Det nye UEFI Secure Boot-systemet i Windows 8 har forårsaket mer enn en god del forvirring, spesielt blant dual booters. Les videre når vi rydder opp misoppfatningene om dobbelt oppstart med Windows 8 og Linux.
Dagens spørsmål og svar-økt kommer til oss med tillatelse fra SuperUser - en underavdeling av Stack Exchange, en samfunnsdrevet gruppe av spørsmål og svar-nettsteder.
Spørsmålet
SuperUser-leser Harsha K er nysgjerrig på det nye UEFI-systemet. Han skriver:
Jeg har hørt mye om hvordan Microsoft implementerer UEFI Secure Boot i Windows 8. Det forhindrer tilsynelatende at "uautoriserte" bootloadere kjører på datamaskinen, for å forhindre skadelig programvare. Det er en kampanje fra Free Software Foundation mot sikker oppstart, og mange har på nettet sagt at det er en "power grab" av Microsoft å "eliminere gratis operativsystemer".
Hvis jeg får en datamaskin som har Windows 8 og Secure Boot forhåndsinstallert, vil jeg fremdeles kunne installere Linux (eller et annet operativsystem) senere? Eller fungerer en datamaskin med Secure Boot bare med Windows?
Så hva er avtalen? Har dual booters virkelig lykken?
Svaret
SuperUser-bidragsyter Nathan Hinkle tilbyr en fantastisk oversikt over hva UEFI er og ikke er:
Først og fremst det enkle svaret på spørsmålet ditt:
- Hvis du har et ARM-nettbrett kjører Windows RT (som Surface RT eller Asus Vivo RT), da vil du ikke kunne deaktivere Secure Boot eller installere andre operativsystemer . Som mange andre ARM-nettbrett, vil disse enhetene bare kjør operativsystemet de kommer med.
- Hvis du har en datamaskin som ikke er fra ARM kjører Windows 8 (som Surface Pro eller noen av de utallige ultrabooks, stasjonære PC-ene og nettbrettene med en x86-64-prosessor), deretter du kan deaktivere Secure Boot helt , eller du kan installere dine egne nøkler og signere din egen bootloader. Uansett, du kan installere et tredjeparts OS som en Linux distro eller FreeBSD eller DOS eller hva som helst som liker deg.
Nå, videre til detaljene i hvordan hele denne Secure Boot-tingen faktisk fungerer: Det er mye feilinformasjon om Secure Boot, spesielt fra Free Software Foundation og lignende grupper. Dette har gjort det vanskelig å finne informasjon om hva Secure Boot egentlig gjør, så jeg vil gjøre mitt beste for å forklare. Merk at jeg ikke har personlig erfaring med å utvikle sikre oppstartssystemer eller noe lignende; dette er akkurat det jeg har lært av å lese på nettet.
Først av alt, Sikker oppstart er ikke noe Microsoft kom på. De er de første som har implementert det i stor grad, men de oppfant det ikke. Det er en del av UEFI-spesifikasjonen , som i utgangspunktet er en nyere erstatning for den gamle BIOSen som du sannsynligvis er vant til. UEFI er i utgangspunktet programvaren som snakker mellom operativsystemet og maskinvaren. UEFI-standarder er opprettet av en gruppe som heter “ UEFI Forum “, Som består av representanter for databehandlere, inkludert Microsoft, Apple, Intel, AMD, og en håndfull dataprodusenter.
Det nest viktigste poenget, å ha Secure Boot aktivert på en datamaskin gjør det ikke betyr at datamaskinen aldri kan starte noe annet operativsystem . Faktisk sier Microsofts egne Windows-maskinvaresertifiseringskrav at for ikke-ARM-systemer må du både kunne deaktivere Secure Boot og endre nøklene (for å tillate andre operativsystemer). Mer om det senere skjønt.
Hva gjør Secure Boot?
I hovedsak forhindrer det skadelig programvare i å angripe datamaskinen din gjennom oppstartssekvensen. Skadelig programvare som kommer inn gjennom bootloaderen kan være veldig vanskelig å oppdage og stoppe, fordi den kan infiltrere funksjoner på lavt nivå i operativsystemet, og holde den usynlig for antivirusprogramvare. Alt som Secure Boot egentlig gjør, er at det bekrefter at bootloaderen er fra en pålitelig kilde, og at den ikke er blitt manipulert med. Tenk på det som sprettopphettene på flasker som sier "ikke åpne hvis lokket er spratt opp eller det er tuklet med forseglingen".
På det øverste beskyttelsesnivået har du plattformnøkkelen (PK). Det er bare en PK på ethvert system, og den installeres av OEM under produksjonen. Denne nøkkelen brukes til å beskytte KEK-databasen. KEK-databasen inneholder nøkkelutvekslingsnøkler, som brukes til å endre de andre sikre oppstartsdatabasene. Det kan være flere KEK-er. Det er da et tredje nivå: den autoriserte databasen (db) og den forbudte databasen (dbx). Disse inneholder informasjon om sertifikatmyndigheter, ekstra kryptografiske nøkler og UEFI-enhetsbilder for å tillate eller blokkere henholdsvis. For at en bootloader skal få kjøre, må den være kryptografisk signert med en nøkkel som er i db, og er ikke i dbx.
Bilde fra Bygge Windows 8: Beskytte miljøet før operativsystemet med UEFI
Hvordan dette fungerer på et ekte Windows 8-sertifisert system
OEM genererer sin egen PK, og Microsoft gir en KEK som OEM kreves for å forhåndslaste i KEK-databasen. Microsoft signerer deretter Windows 8 Bootloader, og bruker KEK til å plassere denne signaturen i den autoriserte databasen. Når UEFI starter datamaskinen, verifiserer den PK, verifiserer Microsofts KEK, og verifiserer deretter bootloader. Hvis alt ser bra ut, kan operativsystemet starte.
