Το νέο σύστημα UEFI Secure Boot στα Windows 8 έχειπροκάλεσε περισσότερο από το δίκαιο μερίδιο της σύγχυσης, ιδίως μεταξύ των δύο εκφοβιστών. Διαβάστε παρακάτω καθώς ξεκαθαρίζουμε τις παρανοήσεις σχετικά με τη διπλή εκκίνηση με τα Windows 8 και Linux.
Η σημερινή συνάντηση ερωτήσεων και απαντήσεων έρχεται σε επαφή με το SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινότητα που καθοδηγείται από την ομαδοποίηση ιστοσελίδων Q & A.
Το ερώτημα
Ο αναγνώστης SuperUser Harsha K είναι περίεργος για το νέο σύστημα UEFI. Αυτός γράφει:
Έχω ακούσει πολλά για το πώς είναι η Microsoftεφαρμόζοντας την UEFI Secure Boot στα Windows 8. Προφανώς αποτρέπει την εκκίνηση "μη εξουσιοδοτημένων" bootloader στον υπολογιστή, για την πρόληψη κακόβουλου λογισμικού. Υπάρχει μια καμπάνια από το Ίδρυμα Ελεύθερου Λογισμικού εναντίον ασφαλούς εκκίνησης και πολλοί άνθρωποι λένε στο διαδίκτυο ότι είναι μια "αρπαγή δύναμης" από τη Microsoft για την "εξάλειψη των ελεύθερων λειτουργικών συστημάτων".
Εάν έχω προεγκατεστημένο έναν υπολογιστή που έχει προεγκατεστημένα τα Windows 8 και Secure Boot, θα συνεχίσω να μπορώ να εγκαταστήσω Linux (ή κάποιο άλλο λειτουργικό σύστημα) αργότερα; Ή μήπως ένας υπολογιστής με Secure Boot λειτουργεί μόνο με τα Windows;
Ποια είναι η συμφωνία; Είναι διπλός booters πραγματικά από την τύχη;
Η απάντηση
Ο συνεργάτης SuperUser Nathan Hinkle προσφέρει μια φανταστική επισκόπηση του τι είναι και δεν είναι το UEFI:
Πρώτα απ 'όλα, η απλή απάντηση στην ερώτησή σας:
- Εάν έχετε ένα tablet ARM με Windows RT (όπως το Surface RT ή το Asus Vivo RT) δεν θα μπορείτε να απενεργοποιήσετε την Ασφαλής εκκίνηση ή να εγκαταστήσετε άλλα λειτουργικά συστήματα. Όπως πολλά άλλα δισκία ARM, αυτές οι συσκευές θα μόνο εκτελέστε το λειτουργικό σύστημα με το οποίο έρχονται.
- Εάν διαθέτετε υπολογιστή μη ARM που εκτελούν τα Windows 8 (όπως το Surface Pro ή οποιαδήποτε από τις μυριάδες εξαιρετικά βιβλία, επιτραπέζιους υπολογιστές και tablet με επεξεργαστή x86-64), τότε μπορείτε να απενεργοποιήσετε πλήρως την Ασφαλής εκκίνηση, ή μπορείτε να εγκαταστήσετε τα δικά σας κλειδιά και να υπογράψετε το δικό σας bootloader. Οπως και να έχει, μπορείτε να εγκαταστήσετε ένα λειτουργικό σύστημα τρίτου μέρους όπως μια διανομή Linux ή το FreeBSD ή το DOS ή οτιδήποτε σας ευχαριστεί.
Τώρα, για τις λεπτομέρειες του πώς ολόκληρη αυτή η ασφάλειαΤο πράγμα εκκίνησης λειτουργεί πραγματικά: Υπάρχουν πολλές παραπληροφόρηση σχετικά με το Secure Boot, ειδικά από το Ίδρυμα Ελεύθερου Λογισμικού και παρόμοιες ομάδες. Αυτό δυσκολεύει να βρει πληροφορίες για το τι πραγματικά κάνει το Secure Boot, γι 'αυτό θα προσπαθήσω να εξηγήσω. Σημειώστε ότι δεν έχω προσωπική εμπειρία με την ανάπτυξη ασφαλών συστημάτων εκκίνησης ή κάτι τέτοιο. αυτό είναι ακριβώς αυτό που έμαθα από την ανάγνωση στο διαδίκτυο.
