wilt.
Nu, op naar de details van hoe dit hele Secure Boot-ding eigenlijk werkt: er is veel verkeerde informatie over Secure Boot, vooral van de Free Software Foundation en soortgelijke groepen. Dit heeft het moeilijk gemaakt om informatie te vinden over wat Secure Boot eigenlijk doet, dus ik zal mijn best doen om het uit te leggen. Merk op dat ik geen persoonlijke ervaring heb met het ontwikkelen van veilige opstartsystemen of iets dergelijks; dit is precies wat ik heb geleerd door online te lezen.
Allereerst, Secure Boot is niet iets dat Microsoft heeft bedacht. Zij zijn de eersten die het op grote schaal implementeren, maar ze hebben het niet uitgevonden. Haar onderdeel van de UEFI-specificatie , wat in feite een nieuwere vervanging is voor het oude BIOS dat u waarschijnlijk gewend bent. UEFI is in feite de software die communiceert tussen het besturingssysteem en de hardware. UEFI-standaarden zijn gemaakt door een groep genaamd de " UEFI-forum “, Dat bestaat uit vertegenwoordigers van de computerindustrie, waaronder Microsoft, Apple, Intel, AMD en een handvol computerfabrikanten.
Tweede belangrijkste punt, met Secure Boot ingeschakeld op een computer niet betekent dat de computer nooit een ander besturingssysteem kan opstarten . In feite stellen de eigen Windows-hardwarecertificeringsvereisten van Microsoft dat u voor niet-ARM-systemen zowel Secure Boot moet kunnen uitschakelen als de sleutels moet kunnen wijzigen (om andere besturingssystemen toe te staan). Maar daarover later meer.
Wat doet Secure Boot?
In wezen voorkomt het dat malware uw computer aanvalt tijdens de opstartvolgorde. Malware die via de bootloader binnenkomt, kan erg moeilijk te detecteren en te stoppen zijn, omdat het low-level functies van het besturingssysteem kan infiltreren, waardoor het onzichtbaar blijft voor antivirussoftware. Het enige dat Secure Boot echt doet, is controleren of de bootloader afkomstig is van een vertrouwde bron en dat er niet mee is geknoeid. Zie het als de pop-up-doppen op flessen die zeggen "niet openen als het deksel opengaat of er met de verzegeling is geknoeid".
Op het hoogste beschermingsniveau heb je de platformsleutel (PK). Er is slechts één PK op elk systeem en deze wordt tijdens de fabricage door de OEM geïnstalleerd. Deze sleutel wordt gebruikt om de KEK-database te beschermen. De KEK-database bevat Key Exchange Keys, die worden gebruikt om de andere beveiligde opstartdatabases te wijzigen. Er kunnen meerdere KEK's zijn. Er is dan een derde niveau: de Authorized Database (db) en de Forbidden Datbase (dbx). Deze bevatten informatie over certificaatautoriteiten, aanvullende cryptografische sleutels en UEFI-apparaatafbeeldingen die respectievelijk moeten worden toegestaan of geblokkeerd. Om een bootloader te laten draaien, moet deze cryptografisch ondertekend zijn met een sleutel die is in de db, en is niet in de dbx.
Afbeelding van Windows 8 bouwen: de pre-OS-omgeving beschermen met UEFI
Hoe dit uitpakt op een real-world Windows 8 gecertificeerd systeem
De OEM genereert zijn eigen PK, en Microsoft biedt een KEK die de OEM vooraf in de KEK-database moet laden. Microsoft ondertekent vervolgens de Windows 8 Bootloader en gebruikt hun KEK om deze handtekening in de geautoriseerde database te plaatsen. Wanneer UEFI de computer opstart, verifieert het de PK, verifieert het Microsoft's KEK en verifieert het vervolgens de bootloader. Als alles er goed uitziet, kan het besturingssysteem opstarten.
Afbeelding van Windows 8 bouwen: de pre-OS-omgeving beschermen met UEFIWaar komen besturingssystemen van derden, zoals Linux, binnen?
Ten eerste kan elke Linux-distro ervoor kiezen om een KEK te genereren en OEM's vragen om deze standaard in de KEK-database op te nemen. Ze zouden dan net zo veel controle hebben over het opstartproces als Microsoft. De problemen hiermee, zoals uitgelegd door Matthew Garrett van Fedora , zijn dat a) het zou moeilijk zijn om elke pc-fabrikant ertoe te brengen de sleutel van Fedora op te nemen, en b) het zou oneerlijk zijn tegenover andere Linux-distributies, omdat hun sleutel niet zou worden opgenomen, omdat kleinere distributies niet zoveel OEM hebben partnerschappen.
