พีซีสมัยใหม่มาพร้อมคุณสมบัติที่เรียกว่า“ ปลอดภัยเปิดใช้งาน Boot” นี่คือคุณสมบัติของแพลตฟอร์มใน UEFI ซึ่งมาแทนที่ BIOS ของพีซีแบบเดิม หากผู้ผลิตพีซีต้องการติดสติกเกอร์โลโก้“ Windows 10” หรือ“ Windows 8” ลงในพีซี Microsoft กำหนดให้ผู้ผลิตเปิดใช้ Secure Boot และปฏิบัติตามคำแนะนำบางประการ
น่าเสียดายที่ยังป้องกันไม่ให้คุณติดตั้งลีนุกซ์บางรุ่นซึ่งอาจเป็นเรื่องยุ่งยาก
Secure Boot ช่วยรักษาความปลอดภัยของกระบวนการบูตพีซีของคุณอย่างไร
Secure Boot ไม่ได้ออกแบบมาเพื่อให้การใช้งาน Linux ยากขึ้นเท่านั้น มีข้อดีด้านความปลอดภัยที่แท้จริงในการเปิดใช้ Secure Boot และแม้แต่ผู้ใช้ Linux ก็สามารถได้รับประโยชน์จากสิ่งเหล่านี้
BIOS แบบดั้งเดิมจะบูตซอฟต์แวร์ใด ๆ เมื่อคุณบู๊ตพีซีเครื่องจะตรวจสอบอุปกรณ์ฮาร์ดแวร์ตามลำดับการบู๊ตที่คุณกำหนดค่าไว้และพยายามบูตจากอุปกรณ์ โดยปกติพีซีทั่วไปจะค้นหาและบูต Windows boot loader ซึ่งจะบูตระบบปฏิบัติการ Windows แบบเต็ม หากคุณใช้ Linux BIOS จะค้นหาและบูต GRUB boot loader ซึ่งลีนุกซ์ส่วนใหญ่ใช้
อย่างไรก็ตามอาจเกิดมัลแวร์เช่นไฟล์rootkit เพื่อแทนที่บูตโหลดเดอร์ของคุณ รูทคิทสามารถโหลดระบบปฏิบัติการปกติของคุณได้โดยไม่มีข้อบ่งชี้ว่ามีอะไรผิดปกติโดยจะมองไม่เห็นอย่างสมบูรณ์และตรวจไม่พบในระบบของคุณ BIOS ไม่ทราบความแตกต่างระหว่างมัลแวร์และตัวโหลดบูตที่เชื่อถือได้เพียงแค่บูตทุกอย่างที่พบ
Secure Boot ออกแบบมาเพื่อหยุดสิ่งนี้ พีซี Windows 8 และ 10 มาพร้อมกับใบรับรองของ Microsoft ที่เก็บไว้ใน UEFI UEFI จะตรวจสอบบูตโหลดเดอร์ก่อนเปิดใช้งานและตรวจสอบว่าได้ลงนามโดย Microsoft หากรูทคิทหรือมัลแวร์ชิ้นอื่นมาแทนที่บูตโหลดเดอร์ของคุณหรือขัดขวางการทำงาน UEFI จะไม่อนุญาตให้บูต ซึ่งจะป้องกันไม่ให้มัลแวร์ขโมยกระบวนการบูตของคุณและปกปิดตัวเองจากระบบปฏิบัติการของคุณ
Microsoft อนุญาตให้ Linux Distributions บูตด้วย Secure Boot ได้อย่างไร
โดยทฤษฎีแล้วคุณลักษณะนี้ออกแบบมาเพื่อป้องกันมัลแวร์ ดังนั้น Microsoft จึงเสนอวิธีช่วยให้ Linux สามารถบูตได้ นั่นเป็นสาเหตุที่ลินุกซ์รุ่นใหม่บางรุ่นเช่น Ubuntu และ Fedora "ใช้งานได้" บนพีซีรุ่นใหม่แม้ว่าจะเปิดใช้ Secure Boot ก็ตาม ลินุกซ์ดิสทริบิวชันสามารถจ่ายค่าธรรมเนียมเพียงครั้งเดียว 99 ดอลลาร์เพื่อเข้าถึงพอร์ทัล Microsoft Sysdev ซึ่งสามารถสมัครเพื่อลงชื่อบูตตัวโหลดได้