Bilde fra Bygge Windows 8: Beskytte miljøet før operativsystemet med UEFIHvor kommer tredjeparts operativsystemer, som Linux, inn?
For det første kan enhver Linux-distro velge å generere en KEK og be OEM-er om å inkludere den i KEK-databasen som standard. De vil da ha like mye kontroll over oppstartsprosessen som Microsoft gjør. Problemene med dette, som forklart av Fedoras Matthew Garrett , er at a) det ville være vanskelig å få alle PC-produsenter til å inkludere Fedoras nøkkel, og b) det ville være urettferdig for andre Linux-distribusjoner, fordi nøkkelen deres ikke ville være inkludert, siden mindre distroer ikke har så mange OEM partnerskap.
Det Fedora har valgt å gjøre (og andre distribusjoner følger etter) er å bruke Microsofts signeringstjenester. Dette scenariet krever at du betaler $ 99 til Verisign (Certificate Authority som Microsoft bruker), og gir utviklere muligheten til å signere bootloaderen sin ved hjelp av Microsofts KEK. Siden Microsofts KEK allerede vil være på de fleste datamaskiner, lar dette dem signere bootloaderen for å bruke Secure Boot, uten å kreve sin egen KEK. Det ender med at det er mer kompatibelt med flere datamaskiner, og koster mindre generelt enn å håndtere å sette opp sitt eget nøkkelsignerings- og distribusjonssystem. Det er noen flere detaljer om hvordan dette vil fungere (ved hjelp av GRUB, signerte kjernemoduler og annen teknisk info) i det nevnte blogginnlegget, som jeg anbefaler å lese hvis du er interessert i denne typen ting.
Anta at du ikke vil takle bryet med å registrere deg for Microsofts system, eller ikke vil betale $ 99, eller bare ha et nag mot store selskaper som starter med en M. Det er et annet alternativ å fortsatt bruke Secure Boot og kjør et annet operativsystem enn Windows. Microsofts maskinvaresertifisering krever at OEM-er lar brukere gå inn i systemet sitt i UEFI “tilpasset” modus, hvor de manuelt kan endre Secure Boot-databasene og PK. Systemet kan settes i UEFI-oppsettmodus, hvor brukeren til og med kan spesifisere sin egen PK, og signere bootloaders selv.
Videre gjør Microsofts egne sertifiseringskrav det obligatorisk for OEM-er å inkludere en metode for å deaktivere Secure Boot på ikke-ARM-systemer. Du kan slå av Secure Boot! De eneste systemene der du ikke kan deaktivere Secure Boot er ARM-systemer som kjører Windows RT, som fungerer mer likt iPad, der du ikke kan laste inn egendefinerte operativsystemer. Selv om jeg ønsker at det ville være mulig å endre operativsystemet på ARM-enheter, er det rimelig å si at Microsoft følger bransjestandarden med hensyn til nettbrett her.
Så sikker støvel er ikke iboende ond?
Så som du forhåpentligvis kan se, er ikke Secure Boot ond, og er ikke bare begrenset til bruk med Windows. Årsaken til at FSF og andre er så opprørte over det, er fordi det legger til ekstra trinn for å bruke et tredjepartsoperativsystem. Linux-distroer liker kanskje ikke å betale for å bruke Microsofts nøkkel, men det er den enkleste og mest kostnadseffektive måten å få Secure Boot til å fungere for Linux. Heldigvis er det enkelt å slå av Secure Boot, og mulig å legge til forskjellige nøkler, og dermed unngå behovet for å håndtere Microsoft.
Gitt mengden av stadig mer avansert skadelig programvare, virker Secure Boot som en rimelig idé. Det er ikke ment å være et ondt komplott for å overta verden, og er mye mindre skummelt enn noen gratis programvarekundere vil ha deg til å tro.
Ytterligere lesing:
- Microsoft-sertifiseringskrav for maskinvare
- Bygge Windows 8: Beskytte miljøet før operativsystemet med UEFI
- Microsoft-presentasjon om Secure Boot-distribusjon og nøkkeladministrasjon
- Implementering av UEFI Secure Boot i Fedora
- Oversikt over TechNet Secure Boot
- Wikipedia article on UEFI
TL; DR: Sikker oppstart forhindrer skadelig programvare fra å infisere systemet ditt på et lavt, uoppdagelig nivå under oppstart. Hvem som helst kan lage de nødvendige nøklene for å få det til å fungere, men det er vanskelig å overbevise dataprodusenter om å distribuere din nøkkelen til alle, så du kan alternativt velge å betale Verisign for å bruke Microsofts nøkkel til å signere oppstartslastere og få dem til å fungere. Du kan også deaktivere Secure Boot på noen ikke-ARM-datamaskin.
Siste tanke, med hensyn til FSFs kampanje mot Secure boot: Noen av deres bekymringer (dvs. det gjør det vanskeligere for å installere gratis operativsystemer) er gyldige til et punkt . Å si at begrensningene vil "forhindre noen i å starte noe annet enn Windows", er imidlertid beviselig falsk av årsakene som er illustrert ovenfor. Kampanje mot UEFI / Secure Boot som en teknologi er kortsiktig, feilinformert og sannsynligvis ikke effektiv i alle fall. Det er viktigere å sikre at produsentene faktisk følger Microsofts krav for å la brukerne deaktivere Secure Boot eller endre nøklene hvis de ønsker det.
Har du noe å legge til forklaringen? Hør av i kommentarene. Vil du lese flere svar fra andre teknologikyndige Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her .
