พีซีสมัยใหม่มาพร้อมกับคุณสมบัติที่เรียกว่า“ Secure Boot” ที่เปิดใช้งาน นี่คือคุณสมบัติของแพลตฟอร์มใน ยูฟ่า ซึ่ง แทนที่ BIOS ของพีซีแบบเดิม . หากผู้ผลิตพีซีต้องการติดสติกเกอร์โลโก้“ Windows 10” หรือ“ Windows 8” ลงในพีซี Microsoft กำหนดให้เปิดใช้ Secure Boot และปฏิบัติตามคำแนะนำบางประการ
น่าเสียดายที่มันยังป้องกันไม่ให้คุณติดตั้งลีนุกซ์บางรุ่นซึ่งอาจเป็นเรื่องยุ่งยาก
Secure Boot ช่วยรักษาความปลอดภัยของกระบวนการบูตพีซีของคุณอย่างไร
Secure Boot ไม่ได้ออกแบบมาเพื่อให้การใช้งาน Linux ยากขึ้นเท่านั้น มีข้อดีด้านความปลอดภัยที่แท้จริงในการเปิดใช้ Secure Boot และแม้แต่ผู้ใช้ Linux ก็สามารถได้รับประโยชน์จากสิ่งเหล่านี้
BIOS แบบดั้งเดิมจะบูตซอฟต์แวร์ใด ๆ เมื่อคุณบูตพีซีเครื่องจะตรวจสอบอุปกรณ์ฮาร์ดแวร์ตามลำดับการบูตที่คุณกำหนดค่าไว้และพยายามบูตจากอุปกรณ์เหล่านั้น โดยปกติพีซีทั่วไปจะค้นหาและบูต Windows boot loader ซึ่งจะบูตระบบปฏิบัติการ Windows แบบเต็ม หากคุณใช้ Linux BIOS จะค้นหาและบูต GRUB boot loader ซึ่งลีนุกซ์ส่วนใหญ่ใช้
อย่างไรก็ตามอาจเป็นไปได้ที่มัลแวร์เช่นรูทคิตจะเข้ามาแทนที่บูตโหลดเดอร์ของคุณ รูทคิทสามารถโหลดระบบปฏิบัติการปกติของคุณได้โดยไม่มีข้อบ่งชี้ว่ามีอะไรผิดปกติโดยจะมองไม่เห็นอย่างสมบูรณ์และตรวจไม่พบในระบบของคุณ BIOS ไม่ทราบความแตกต่างระหว่างมัลแวร์และตัวโหลดบูตที่เชื่อถือได้เพียงแค่บูตทุกอย่างที่พบ
Secure Boot ออกแบบมาเพื่อหยุดสิ่งนี้ . พีซี Windows 8 และ 10 มาพร้อมกับใบรับรองของ Microsoft ที่เก็บไว้ใน UEFI UEFI จะตรวจสอบบูตโหลดเดอร์ก่อนเปิดใช้งานและตรวจสอบให้แน่ใจว่าได้ลงนามโดย Microsoft หากรูทคิทหรือมัลแวร์ชิ้นอื่นมาแทนที่บูตโหลดเดอร์ของคุณหรือขัดขวางการทำงาน UEFI จะไม่อนุญาตให้บูต ซึ่งจะป้องกันไม่ให้มัลแวร์ขโมยกระบวนการบูตของคุณและปกปิดตัวเองจากระบบปฏิบัติการของคุณ
Microsoft อนุญาตให้ Linux Distributions บูตด้วย Secure Boot ได้อย่างไร
ตามทฤษฎีแล้วคุณลักษณะนี้ออกแบบมาเพื่อป้องกันมัลแวร์เท่านั้น ดังนั้น Microsoft จึงเสนอวิธีช่วยให้ Linux สามารถบูตได้ นั่นเป็นสาเหตุที่ Linux รุ่นใหม่ ๆ เช่น Ubuntu และ Fedora "ใช้งานได้" บนพีซีรุ่นใหม่แม้ว่าจะเปิดใช้ Secure Boot ก็ตาม ลินุกซ์ดิสทริบิวชันสามารถจ่ายค่าธรรมเนียมเพียงครั้งเดียว 99 ดอลลาร์เพื่อเข้าถึงพอร์ทัล Microsoft Sysdev ซึ่งสามารถสมัครเพื่อลงนามบูตโหลดเดอร์ได้
