Ha számítógépet vásárolok Windows 8 és Secure Boot rendszerrel, telepíthetek-e még Linuxot?

Sokat hallottam arról, hogy mi a Microsoftaz UEFI Secure Boot telepítése a Windows 8. rendszerben. A rosszindulatú programok elkerülése érdekében nyilvánvalóan megakadályozza, hogy az „illetéktelen” rendszerbetöltők futtassák a számítógépet. A Szabad Szoftver Alapítvány egy kampányt folytat a biztonságos indítás ellen, és sokan online azt mondják, hogy a Microsoft „hatalmi megragadása” a szabad operációs rendszerek megszüntetése érdekében.

Ha kapok egy számítógépet, amelyhez Windows 8 és Secure Boot van előre telepítve, továbbra is telepíteni tudom a Linuxot (vagy más operációs rendszert) később? Vagy a Biztonságos Rendszerindítóval ellátott számítógép csak a Windows-on működik?

Először is, a kérdésre adott egyszerű válasz:

• Ha van ARM tabletta futtatja a Windows RT-t (például a Surface RT-t vagy az Asus Vivo RT-t), majd nem tudja letiltani a Biztonságos indítást vagy telepíteni más operációs rendszereket. Mint sok más ARM táblagéphez, ezek az eszközök meg fogják használni csak futtassa az operációs rendszert, amellyel jönnek.
• Ha nem ARM számítógéppel rendelkezik a Windows 8 futtatása (mint például a Surface Pro vagy a számtalan ultrakönyv, asztali számítógép és x86-64 processzort tartalmazó tabletta), majd teljesen letilthatja a Biztonságos indítást, vagy telepítheti a saját kulcsait, és aláírhatja a saját rendszerbetöltőjét. Másik út, telepíthet egy harmadik féltől származó operációs rendszert, mint például egy Linux disztró vagy FreeBSD vagy DOS, vagy bármi más tetszik.

Most pedig az egész biztonságának részleteirőlA rendszerindító dolog valóban működik: Sok téves információ van a Secure Bootról, különösen a Free Software Foundation és hasonló csoportok részéről. Ez megnehezítette az információk megtalálását arról, hogy a Secure Boot valójában mit tesz, ezért megpróbálok magyarázni. Vegye figyelembe, hogy nincs személyes tapasztalatam a biztonságos rendszerindítási rendszerek vagy hasonló dolgok fejlesztésében; ezt csak megtanultam online olvasás közben.

Először is, A biztonságos indítás nem valami, amellyel a Microsoft előjött Ők az elsők, akik széles körben alkalmazzák ezt, denem találták ki. Ez az UEFI specifikáció része, amely alapvetően a régi BIOS újabb pótlása, amelyhez valószínűleg megszoktad. Az UEFI alapvetően az a szoftver, amely az operációs rendszer és a hardver között beszél. Az UEFI szabványokat az „UEFI Forum” nevű csoport hozta létre, amely a számítástechnikai ipar képviselőiből áll, beleértve a Microsoft, az Apple, az Intel, az AMD és egy maroknyi számítógépgyártót.

A második legfontosabb pont, ha a biztonságos indítást engedélyezte a számítógépen, akkor ez is megtörténik nem azt jelenti, hogy a számítógép soha nem indíthat más operációs rendszert. Valójában a Microsoft saját Windows hardvereA tanúsítási követelmények kimondják, hogy a nem ARM rendszerek esetén is engedélyezni kell a Biztonsági indítást és a kulcsok megváltoztatását (más operációs rendszerek engedélyezéséhez). Erről bővebben később.

Mit csinál a Secure Boot?

Alapvetően megakadályozza a rosszindulatú programok támadásáta számítógépén a rendszerindítási sorrendben. A rendszerbetöltőn keresztül belépő rosszindulatú programokat nagyon nehéz lehet felismerni és megállítani, mert behatolhatnak az operációs rendszer alacsony szintű funkcióiba, és láthatatlanná teszik az antivírus szoftver számára. A Secure Boot valójában csak az ellenőrzi, hogy a rendszerbetöltő megbízható forrásból származik-e, és hogy nem történt-e megtévesztés. Gondolj rá, mint például a palackok felbukkanó kupakjaira, amelyek azt mondják, hogy „ne nyissa ki, ha a fedél felpattan vagy a pecsét megsértett”.

