Novi UEFI Secure Boot sustav u sustavu Windows 8 imauzrokovao je više nego što je njegov udio u zbrci, posebno među dvojnim čamacima. Čitajte dalje dok uklanjamo zablude o dvojnom podizanju sustava Windows 8 i Linux.
Današnja sjednica Pitanja i Odgovori dolazi nam iz ljubaznosti SuperUsera - podjele Stack Exchangea, grupacije Q&A web stranica koje vodi zajednica.
Pitanje
SuperUser čitač Harsha K radoznao je zbog novog UEFI sustava. Piše:
Čuo sam puno o tome kako je Microsoftimplementacija UEFI Secure Boot u sustavu Windows 8. Naizgled sprečava pokretanje "neovlaštenih" pokretača na računalu kako bi se spriječio zlonamjerni softver. Postoji kampanja Fondacije besplatnog softvera protiv sigurnog pokretanja, a mnogi su na internetu rekli da je Microsoft "potez napajanja" za "uklanjanje slobodnih operativnih sustava".
Ako nabavim računalo na kojem je predinstaliran Windows 8 i Secure Boot, hoću li kasnije moći instalirati Linux (ili neki drugi OS)? Ili računalo sa sigurnim pokretanjem ikada radi samo sa sustavom Windows?
Pa što je dogovor? Jesu li dvojni čamci doista bez sreće?
Odgovor
Suradnik SuperUsera Nathan Hinkle nudi fantastičan pregled onoga što UEFI jest, a što nije:
Prije svega, jednostavan odgovor na vaše pitanje:
- Ako imate ARM tablet pokrenite Windows RT (poput Surface RT ili Asus Vivo RT), zatim nećete moći onemogućiti Secure Boot ili instalirati druge OS, Kao i mnogi drugi ARM tableti, i ovi uređaji hoće samo pokrenite OS s kojim dolaze.
- Ako imate računalo koje nije ARM s operativnim sustavom Windows 8 (poput Surface Pro ili bilo kojeg od bezbrojnih ultra knjiga, desktopa i tableta s procesorom x86-64), možete u potpunosti onemogućiti Sigurno pokretanjeili možete instalirati vlastite ključeve i potpisati vlastiti bootloader. Bilo kako bilo možete instalirati OS treće strane kao što je Linux distro ili FreeBSD ili DOS ili što god vam drago.
Sada, o detaljima kako cijeli ovaj SecureStvar s dizanjem zapravo funkcionira: Postoji puno dezinformacija o sigurnom pokretanju, posebno iz Fondacije za slobodan softver i sličnih grupa. Zbog toga je bilo teško pronaći informacije o tome što Secure Boot zapravo radi, pa ću se potruditi objasniti. Imajte na umu da nemam osobnog iskustva s razvojem sigurnih sustava za podizanje sustava ili bilo što slično; to sam naučio od čitanja putem interneta.
Kao prvo, Sigurna čizma je ne nešto što je Microsoft smislio. Oni su prvi koji su to široko primijenili, alinisu to izmislili To je dio UEFI specifikacije, koja je u osnovi novija zamjena za stari BIOS na koji ste vjerojatno navikli. UEFI je u osnovi softver koji razgovara između OS-a i hardvera. UEFI standarde kreira grupa pod nazivom "UEFI Forum", koju čine predstavnici računarske industrije, uključujući Microsoft, Apple, Intel, AMD i nekolicina proizvođača računala.
Druga najvažnija točka, ako na računaru bude omogućen Secure Boot ne znači da računalo nikada ne može pokrenuti bilo koji drugi operativni sustav, U stvari, Microsoftov vlastiti Windows HardwareZahtjevi za certifikaciju navode da za sustave koji nisu ARM morate biti u mogućnosti onemogućiti Secure Boot i promijeniti tipke (kako biste omogućili drugim OS-ovima). Više o tome kasnije.
Što radi Secure Boot?
