Nový systém UEFI Secure Boot vo Windows 8 máspôsobil viac ako jej spravodlivý podiel na zámene, najmä medzi duálnymi zavádzačmi. Čítajte ďalej, keď objasňujeme mylné predstavy o duálnom zavádzaní systému Windows 8 a Linux.
Dnešná sekcia otázok a odpovedí prichádza so zdvorilosťou na SuperUser - rozdelenie Stack Exchange, zoskupovanie webových stránok s otázkami a odpoveďami na komunitu.
Otázka
Čítačka superužívateľov Harsha K je zvedavá na nový systém UEFI. On píše:
Veľa som počul o tom, aký je Microsoftimplementácia UEFI Secure Boot v systéme Windows 8. Zrejme bráni spusteniu „neautorizovaných“ zavádzačov v počítači, aby sa zabránilo malvéru. Nadácia Free Software Foundation vedie kampaň proti bezpečnému spusteniu a mnoho ľudí online hovorí, že je to „power grab“ od spoločnosti Microsoft na „odstránenie bezplatných operačných systémov“.
Ak dostanem počítač s predinštalovaným systémom Windows 8 a Secure Boot, budem schopný nainštalovať Linux (alebo iný OS) neskôr? Alebo počítač s funkciou Secure Boot niekedy funguje iba so systémom Windows?
Čo je riešenie? Sú duálne zavádzače skutočne šťastné?
Odpoveď
Prispievateľ SuperUser Nathan Hinkle ponúka fantastický prehľad o tom, čo UEFI je a čo nie je:
Najprv jednoduchá odpoveď na vašu otázku:
- Ak máte tablet ARM so systémom Windows RT (napríklad Surface RT alebo Asus Vivo RT) nebudete môcť deaktivovať Secure Boot ani inštalovať iné OS, Rovnako ako mnoho iných tabliet ARM, aj tieto zariadenia budú iba spustiť operačný systém, s ktorým prichádzajú.
- Ak máte počítač bez ARM so systémom Windows 8 (ako napríklad Surface Pro alebo ktorýkoľvek z nespočetných ultrabookov, stolových počítačov a tabliet s procesorom x86-64), potom môžete Bezpečné spustenie úplne zakázať, alebo si môžete nainštalovať vlastné kľúče a podpísať svoj vlastný zavádzač. Tak aj tak, môžete nainštalovať operačný systém tretej strany, napríklad operačný systém Linux alebo FreeBSD alebo DOS alebo čokoľvek, čo vás baví.
Teraz sa pozrieme na podrobnosti o tom, ako je to celé bezpečnéBoot vec skutočne funguje: O Secure Boot existuje veľa dezinformácií, najmä od Free Software Foundation a podobných skupín. Preto je ťažké nájsť informácie o tom, čo Secure Boot skutočne robí, takže sa pokúsim čo najlepšie vysvetliť. Všimnite si, že nemám žiadne osobné skúsenosti s vývojom bezpečných bootovacích systémov alebo podobne; to je to, čo som sa naučil pri čítaní online.
Po prvé, Secure Boot je nie niečo, čo Microsoft prišiel. Sú to prví, ktorí to v širokej miere implementujú, aleoni to nevymysleli. Je to súčasť špecifikácie UEFI, ktorá je v podstate novšou náhradou za starý systém BIOS, na ktorý ste pravdepodobne zvyknutí. UEFI je v podstate softvér, ktorý hovorí medzi OS a hardvérom. Normy UEFI vytvára skupina s názvom „UEFI Forum“, ktorú tvoria zástupcovia počítačového priemyslu vrátane spoločností Microsoft, Apple, Intel, AMD a niekoľko výrobcov počítačov.
Druhý najdôležitejší bod, povoliť funkciu Secure Boot na počítači nie znamená, že počítač nemôže nikdy zaviesť žiadny iný operačný systém, V skutočnosti je to vlastný hardvér Windows od spoločnosti MicrosoftV požiadavkách na certifikáciu sa uvádza, že v prípade systémov, ktoré nie sú ARM, musíte mať možnosť vypnúť Secure Boot a zmeniť kľúče (aby ste umožnili iné OS). Viac o tom však neskôr.
Čo robí Secure Boot?