Wat Fedora heeft gekozen om te doen (en andere distributies volgen dit voorbeeld) is om de ondertekeningsservices van Microsoft te gebruiken. Dit scenario vereist het betalen van $ 99 aan Verisign (de certificeringsinstantie die Microsoft gebruikt), en geeft ontwikkelaars de mogelijkheid om hun bootloader te ondertekenen met de KEK van Microsoft. Aangezien KEK van Microsoft al op de meeste computers aanwezig zal zijn, kunnen ze hun bootloader ondertekenen om Secure Boot te gebruiken, zonder dat ze hun eigen KEK nodig hebben. Het is uiteindelijk meer compatibel met meer computers en kost in het algemeen minder dan het opzetten van hun eigen systeem voor het ondertekenen en distribueren van sleutels. Er zijn wat meer details over hoe dit zal werken (met behulp van GRUB, ondertekende kernelmodules en andere technische informatie) in de bovengenoemde blogpost, die ik aanraad om te lezen als je in dit soort dingen geïnteresseerd bent.
Stel dat u niet wilt omgaan met het gedoe om u aan te melden voor het systeem van Microsoft, of geen $ 99 wilt betalen, of gewoon een wrok koestert tegen grote bedrijven die beginnen met een M.Er is nog een andere optie om Secure Boot nog steeds te gebruiken en draai een ander besturingssysteem dan Windows. De hardwarecertificering van Microsoft vereist dat OEM's gebruikers hun systeem in de UEFI "aangepaste" modus laten invoeren, waar ze handmatig de Secure Boot-databases en de PK kunnen wijzigen. Het systeem kan in de UEFI-installatiemodus worden gezet, waar de gebruiker zelfs zijn eigen PK kan specificeren en zelf bootloaders kan ondertekenen.
Bovendien maken de eigen certificeringsvereisten van Microsoft het verplicht voor OEM's om een methode op te nemen om Secure Boot uit te schakelen op niet-ARM-systemen. U kunt Secure Boot uitschakelen! De enige systemen waarop u Secure Boot niet kunt uitschakelen, zijn ARM-systemen met Windows RT, die meer op de iPad werken, waar u geen aangepaste besturingssystemen kunt laden. Hoewel ik zou willen dat het mogelijk zou zijn om het besturingssysteem op ARM-apparaten te wijzigen, is het redelijk om te zeggen dat Microsoft hier de industriestandaard volgt met betrekking tot tablets.
Dus veilig opstarten is niet inherent slecht?
Zoals je hopelijk kunt zien, is Secure Boot niet slecht en is het niet beperkt tot alleen Windows. De reden dat de FSF en anderen er zo overstuur van zijn, is omdat het extra stappen toevoegt aan het gebruik van een besturingssysteem van derden. Linux-distributies houden misschien niet van betalen om de sleutel van Microsoft te gebruiken, maar het is de gemakkelijkste en meest kosteneffectieve manier om Secure Boot voor Linux te laten werken. Gelukkig is het eenvoudig om Secure Boot uit te schakelen en verschillende sleutels toe te voegen, zodat u niet met Microsoft om hoeft te gaan.
Gezien de hoeveelheid steeds geavanceerdere malware, lijkt Secure Boot een redelijk idee. Het is niet bedoeld als een kwaadaardig complot om de wereld over te nemen, en het is een stuk minder eng dan sommige gratis software experts zullen doen geloven.
Aanvullende lezing:
- Vereisten voor hardwarecertificering van Microsoft
- Windows 8 bouwen: de pre-OS-omgeving beschermen met UEFI
- Microsoft-presentatie over Secure Boot-implementatie en sleutelbeheer
- Implementing UEFI Secure Boot in Fedora
- TechNet Secure Boot Overzicht
- Wikipedia-artikel over UEFI
TL; DR: Veilig opstarten voorkomt dat malware uw systeem tijdens het opstarten op een laag, niet-detecteerbaar niveau infecteert. Iedereen kan de benodigde sleutels maken om het te laten werken, maar het is moeilijk om computerfabrikanten te overtuigen om te verspreiden uw sleutel voor iedereen, dus je kunt er ook voor kiezen om Verisign te betalen om de sleutel van Microsoft te gebruiken om je bootloaders te ondertekenen en ze te laten werken. U kunt Secure Boot ook uitschakelen ieder niet-ARM-computer.
Laatste gedachte, met betrekking tot de campagne van de FSF tegen Secure Boot: sommige van hun zorgen (d.w.z. het maakt het harder om gratis besturingssystemen te installeren) zijn geldig naar een punt . Zeggen dat de beperkingen "voorkomen dat iemand iets anders dan Windows opstart" is echter aantoonbaar onjuist, om de hierboven geïllustreerde redenen. Campagne voeren tegen UEFI / Secure Boot als een technologie is kortzichtig, verkeerd geïnformeerd en zal sowieso waarschijnlijk niet effectief zijn. Het is belangrijker om ervoor te zorgen dat fabrikanten daadwerkelijk de vereisten van Microsoft volgen om gebruikers Secure Boot uit te laten schakelen of de sleutels te wijzigen als ze dat willen.
Iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden lezen van andere technisch onderlegde Stack Exchange-gebruikers? Bekijk hier de volledige discussiethread .