A legmagasabb szintű védelemmel rendelkezik aplatform kulcs (PK). Bármelyik rendszeren csak egy PK található, és az OEM telepíti a gyártás során. Ezt a kulcsot a KEK adatbázis védelmére használják. A KEK adatbázisban kulcscsere-kulcsok találhatók, amelyeket a többi biztonságos rendszerindító adatbázis módosítására használnak. Több KEK is lehet. Ezután van egy harmadik szint: az engedélyezett adatbázis (db) és a tiltott adatbázis (dbx). Ezek információkat tartalmaznak a tanúsító hatóságokról, további kriptográfiai kulcsokról és az UEFI eszközök képeiről, amelyek engedélyezhetik vagy blokkolhatják. Annak érdekében, hogy a rendszerbetöltő futhasson, kriptográfiailag alá kell írni egy kulccsal jelentése a db-ben, és nem a dbx-ben.

^{Kép a Windows 8 épületéből: Az operációs rendszer előtti környezet védelme az UEFI-vel}

Hogyan működik ez egy valós Windows 8 tanúsított rendszeren

Az OEM létrehozza a saját PK-ját, és a Microsoftolyan KEK-t biztosít, amelyet az OEM-nek előzetesen be kell töltenie a KEK-adatbázisba. Ezután a Microsoft aláírja a Windows 8 rendszerindítót, és a KEK-rel használja ezt az aláírást az Engedélyezett adatbázisba. Amikor az UEFI elindítja a számítógépet, ellenőrzi a PK-t, ellenőrzi a Microsoft KEK-jét, majd ellenőrzi a rendszerbetöltőt. Ha minden jól néz ki, akkor az operációs rendszer indulhat.

Hol érkeznek harmadik féltől származó operációs rendszerek, mint például a Linux?

Először is, bármely Linux disztró választhat generálástegy KEK-t, és kérje meg az OEM-eket, hogy alapértelmezés szerint vegyék fel a KEK-adatbázisba. Ezután csak annyira ellenőrizhetik a rendszerindítási folyamatot, mint a Microsoft. Ennek problémái, amint azt a Fedora Matthew Garrett kifejtette: , mivel a kisebb disztróknak nincs annyi OEM-partnerségük.

Amit a Fedora választott (és más disztrókkövetik) a Microsoft aláíró szolgáltatásainak igénybevétele. Ez a forgatókönyv megköveteli, hogy 99 dollár befizetése legyen a Verisign-nek (a Microsoft által használt tanúsító hatóságnak), és lehetővé teszi a fejlesztőknek, hogy aláírják a rendszerbetöltő programot a Microsoft KEK segítségével. Mivel a Microsoft KEK már létezik a legtöbb számítógépben, ez lehetővé teszi számukra, hogy aláírják a rendszerbetöltőt a biztonságos indítás használatához, anélkül, hogy saját KEK-t igényelnének. Végül sokkal kompatibilisebb több számítógéppel, és összességében kevésbé költséges, mint a saját kulcs-aláírási és -elosztó rendszerének felállítása. Van néhány további részlet arról, hogy ez hogyan fog működni (a GRUB, az aláírt kernelmodulok és más műszaki információk felhasználásával) a fent említett blogbejegyzésben, amelyet azt ajánlom, hogy olvassa el, ha érdekli ez a fajta dolog.

Tegyük fel, hogy nem akarja foglalkozni a szóváltássalfeliratkozás a Microsoft rendszerére, vagy nem akar 99 dollárt fizetni, vagy csak haragszik a nagyvállalatokkal, amelyek betűjele M-vel kezdődik. Van egy másik lehetőség, hogy továbbra is használjuk a Biztonságos indítást és a Windows-tól eltérő operációs rendszer futtatását. A Microsoft hardver tanúsítása igényel hogy az OEM-ek engedik a felhasználóknak belépni a rendszerébe az UEFI-be„Egyéni” mód, ahol manuálisan módosíthatják a Biztonságos indító adatbázisokat és a PK-t. A rendszert UEFI beállítási módba lehet helyezni, ahol a felhasználó akár saját PK-t is megadhat, és magukat aláírhatja a betöltőket.