V zásade zabraňuje útokom škodlivého softvérupočítač pomocou bootovacej postupnosti. Malware, ktorý vstupuje cez bootloader, môže byť veľmi ťažké odhaliť a zastaviť, pretože môže preniknúť do nízkoúrovňových funkcií operačného systému a udržať ho tak neviditeľným pre antivírusový softvér. Všetko, čo Secure Boot skutočne robí, je overenie, či bootloader pochádza z dôveryhodného zdroja a či s ním nebolo manipulované. Myslite na to ako na vyskakovacie uzávery na fľašiach, ktoré hovoria: „neotvárajte, ak je viečko vysunuté alebo ak je s uzáverom manipulované“.
Na najvyššej úrovni ochrany mátekľúč platformy (PK). Na každom systéme je iba jeden PK a výrobca ho inštaluje počas výroby. Tento kľúč sa používa na ochranu databázy KEK. Databáza KEK obsahuje kľúče na výmenu kľúčov, ktoré sa používajú na úpravu ďalších bezpečných spúšťacích databáz. Môže existovať viac KEK. Potom existuje tretia úroveň: autorizovaná databáza (db) a zakázaná databáza údajov (dbx). Obsahujú informácie o certifikačných autoritách, ďalšie kryptografické kľúče a obrázky zariadení UEFI, ktoré umožňujú alebo blokujú. Aby bolo možné spustiť zavádzač, musí byť kryptograficky podpísaný kľúčom, ktorý je v db a nie je v dbx.
Obrázok zo systému Windows 8: Ochrana prostredia pred OS pomocou UEFI
Ako to funguje na certifikovanom systéme Windows 8 v reálnom svete
OEM generuje svoje vlastné PK a Microsoftposkytuje KEK, ktorý je OEM povinný vopred načítať do databázy KEK. Microsoft potom podpíše bootloader systému Windows 8 a pomocou KEK vloží tento podpis do autorizovanej databázy. Keď UEFI zavedie počítač, overí PK, overí KEK spoločnosti Microsoft a potom overí bootloader. Ak všetko vyzerá dobre, operačný systém sa môže zaviesť.
Obrázok zo systému Windows 8: Ochrana prostredia pred OS pomocou UEFI
Kam prichádzajú operačné systémy tretích strán, napríklad Linux?
Po prvé, každý Linux distro by sa mohol rozhodnúť vygenerovaťKEK a požiadajte OEM, aby ich v predvolenom nastavení zahrnuli do databázy KEK. Potom by mali mať nad procesom zavádzania rovnakú kontrolu ako spoločnosť Microsoft. Problémy s tým, ako vysvetlil Fedora Matthew Garrett, spočívajú v tom, že a) by bolo ťažké prinútiť každého výrobcu počítačov, aby zahrnul kľúč Fedory, a b) bolo by nespravodlivé voči iným narušeniam Linuxu, pretože ich kľúč by nebol zahrnutý , pretože menšie distribúcie nemajú toľko partnerstiev OEM.
Čo sa Fedora rozhodla urobiť (a ďalšie rušenia)nasledujú oblek) je použitie služieb podpisovania spoločnosti Microsoft. Tento scenár vyžaduje zaplatenie 99 dolárov spoločnosti Verisign (certifikačná autorita, ktorú spoločnosť Microsoft používa) a poskytuje vývojárom možnosť podpísať svoj bootloader pomocou KEK spoločnosti Microsoft. Pretože KEK od spoločnosti Microsoft už bude vo väčšine počítačov, umožňuje im to podpísať zavádzacie zariadenie na používanie zabezpečeného zavádzania bez toho, aby vyžadovali vlastný KEK. Nakoniec je viac kompatibilný s viacerými počítačmi a náklady sú celkovo nižšie ako náklady na zriadenie vlastného systému na podpisovanie a distribúciu kľúčov. Viac informácií o tom, ako to bude fungovať (pomocou GRUBu, podpísaných modulov jadra a ďalších technických informácií) vo vyššie uvedenom blogovom príspevku, odporúčam prečítať, ak vás to zaujíma.