ลีนุกซ์โดยทั่วไปจะมี "shim"ลงนาม shim เป็นบูตโหลดเดอร์ขนาดเล็กที่เพียงแค่บูทตัวโหลดบูต GRUB หลักของ Linux ดิสทริบิวชัน shim ที่ลงชื่อโดย Microsoft จะตรวจสอบเพื่อให้แน่ใจว่าบูตเครื่องบูตที่ลงนามโดยการแจกจ่าย Linux จากนั้นการกระจาย Linux จะบู๊ตตามปกติ
Ubuntu, Fedora, Red Hat Enterprise Linux และปัจจุบัน openSUSE รองรับ Secure Boot และจะทำงานโดยไม่ต้องปรับแต่งฮาร์ดแวร์ที่ทันสมัย อาจมีคนอื่น ๆ แต่สิ่งเหล่านี้คือสิ่งที่เราทราบ ลีนุกซ์บางรุ่นไม่เห็นด้วยกับการสมัครเพื่อลงนามโดย Microsoft
คุณจะปิดใช้งานหรือควบคุม Secure Boot ได้อย่างไร
หากนั่นคือ Secure Boot ทั้งหมดคุณจะไม่เป็นเช่นนั้นสามารถเรียกใช้ระบบปฏิบัติการที่ไม่ได้รับการรับรองจาก Microsoft บนพีซีของคุณ แต่คุณสามารถควบคุม Secure Boot ได้จากเฟิร์มแวร์ UEFI ของพีซีซึ่งเปรียบเสมือน BIOS ในพีซีรุ่นเก่า
มีสองวิธีในการควบคุม Secure Boot
คุณยังสามารถปรับแต่ง Secure Boot เพิ่มเติมได้อีกด้วย คุณสามารถควบคุมข้อเสนอการลงนาม Secure Boot ได้ คุณมีอิสระในการติดตั้งใบรับรองใหม่และนำใบรับรองที่มีอยู่ออก ตัวอย่างเช่นองค์กรที่ใช้ Linux บนพีซีสามารถเลือกที่จะลบใบรับรองของ Microsoft และติดตั้งใบรับรองขององค์กรเองแทน จากนั้นพีซีเหล่านั้นจะบูตเฉพาะบูตโหลดเดอร์ที่ได้รับการอนุมัติและลงนามโดยองค์กรนั้น ๆ
บุคคลหนึ่งสามารถทำได้เช่นกัน - คุณสามารถลงชื่อได้ลินุกซ์บูตโหลดเดอร์ของคุณเองและตรวจสอบให้แน่ใจว่าพีซีของคุณสามารถบูตได้เฉพาะบูตโหลดเดอร์ที่คุณรวบรวมและเซ็นชื่อเป็นการส่วนตัวเท่านั้น นั่นคือประเภทของการควบคุมและข้อเสนอ Secure Boot ที่มีประสิทธิภาพ
สิ่งที่ Microsoft ต้องการสำหรับผู้ผลิตพีซี
Microsoft ไม่เพียงต้องการให้ผู้จำหน่ายพีซีเปิดใช้งานSecure Boot หากพวกเขาต้องการสติกเกอร์รับรอง“ Windows 10” หรือ“ Windows 8” ที่สวยงามบนพีซีของพวกเขา Microsoft กำหนดให้ผู้ผลิตพีซีใช้งานในลักษณะเฉพาะ
สำหรับพีซี Windows 8 ผู้ผลิตจะต้องให้วิธีปิด Secure Boot แก่คุณ Microsoft กำหนดให้ผู้ผลิตพีซีวาง Secure Boot kill switch ไว้ในมือของผู้ใช้