Πρωτα απο ολα, Ασφαλής εκκίνηση είναι δεν κάτι που η Microsoft ήξερε. Είναι οι πρώτοι που την εφαρμόζουν ευρέως, αλλάδεν το εφεύρουν. Είναι μέρος της προδιαγραφής UEFI, η οποία είναι βασικά μια νεότερη αντικατάσταση για το παλιό BIOS που πιθανώς χρησιμοποιείτε. Το UEFI είναι βασικά το λογισμικό που μιλάει μεταξύ του λειτουργικού συστήματος και του υλικού. Τα πρότυπα UEFI δημιουργούνται από μια ομάδα που ονομάζεται "Φόρουμ UEFI", η οποία αποτελείται από εκπροσώπους της βιομηχανίας πληροφορικής, όπως η Microsoft, η Apple, η Intel, η AMD και μια χούφτα κατασκευαστές υπολογιστών.
Δεύτερο σημαντικότερο σημείο, έχοντας ενεργοποιημένη την Ασφαλής εκκίνηση σε έναν υπολογιστή δεν σημαίνει ότι ο υπολογιστής δεν μπορεί ποτέ να εκκινήσει οποιοδήποτε άλλο λειτουργικό σύστημα. Στην πραγματικότητα, τα Windows Hardware της MicrosoftΟι Απαιτήσεις Πιστοποίησης δηλώνουν ότι για συστήματα που δεν είναι ARM, πρέπει να μπορείτε να απενεργοποιήσετε το Secure Boot και να αλλάξετε τα κλειδιά (για να επιτρέψετε άλλα λειτουργικά συστήματα). Περισσότερα για αυτό αργότερα όμως.
Τι κάνει το Secure Boot;
Βασικά, αποτρέπει την επίθεση κακόβουλων προγραμμάτωνυπολογιστή σας μέσω της ακολουθίας εκκίνησης. Το κακόβουλο λογισμικό που εισέρχεται μέσω του bootloader μπορεί να είναι πολύ δύσκολο να εντοπιστεί και να σταματήσει, επειδή μπορεί να διεισδύσει σε λειτουργίες χαμηλού επιπέδου του λειτουργικού συστήματος, διατηρώντας το αόρατο σε λογισμικό προστασίας από ιούς. Το μόνο που κάνει η Secure Boot είναι ότι επιβεβαιώνει ότι ο bootloader είναι από μια αξιόπιστη πηγή και ότι δεν έχει παραβιαστεί. Σκεφτείτε το σαν τα pop-up καπάκια σε φιάλες που λένε "μην ανοίξετε αν έχει σκάσει το καπάκι ή έχει σφραγιστεί με σφραγίδα".
Στο ανώτερο επίπεδο προστασίας, έχετε το(PK). Υπάρχει μόνο ένα PK σε οποιοδήποτε σύστημα και εγκαθίσταται από τον ΚΑΕ κατά τη διάρκεια της κατασκευής. Αυτό το κλειδί χρησιμοποιείται για την προστασία της βάσης δεδομένων ΚΕΚ. Η βάση δεδομένων ΚΕΚ διατηρεί τα βασικά κλειδιά ανταλλαγής, τα οποία χρησιμοποιούνται για την τροποποίηση των άλλων ασφαλών βάσεων δεδομένων εκκίνησης. Μπορούν να υπάρχουν πολλαπλά ΚΕΚ. Υπάρχει ένα τρίτο επίπεδο: η Εξουσιοδοτημένη Βάση Δεδομένων (db) και η Απαγορευμένη Βάση Δεδομένων (dbx). Αυτά περιέχουν πληροφορίες σχετικά με τις Αρχές Πιστοποίησης, πρόσθετα κρυπτογραφικά κλειδιά και εικόνες συσκευών UEFI για να επιτρέψουν ή να μπλοκάρουν, αντίστοιχα. Για να επιτρέπεται η εκτέλεση ενός bootloader, πρέπει να υπογραφεί κρυπτογραφικά με ένα κλειδί είναι στο db, και δεν είναι στο dbx.
Εικόνα από την οικοδόμηση των Windows 8: Προστασία του περιβάλλοντος πριν από το OS με UEFI
Πώς λειτουργεί αυτό σε ένα πραγματικό σύστημα Windows 8 Certified
Ο ΚΑΕ δημιουργεί το δικό του PK και τη Microsoftπαρέχει ένα ΚΕΚ που απαιτείται από τον ΚΑΕ για προ-φόρτωση στη βάση δεδομένων ΚΕΚ. Στη συνέχεια, η Microsoft υπογράφει το Bootloader των Windows 8 και χρησιμοποιεί το KEK για να θέσει αυτή την υπογραφή στην Εξουσιοδοτημένη βάση δεδομένων. Όταν το UEFI εκκινεί τον υπολογιστή, επαληθεύει το PK, επαληθεύει το KEK της Microsoft και κατόπιν επαληθεύει τον bootloader. Εάν όλα φαίνονται καλά, τότε το λειτουργικό σύστημα μπορεί να εκκινήσει.