U suštini, sprječava napad zlonamjernog softveravaše računalo kroz redoslijed pokretanja. Zlonamjerni softver koji uđe kroz bootloader može biti vrlo težak za otkrivanje i zaustavljanje, jer može upasti u funkcije niske razine operativnog sustava, čineći ga nevidljivim za antivirusni softver. Sve što Secure Boot stvarno radi jest provjeravanje da je program za pokretanje softvera pokrenut iz pouzdanog izvora i da nije ugroženo. Zamislite to kao poklopne poklopce na bocama na kojima piše "ne otvarajte ako je poklopac poklopljen ili je zapaljen pečat".
Na najvišoj razini zaštite imateključ platforme (PK). U bilo kojem sustavu postoji samo jedan PK, a ugrađuje ga OEM tijekom proizvodnje. Ovaj ključ koristi se za zaštitu KEK baze podataka. KEK baza podataka sadrži ključeve za razmjenu ključeva, koji se koriste za izmjenu ostalih sigurnih baza podataka za pokretanje. Može biti više KEK-ova. Zatim postoji treća razina: autorizirana baza podataka (db) i zabranjena baza podataka (dbx). One sadrže informacije o autoritetima certifikata, dodatnim kriptografskim ključevima i slikama UEFI uređaja za dopuštanje ili blokiranje. Da bi se pokretaču moglo dopustiti pokretanje, mora se kriptografski potpisati s ključem koji je u db i nije u dbx.
Slika iz izgradnje Windows 8: Zaštita okruženja prije OS-a UEFI-jem
Kako se to radi u stvarnom sustavu Windows 8 Certified
OEM proizvodi svoj vlastiti PK i Microsoftpruža KEK da je OEM potrebno za prethodno učitavanje u bazu podataka KEK. Microsoft potom potpisuje Windows 8 Bootloader i koristi svoj KEK za stavljanje ovog potpisa u autoriziranu bazu podataka. Kada UEFI pokrene računalo, on provjerava PK, provjerava Microsoftov KEK i zatim provjerava program za pokretanje. Ako sve izgleda dobro, tada se OS može pokrenuti.
Slika iz izgradnje Windows 8: Zaštita okruženja prije OS-a UEFI-jem
Gdje dolaze OS-ovi trećih strana, poput Linuxa?
Prvo, bilo koji Linux distributer mogao bi odlučiti generiratiKEK i zatražiti od OEM proizvođača da ih uključe u bazu KEK-a prema zadanim postavkama. Oni bi tada imali svako malo veću kontrolu nad procesom pokretanja kao što to čini Microsoft. Problemi s tim, kako je objasnio Fedora Matthew Garrett, su: a) bilo bi teško navesti svakog proizvođača računala da uključi ključ Fedore i b) bilo bi nepošteno prema ostalim Linuxovim distributerima, jer njihov ključ ne bi bio uključen , s obzirom da manji distributeri nemaju toliko OEM partnerstva.
Što je Fedora odlučila učiniti (i druge distros)(slijedi sljedeće:) je upotreba Microsoftovih usluga potpisivanja. Ovaj scenarij zahtijeva plaćanje 99 USD Verisign-u (Tijelu za certifikate koje Microsoft koristi) i pruža programerima mogućnost da potpišu svoje program za pokretanje programa pomoću Microsoftovog KEK-a. Budući da će Microsoftov KEK već biti na većini računala, ovo im omogućava da potpišu program za pokretanje programa za sigurno pokretanje sustava bez potrebe za vlastitim KEK-om. Sve je kompatibilnije s više računala i manje košta u odnosu na uspostavljanje vlastitog sustava za potpisivanje i distribuciju ključeva. Nekoliko je više detalja o tome kako će to raditi (pomoću GRUB-a, potpisanih Kernel modula i drugih tehničkih informacija) u spomenutom postu na blogu, što preporučujem čitanje ako ste zainteresirani za takvu vrstu stvari.