สำหรับพีซี Windows 10 สิ่งนี้ไม่บังคับอีกต่อไป ผู้ผลิตพีซีสามารถเลือกที่จะเปิดใช้ Secure Boot และไม่ให้วิธีปิดเครื่องแก่ผู้ใช้ อย่างไรก็ตามเราไม่ทราบว่ามีผู้ผลิตพีซีรายใดที่ทำเช่นนี้
ในทำนองเดียวกันในขณะที่ผู้ผลิตพีซีต้องรวมไว้ด้วยคีย์“ Microsoft Windows Production PCA” หลักของ Microsoft เพื่อให้ Windows สามารถบูตได้โดยไม่ต้องใส่คีย์“ Microsoft Corporation UEFI CA” แนะนำให้ใช้คีย์ที่สองเท่านั้น เป็นคีย์ที่สองซึ่งเป็นทางเลือกที่ Microsoft ใช้เพื่อลงนามในตัวบูต Linux เอกสารของ Ubuntu อธิบายเรื่องนี้
กล่าวอีกนัยหนึ่งไม่ใช่ว่าพีซีทุกเครื่องจะต้องบูตได้ลงนามการกระจาย Linux โดยเปิด Secure Boot อีกครั้งในทางปฏิบัติเราไม่เคยเห็นพีซีเครื่องใดทำเช่นนี้ อาจไม่มีผู้ผลิตพีซีรายใดต้องการสร้างแล็ปท็อปกลุ่มเดียวที่คุณไม่สามารถติดตั้ง Linux ได้
สำหรับตอนนี้อย่างน้อยพีซี Windows หลักควรอนุญาตให้คุณปิด Secure Boot ได้หากต้องการและควรบูต Linux ดิสทริบิวชันที่ได้รับการลงนามโดย Microsoft แม้ว่าคุณจะไม่ได้ปิด Secure Boot ก็ตาม
ไม่สามารถปิด Secure Boot ใน Windows RT ได้ แต่ Windows RT ตายแล้ว
ที่เกี่ยวข้อง: Windows RT คืออะไรและแตกต่างจาก Windows 8 อย่างไร
ทั้งหมดข้างต้นเป็นจริงสำหรับระบบปฏิบัติการ Windows 8 และ 10 มาตรฐานบนฮาร์ดแวร์ Intel x86 มาตรฐาน มันแตกต่างกันสำหรับ ARM
บน Windows RT - เวอร์ชันของ Windows 8 สำหรับ ARMฮาร์ดแวร์ซึ่งจัดส่งบน Surface RT และ Surface 2 ของ Microsoft รวมถึงอุปกรณ์อื่น ๆ ไม่สามารถปิด Secure Boot ได้ ทุกวันนี้ยังไม่สามารถปิด Secure Boot ในฮาร์ดแวร์ Windows 10 Mobile ได้กล่าวคือโทรศัพท์ที่ใช้ Windows 10
นั่นเป็นเพราะ Microsoft ต้องการให้คุณคิดว่าระบบ Windows RT ที่ใช้ ARM เป็น "อุปกรณ์" ไม่ใช่พีซี ดังที่ Microsoft บอกกับ Mozilla Windows RT“ ไม่ใช่ Windows อีกต่อไป”
อย่างไรก็ตามตอนนี้ Windows RT ตายแล้ว ไม่มีระบบปฏิบัติการเดสก์ท็อป Windows 10 เวอร์ชันสำหรับฮาร์ดแวร์ ARM ดังนั้นนี่ไม่ใช่สิ่งที่คุณต้องกังวลอีกต่อไป แต่หาก Microsoft นำฮาร์ดแวร์ Windows RT 10 กลับมาคุณอาจจะไม่สามารถปิดใช้งาน Secure Boot ได้
เครดิตรูปภาพ: Ambassador Base, John Bristowe