Εικόνα από την οικοδόμηση των Windows 8: Προστασία του περιβάλλοντος πριν από το OS με UEFI
Πού έρχονται τα λειτουργικά συστήματα τρίτων μερών, όπως το Linux;
Πρώτον, οποιαδήποτε διανομή Linux θα μπορούσε να επιλέξει να δημιουργήσειένα ΚΕΚ και ζητήστε από τους ΚΑΕ να το συμπεριλάβουν στην βάση δεδομένων ΚΕΚ από προεπιλογή. Στη συνέχεια, θα έχουν κάθε κομμάτι τον έλεγχο της διαδικασίας εκκίνησης όπως η Microsoft. Τα προβλήματα με αυτό, όπως εξηγείται από τον Matthew Garrett της Fedora, είναι ότι α) θα ήταν δύσκολο να βρεθεί ο κάθε κατασκευαστής PC να συμπεριλάβει το κλειδί της Fedora και β) θα ήταν άδικο για άλλες διανομές Linux, επειδή το κλειδί τους δεν θα συμπεριλαμβανόταν , δεδομένου ότι οι μικρότερες διανομές δεν έχουν τόσο πολλές συνεργασίες ΚΑΕ.
Τι η Fedora έχει επιλέξει να κάνει (και άλλες διανομέςακολουθούν το κοστούμι) είναι η χρήση των υπηρεσιών υπογραφής της Microsoft. Αυτό το σενάριο απαιτεί να πληρώσετε 99 δολάρια για την Verisign (η Αρχή Πιστοποίησης που χρησιμοποιεί η Microsoft) και παρέχει στους προγραμματιστές τη δυνατότητα να υπογράψουν το bootloader χρησιμοποιώντας το KEK της Microsoft. Δεδομένου ότι το KEK της Microsoft θα είναι ήδη στους περισσότερους υπολογιστές, αυτό τους επιτρέπει να υπογράψουν το bootloader τους για να χρησιμοποιούν το Secure Boot, χωρίς να χρειάζονται το δικό τους KEK. Καταλήγει να είναι πιο συμβατό με περισσότερους υπολογιστές και κοστίζει λιγότερο συνολικά από το να ασχολείται με τη δημιουργία του δικού τους συστήματος υπογραφής και διανομής κλειδιών. Υπάρχουν κάποιες περισσότερες λεπτομέρειες σχετικά με τον τρόπο με τον οποίο θα λειτουργήσει αυτό (χρησιμοποιώντας GRUB, υπογεγραμμένες ενότητες Kernel και άλλες τεχνικές πληροφορίες) στην προαναφερθείσα αναρτήθμιση ιστολογίου, την οποία σας συνιστώ να διαβάσετε αν σας ενδιαφέρει κάτι τέτοιο.
Ας υποθέσουμε ότι δεν θέλετε να αντιμετωπίσετε την ταλαιπωρίαεγγραφείτε στο σύστημα της Microsoft ή μην θέλετε να πληρώσετε 99 δολάρια ή απλά να έχετε μνησικακία εναντίον μεγάλων εταιρειών που ξεκινούν με ένα M. Υπάρχει μια άλλη επιλογή να εξακολουθείτε να χρησιμοποιείτε το Secure Boot και να εκτελείτε λειτουργικό σύστημα διαφορετικό από τα Windows. Πιστοποίηση υλικού της Microsoft απαιτεί ότι οι ΚΑΕ επιτρέπουν στους χρήστες να εισάγουν το σύστημά τους στο UEFI"Προσαρμοσμένη" λειτουργία, όπου μπορούν να τροποποιήσουν με μη αυτόματο τρόπο τις βάσεις δεδομένων Secure Boot και το PK. Το σύστημα μπορεί να τεθεί σε λειτουργία ρύθμισης UEFI, όπου ο χρήστης μπορεί να καθορίσει το δικό του PK και να υπογράψει τους ίδιους τους bootloaders.
Επιπλέον, οι ίδιες οι απαιτήσεις πιστοποίησης της Microsoft καθιστούν υποχρεωτική για τους ΚΑΕ να συμπεριλάβουν μια μέθοδο για την απενεργοποίηση του Secure Boot σε συστήματα εκτός ARM. Μπορείτε να απενεργοποιήσετε την ασφαλή εκκίνηση! Τα μόνα συστήματα στα οποία δεν μπορείτε να απενεργοποιήσετε τη λειτουργία SecureΕκκίνησης είναι συστήματα ARM που εκτελούν Windows RT, τα οποία λειτουργούν περισσότερο παρόμοια με το iPad, όπου δεν μπορείτε να φορτώσετε προσαρμοσμένα λειτουργικά συστήματα. Αν και θα ήθελα να είναι δυνατή η αλλαγή του λειτουργικού συστήματος σε συσκευές ARM, είναι δίκαιο να πούμε ότι η Microsoft ακολουθεί τα βιομηχανικά πρότυπα όσον αφορά τα δισκία εδώ.