Pretpostavimo da se ne želite baviti gnjavažomprijavite se za Microsoftov sustav ili ne želite platiti 99 dolara ili jednostavno gnjaviti protiv velikih korporacija koje započinju slovom M. Postoji još jedna mogućnost da još uvijek upotrebljavate Secure Boot i pokrenete OS koji nije Windows. Microsoftov certifikat hardvera traži da OEM proizvođači puštaju korisnike da uđu u svoj sustav u UEFI"Prilagođeni" način rada, gdje mogu ručno izmijeniti baze podataka Secure Boot i PK. Sustav se može prebaciti u UEFI način postavljanja, gdje bi korisnik mogao čak odrediti vlastiti PK i sam potpisati bootloader.
Nadalje, Microsoftovi vlastiti zahtjevi za certificiranje obvezuju da proizvođači originalne opreme uključuju metodu za onemogućavanje sigurnog pokretanja na sustavima koji nisu ARM. Sigurnu čizmu možete isključiti! Jedini sustavi u kojima ne možete onemogućiti SigurnostČizma su ARM sustavi s operativnim sustavom Windows RT, koji djeluju sličnije iPadu, gdje ne možete učitati prilagođene OS. Iako želim da bi bilo moguće promijeniti OS na ARM uređajima, fer je reći da Microsoft slijedi industrijski standard kada je riječ o tabletnim računalima.
Dakle, sigurna čizma nije svojstveno zlo?
Dakle, kao što se možete nadati, sigurna čizma nijezlo i nije ograničena samo na upotrebu sa sustavom Windows. Razlog zbog kojeg su FSF i ostali toliko uznemireni zbog toga što čini dodatne korake za korištenje operacijskog sustava treće strane. Linux distribucije možda ne vole plaćanje za korištenje Microsoftovog ključa, ali to je najlakši i najisplativiji način za sigurnije pokretanje sistema za Linux. Srećom, Secure Boot je lako isključiti i moguće je dodati različite tipke, čime se izbjegava potreba da se suočite s Microsoftom.
S obzirom na količinu sve naprednijegmalware, Secure Boot izgleda razumna ideja. To nije zamišljeno kao zavjera za zauzimanje svijeta, a puno je manje zastrašujuća nego što će mnogi analitičari slobodnog softvera vjerovati.
Dodatno čitanje:
- Microsoftovi preduvjeti za certificiranje hardvera
- Izgradnja Windows 8: Zaštita okruženja prije OS-a UEFI-jem
- Microsoftova prezentacija o sigurnom pokretanju i upravljanju ključevima
- Implementacija UEFI-ovog sigurnog pokretanja u Fedori
- Pregled sigurnog pokretanja TechNet-a
- Članak Wikipedije o UEFI
TL; DR: Sigurno pokretanje sprečava da zlonamjerni softver zarazi vašesustav na niskom, neprimjetnom nivou tijekom dizanja. Svatko može stvoriti potrebne ključeve kako bi uspio, ali teško je uvjeriti proizvođače računala da distribuiraju vaš ključ za sve, tako da možete alternativno odlučiti da platite Verisign-u da pomoću Microsoftovog ključa potpišete svoje program za pokretanje i pokrene rad. Sigurno pokretanje također možete onemogućiti bilo koji računalo koje nije ARM.
Posljednja misao, kad je riječ o kampanji FSF-a protiv sigurnog pokretanja: Neke su njihove brige (tj. To čini teže za instaliranje besplatnih operativnih sustava) su valjani do određene točke, Kazajući da će ograničenja „spriječitisvatko tko ne podiže ništa osim Windows-a ”je, međutim, prividno lažan, iz gore prikazanih razloga. Kampanja protiv UEFI / Secure Boot kao tehnologije kratkovidna je, pogrešno informirana i ionako vjerojatno neće biti učinkovita. Važnije je osigurati da proizvođači zapravo slijede Microsoftove zahtjeve za omogućavanjem korisnicima da onemoguće Sigurno pokretanje ili promjene ključeve ako to žele.
Imate li što dodati u objašnjenje? Zvuči u komentarima. Želite pročitati više odgovora od ostalih korisnika Stack Exchangea koji se bave tehnologijom? Pogledajte cijelu temu rasprave ovdje.