โดยทั่วไปแล้วลีนุกซ์ดิสทริบิวชันจะมีการเซ็นชื่อ shim เป็นบูตโหลดเดอร์ขนาดเล็กที่เพียงแค่บูทตัวโหลดบูต GRUB หลักของ Linux ดิสทริบิวชัน shim ที่ลงนามโดย Microsoft จะตรวจสอบเพื่อให้แน่ใจว่าบูตเครื่องบูตที่ลงนามโดยการแจกจ่าย Linux จากนั้นการกระจาย Linux จะบู๊ตได้ตามปกติ
ขณะนี้ Ubuntu, Fedora, Red Hat Enterprise Linux และ openSUSE รองรับ Secure Boot และจะทำงานได้โดยไม่ต้องปรับแต่งฮาร์ดแวร์ที่ทันสมัย อาจมีคนอื่น ๆ แต่สิ่งเหล่านี้คือสิ่งที่เราทราบ ลีนุกซ์บางรุ่นไม่เห็นด้วยกับการสมัครเพื่อลงนามโดย Microsoft
คุณจะปิดใช้งานหรือควบคุม Secure Boot ได้อย่างไร
หากนั่นคือ Secure Boot ทั้งหมดคุณจะไม่สามารถเรียกใช้ระบบปฏิบัติการที่ไม่ได้รับการรับรองจาก Microsoft บนพีซีของคุณ แต่คุณสามารถควบคุม Secure Boot ได้จากเฟิร์มแวร์ UEFI ของพีซีของคุณซึ่งเหมือนกับ BIOS ในพีซีรุ่นเก่า
มีสองวิธีในการควบคุม Secure Boot วิธีที่ง่ายที่สุดคือไปที่เฟิร์มแวร์ UEFI และปิดการใช้งานทั้งหมด เฟิร์มแวร์ UEFI จะไม่ตรวจสอบเพื่อให้แน่ใจว่าคุณใช้บูตโหลดเดอร์ที่ลงนามแล้วและทุกอย่างจะบู๊ต คุณสามารถบูตระบบกระจาย Linux หรือแม้แต่ติดตั้ง Windows 7 ซึ่งไม่รองรับ Secure Boot Windows 8 และ 10 จะทำงานได้ดีคุณจะสูญเสียข้อได้เปรียบด้านความปลอดภัยจากการมี Secure Boot ที่ปกป้องกระบวนการบูตของคุณ
คุณยังสามารถปรับแต่ง Secure Boot เพิ่มเติมได้อีกด้วย คุณสามารถควบคุมข้อเสนอการลงนาม Secure Boot ได้ คุณมีอิสระในการติดตั้งใบรับรองใหม่และนำใบรับรองที่มีอยู่ออก ตัวอย่างเช่นองค์กรที่ใช้ Linux บนพีซีสามารถเลือกที่จะลบใบรับรองของ Microsoft และติดตั้งใบรับรองขององค์กรเองแทน จากนั้นพีซีเหล่านั้นจะบู๊ตเฉพาะบูตที่ได้รับการอนุมัติและลงนามโดยองค์กรนั้น
แต่ละคนสามารถทำเช่นนี้ได้เช่นกัน - คุณสามารถลงนามตัวโหลดบูต Linux ของคุณเองและตรวจสอบให้แน่ใจว่าพีซีของคุณสามารถบูตได้เฉพาะบูตโหลดเดอร์ที่คุณรวบรวมและลงนามเป็นการส่วนตัว นั่นคือประเภทของการควบคุมและข้อเสนอ Secure Boot ที่มีประสิทธิภาพ
สิ่งที่ Microsoft ต้องการสำหรับผู้ผลิตพีซี
Microsoft ไม่เพียงต้องการให้ผู้จำหน่ายพีซีเปิดใช้งาน Secure Boot หากต้องการสติกเกอร์รับรอง“ Windows 10” หรือ“ Windows 8” ที่สวยงามบนพีซีของตน Microsoft กำหนดให้ผู้ผลิตพีซีใช้งานในลักษณะเฉพาะ