Έτσι ασφαλής εκκίνηση δεν είναι εγγενώς κακό;
Όπως μπορείτε ελπίζουμε να δούμε, το Secure Boot δεν είναικακό, και δεν περιορίζεται μόνο για χρήση με τα Windows. Ο λόγος για τον οποίο το FSF και άλλοι είναι τόσο αναστατωμένοι γι 'αυτό είναι επειδή προσθέτει επιπλέον βήματα στη χρήση ενός λειτουργικού συστήματος τρίτου μέρους. Το Linux distros μπορεί να μην αρέσει να πληρώνει για να χρησιμοποιήσει το κλειδί της Microsoft, αλλά είναι ο ευκολότερος και οικονομικότερος τρόπος για να αποκτήσετε το Secure Boot που λειτουργεί για το Linux. Ευτυχώς, είναι εύκολο να απενεργοποιήσετε το Secure Boot και να προσθέσετε διαφορετικά κλειδιά, αποφεύγοντας έτσι την ανάγκη αντιμετώπισης της Microsoft.
Δεδομένου του ύψους των ολοένα και πιο προηγμένωνmalware, το Secure Boot φαίνεται σαν μια λογική ιδέα. Δεν πρόκειται να είναι μια κακή πλοκή για να αναλάβει τον κόσμο, και είναι πολύ λιγότερο τρομακτικό από ό, τι μερικοί ειδικοί ελεύθερου λογισμικού θα έχετε να πιστεύετε.
Πρόσθετη ανάγνωση:
- Απαιτήσεις πιστοποίησης υλικού υλικού της Microsoft
- Δημιουργία Windows 8: Προστασία του περιβάλλοντος πριν από το OS με UEFI
- Παρουσίαση της Microsoft σχετικά με την ανάπτυξη και τη διαχείριση πλήκτρων Secure Boot
- Εφαρμογή της UEFI Secure Boot στο Fedora
- Επισκόπηση ασφαλούς εκκίνησης του TechNet
- Άρθρο της Βικιπαίδειας για το UEFI
TL · DR: Η ασφαλής εκκίνηση εμποδίζει το κακόβουλο λογισμικό να σας μολύνεισυστήματος σε χαμηλό, μη ανιχνεύσιμο επίπεδο κατά τη διάρκεια της εκκίνησης. Ο καθένας μπορεί να δημιουργήσει τα απαραίτητα κλειδιά για να λειτουργήσει, αλλά είναι δύσκολο να πείσει τους κατασκευαστές υπολογιστών να διανείμουν τα δικα σου κλειδί για όλους, ώστε να μπορείτε εναλλακτικά να επιλέξετε να πληρώσετε τη Verisign για να χρησιμοποιήσετε το κλειδί της Microsoft για να υπογράψετε τα bootloaders και να τα λειτουργήσετε. Μπορείτε επίσης να απενεργοποιήσετε την ασφαλή εκκίνηση όποιος μη-ARM υπολογιστή.
Τελευταία σκέψη, όσον αφορά την εκστρατεία του FSF εναντίον του Secure boot: Μερικές από τις ανησυχίες τους (δηλ. Το κάνει πιο δυνατα για την εγκατάσταση δωρεάν λειτουργικών συστημάτων) σε ένα σημείο. Λέγοντας ότι οι περιορισμοί θα "αποτρέψουν"ο καθένας από την εκκίνηση οτιδήποτε εκτός των Windows "είναι αποδεδειγμένα ψευδής αν και, για τους λόγους που παρουσιάζονται παραπάνω. Η εκστρατεία κατά της UEFI / Secure Boot ως τεχνολογίας είναι κοντόφθαλμη, παραπληροφόρητη και απίθανο να είναι αποτελεσματική ούτως ή άλλως. Είναι πιο σημαντικό να διασφαλιστεί ότι οι κατασκευαστές ακολουθούν τις απαιτήσεις της Microsoft για να επιτρέψουν στους χρήστες να απενεργοποιήσουν την ασφαλή εκκίνηση ή να αλλάξουν τα κλειδιά εάν το επιθυμούν.
Έχετε κάτι να προσθέσετε στην εξήγηση; Απενεργοποιήστε τα σχόλια. Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους τεχνολογικούς χρήστες Stack Exchange; Δείτε το πλήρες νήμα συζήτησης εδώ.