Ezenkívül a Microsoft saját tanúsítási követelményei kötelezővé teszik az eredeti gyártók számára, hogy tartalmazzanak egy módszert a biztonságos indítás letiltására nem ARM rendszereken. Kikapcsolhatja a Biztonságos Rendszerindítást! Az egyetlen rendszer, amelyben nem tilthatja le a BiztonságotA rendszerindítás olyan ARM rendszerek, amelyek Windows RT rendszert futtatnak, amelyek jobban működnek, mint az iPad, ahol nem lehet betölteni az egyedi operációs rendszereket. Bár azt szeretném, ha lehetséges lenne az ARM-eszközök operációs rendszerének megváltoztatása, igazságos mondani, hogy a Microsoft itt követi az iparági szabványt a táblagépekre vonatkozóan.

A biztonságos indítás tehát nem gonosz?

Tehát, amint remélhetőleg látni tudja, a Secure Boot nem azgonosz, és nem korlátozódik kizárólag a Windows használatára. Az FSF és mások annyira felháborodtak azért, mert extra lépéseket tesz fel egy harmadik féltől származó operációs rendszer használatához. Lehet, hogy a Linux disztrói nem szeretnek fizetni a Microsoft kulcs használatáért, ám ez a legegyszerűbb és leginkább költséghatékony módja annak, hogy a Biztonsági indító rendszer Linuxra működjön. Szerencsére könnyű kikapcsolni a Biztonságos Rendszerindítást, és lehetséges különféle kulcsok hozzáadása is, így elkerülhető a Microsoft-nal való kapcsolat.

Tekintettel az egyre haladóbb szintrerosszindulatú programok, a Biztonságos indítás ésszerű ötletnek tűnik. Nem azt jelentette, hogy egy gonosz cselekmény, hogy átvegye a világot, és sokkal kevésbé félelmetes, mint néhány szabad szoftvereknek, amiben hinni fog.

További olvasmány:

• A Microsoft hardver tanúsítási követelményei
• A Windows 8 építése: Az operációs rendszer előtti környezet védelme az UEFI-vel
• Microsoft prezentáció a biztonságos indítás telepítéséről és a kulcskezelésről
• Az UEFI Secure Boot bevezetése a Fedorába
• A TechNet biztonságos rendszerindításának áttekintése
• Wikipedia cikk az UEFI-ről

TL; DR: A biztonságos indítás megakadályozza, hogy a rosszindulatú programok megfertőzzék az Ön programjátA rendszer alacsony, nem észlelhető szintű indítás közben. Bárki létrehozhatja a működéséhez szükséges kulcsokat, de nehéz meggyőzni a számítógépes gyártókat a terjesztésről a te kulcsot mindenkinek, tehát alternatívaként dönthet úgy is, hogy fizet a Verisign-nek, ha a Microsoft kulcsát használja a rendszerbetöltő aláírására és működésükre. A Biztonságos indítást is bekapcsolhatja bármi nem ARM számítógép.

Utolsó gondolat, az FSF biztonságos indítás elleni kampányával kapcsolatban: Néhány aggodalom (azaz ez teszi nehezebb ingyenes operációs rendszerek telepítéséhez) érvényesek egy pontig. Mondván, hogy a korlátozások „megakadályozzákbárki, aki bármilyen rendszert indít, kivéve a Windows rendszert ”, a fent bemutatott okokból bizonyosan hamis. Az UEFI / Secure Boot mint technológia elleni kampány rövidlátó, tévesen tájékozódott, és valószínűleg nem lesz hatékony. Fontosabb annak biztosítása, hogy a gyártók valóban betartják a Microsoft azon követelményeit, amelyek lehetővé teszik a felhasználók számára a Biztonságos indítás letiltását vagy a kulcsok megváltoztatását, ha akarják.