Predpokladajme, že sa nechcete zaoberať problémamiregistrácia do systému spoločnosti Microsoft alebo nechce platiť 99 dolárov, alebo len má zášť proti veľkým spoločnostiam, ktoré začínajú písmenom M. Existuje ešte jedna možnosť, ako používať Secure Boot a prevádzkovať iný operačný systém ako Windows. Hardvérová certifikácia spoločnosti Microsoft vyžaduje že výrobcovia OEM umožňujú používateľom vstupovať do ich systému do UEFI„Vlastný“ režim, kde môžu manuálne upravovať databázy Secure Boot a PK. Systém môže byť prepnutý do UEFI Setup Mode, kde užívateľ môže dokonca špecifikovať svoje vlastné PK a sám podpisovať bootloadery.
Na základe vlastných certifikačných požiadaviek spoločnosti Microsoft je navyše pre výrobcov OEM povinné zahrnúť metódu na zakázanie Secure Boot v systémoch iných ako ARM. Secure Boot môžete vypnúť! Jediné systémy, v ktorých nemôžete vypnúť zabezpečenieBoot sú systémy ARM so systémom Windows RT, ktoré fungujú viac podobne ako iPad, kde nemôžete načítať vlastné operačné systémy. Aj keď si želám, aby bolo možné zmeniť OS na zariadeniach ARM, je spravodlivé povedať, že Microsoft tu dodržiava priemyselný štandard, pokiaľ ide o tablety.
Takže bezpečná topánka nie je vo svojej podstate zlá?
Ako dúfajme vidíte, Secure Boot nie jezlo a neobmedzuje sa iba na používanie v systéme Windows. Dôvod, prečo sú FSF a ďalší tak znepokojení, je, že pridáva ďalšie kroky k používaniu operačného systému tretej strany. Distribúcie systému Linux nemusia platiť za používanie kľúča spoločnosti Microsoft, ale je to najjednoduchší a nákladovo najefektívnejší spôsob, ako zabezpečiť, aby systém Secure Boot pracoval pre systém Linux. Našťastie je ľahké vypnúť Secure Boot a je možné pridať rôzne kľúče, čím sa vyhnete potrebe riešenia problémov so spoločnosťou Microsoft.
Vzhľadom na množstvo stále pokročilejšíchmalware, Secure Boot sa javí ako rozumný nápad. Nemá to byť zlé sprisahanie, ktoré má ovládnuť svet, a je oveľa menej desivé, ako vám veria niektorí odborníci na slobodný softvér.
Dodatočné čítanie:
- Požiadavky na hardvérovú certifikáciu spoločnosti Microsoft
- Budovanie Windows 8: Ochrana prostredia pred OS pomocou UEFI
- Prezentácia spoločnosti Microsoft o nasadení Secure Boot a správe kľúčov
- Implementácia UEFI Secure Boot vo Fedore
- Prehľad zabezpečeného zavádzania TechNet
- Článok Wikipedia o UEFI
TL; DR: Bezpečné spustenie zabraňuje škodlivému softvéru infikovať váš počítačsystému na nízkej, nezistiteľnej úrovni počas zavádzania systému. Ktokoľvek môže vytvoriť potrebné kľúče, aby to fungovalo, ale je ťažké presvedčiť výrobcov počítačov, aby ich distribuovali tvoj kľúč pre všetkých, takže si môžete tiež zvoliť, aby ste spoločnosti Verisign zaplatili za to, že pomocou kľúča spoločnosti Microsoft podpíšete zavádzače a zabezpečíte ich fungovanie. Funkciu Secure Boot môžete tiež zakázať akýkoľvek počítač bez ARM.
Posledná myšlienka, pokiaľ ide o kampaň FSF proti Secure boot: Niektoré z ich obáv (t ťažšie na inštaláciu bezplatných operačných systémov) do bodu, Povedať, že obmedzenia „zabrániakaždý, kto zavádza systém z iných ako Windows “, je však preukázateľne nepravdivý z dôvodov uvedených vyššie. Kampane proti technológii UEFI / Secure Boot ako technológia sú krátkozraké, dezinformované a je nepravdepodobné, že budú rovnako účinné. Je dôležitejšie zaistiť, aby výrobcovia skutočne dodržiavali požiadavky spoločnosti Microsoft, ktoré umožnia používateľom deaktivovať Secure Boot alebo zmeniť kľúče, ak si to želajú.
Máte k vysvetleniu niečo, čo by ste mali pridať? V komentároch vypnite zvuk. Chcete si prečítať viac odpovedí od ostatných technicky zdatných používateľov servera Exchange Exchange? Pozrite sa na celú diskusnú tému tu.