สำหรับพีซี Windows 8 ผู้ผลิตจะต้องให้วิธีปิด Secure Boot แก่คุณ Microsoft กำหนดให้ผู้ผลิตพีซีวาง Secure Boot kill switch ไว้ในมือของผู้ใช้
สำหรับพีซี Windows 10 สิ่งนี้ไม่บังคับอีกต่อไป ผู้ผลิตพีซีสามารถเลือกที่จะเปิดใช้ Secure Boot และไม่ให้วิธีปิดเครื่องแก่ผู้ใช้ อย่างไรก็ตามเราไม่ทราบว่ามีผู้ผลิตพีซีรายใดที่ทำเช่นนี้
ในทำนองเดียวกันแม้ว่าผู้ผลิตพีซีจะต้องใส่คีย์“ Microsoft Windows Production PCA” หลักของ Microsoft เพื่อให้ Windows สามารถบูตได้ แต่ก็ไม่จำเป็นต้องใส่คีย์“ Microsoft Corporation UEFI CA” แนะนำให้ใช้คีย์ที่สองเท่านั้น เป็นคีย์ที่สองซึ่งเป็นทางเลือกที่ Microsoft ใช้เพื่อลงนามในตัวบูต Linux เอกสารของ Ubuntu อธิบายสิ่งนี้
กล่าวอีกนัยหนึ่งก็คือไม่ใช่ว่าพีซีทุกเครื่องจะต้องบูตลีนุกซ์ที่มีการเซ็นชื่อโดยเปิด Secure Boot อีกครั้งในทางปฏิบัติเราไม่เคยเห็นพีซีเครื่องใดทำเช่นนี้ อาจไม่มีผู้ผลิตพีซีรายใดที่ต้องการสร้างแล็ปท็อปกลุ่มเดียวที่คุณไม่สามารถติดตั้ง Linux ได้
ในตอนนี้อย่างน้อยพีซี Windows หลักควรอนุญาตให้คุณปิดใช้งาน Secure Boot ได้หากต้องการและควรบูตระบบ Linux ที่ได้รับการลงนามโดย Microsoft แม้ว่าคุณจะไม่ได้ปิด Secure Boot ก็ตาม
ไม่สามารถปิด Secure Boot ใน Windows RT ได้ แต่ Windows RT ตายแล้ว
ที่เกี่ยวข้อง: Windows RT คืออะไรและแตกต่างจาก Windows 8 อย่างไร
ทั้งหมดข้างต้นเป็นจริงสำหรับระบบปฏิบัติการ Windows 8 และ 10 มาตรฐานบนฮาร์ดแวร์ Intel x86 มาตรฐาน มันแตกต่างกันสำหรับ ARM
บน Windows RT - เวอร์ชันของ Windows 8 สำหรับ ฮาร์ดแวร์ ARM ซึ่งจัดส่งบน Surface RT และ Surface 2 ของ Microsoft รวมถึงอุปกรณ์อื่น ๆ ไม่สามารถปิด Secure Boot ได้ ทุกวันนี้ยังไม่สามารถปิด Secure Boot ได้ Windows 10 Mobile ฮาร์ดแวร์หรืออีกนัยหนึ่งคือโทรศัพท์ที่ใช้ Windows 10
นั่นเป็นเพราะ Microsoft ต้องการให้คุณคิดว่าระบบ Windows RT ที่ใช้ ARM เป็น "อุปกรณ์" ไม่ใช่พีซี เช่น Microsoft บอกกับ Mozilla , Windows RT“ ไม่ใช่ Windows อีกต่อไป”
อย่างไรก็ตามตอนนี้ Windows RT ตายแล้ว ไม่มีระบบปฏิบัติการเดสก์ท็อป Windows 10 เวอร์ชันสำหรับฮาร์ดแวร์ ARM ดังนั้นนี่ไม่ใช่สิ่งที่คุณต้องกังวลอีกต่อไป แต่หาก Microsoft นำฮาร์ดแวร์ Windows RT 10 กลับมาคุณอาจจะไม่สามารถปิดใช้งาน Secure Boot ได้
เครดิตรูปภาพ: ฐานเอกอัครราชทูต , John Bristowe
