Новата система UEFI Secure Boot в Windows 8 е причинила повече от справедливия си дял от объркване, особено при двойните буутстери. Прочетете, докато изясняваме погрешните схващания за двойно зареждане с Windows 8 и Linux.
Днешната сесия за въпроси и отговори ни идва с любезното съдействие на SuperUser - подразделение на Stack Exchange - обединяване на уеб сайтове с въпроси и отговори.
Reader на SuperUser Harsha K е любопитен за новата система UEFI. Той пише:
Чувал съм много за начина, по който Microsoft внедрява UEFI Secure Boot в Windows 8. Очевидно предотвратява "неразрешените" буутлоудъри да работят на компютъра, за да се предотврати злонамерен софтуер. Има кампания на фондация "Свободен софтуер" срещу защитено зареждане и много хора казват онлайн, че Microsoft е "мощен" за "премахване на безплатните операционни системи".
Ако получа компютър с инсталиран Windows 8 и Secure Boot, ще мога ли да инсталирам Linux (или друга операционна система) по-късно? Или компютърът със Secure Boot работи само с Windows?
И така, каква е сделката? Дали двойките буутбори наистина ли нямат късмет?
Contributor на SuperUser Nathan Hinkle предлага фантастичен преглед на това, което UEFI е и не е:
На първо място, простият отговор на въпроса ви:
- Ако имате ARM таблетка работещи с Windows RT (като Surface RT или Asus Vivo RT)няма да можете да деактивирате сигурното зареждане или да инсталирате други операционни системи, Както много други таблетки ARM, тези устройства щесамо стартирайте операционната система, с която идват.
- Ако имате компютър без ARM като Windows 8 (като Surface Pro или някоя от безбройните ултрабуки, настолни компютри и таблети с процесор x86-64), след товаможете да деактивирате напълно сигурното зареждане, или можете да инсталирате свои собствени ключове и да подпишете свой собствен буутлоудър. Така или иначе,можете да инсталирате трета страна OS като Linux дистрибуция или FreeBSD или DOS или каквото и да ви хареса.
Сега, по отношение на подробностите за това как наистина работи всичко това: Има много дезинформация за Secure Boot, особено от Фондацията за свободен софтуер и подобни групи. Това затрудни търсенето на информация за това, което наистина прави Secure Boot, така че ще се опитам да обясня всичко. Имайте предвид, че нямам личен опит с разработването на сигурни системи за зареждане или нещо подобно; това е точно това, което съм научил от четенето онлайн.
Преди всичко,Сигурно стартиране ене нещо, което Microsoft дойде. Те са първите, които го прилагат широко, но не го измислят. Това е част от спецификацията на UEFI, която основно е нова замяна на стария BIOS, с който вероятно сте свикнали. UEFI е основно софтуерът, който говори между операционната система и хардуера. Стандартите на UEFI се създават от група, наречена "Форум на UEFI", който се състои от представители на компютърната индустрия, включително Microsoft, Apple, Intel, AMD и шепа производители на компютри.
Втората най-важна точка,като се активира сигурното зареждане на компютърне че компютърът никога не може да зареди друга операционна система, Всъщност, собствените изисквания на Microsoft за хардуерни сертификати за Windows твърдят, че за системи, които не са ARM, трябва да сте в състояние да деактивирате сигурното зареждане и да промените клавишите (за да разрешите други операционни системи). Повече за това по-късно.
Какво прави Secure Boot?
По същество това предотвратява злонамереният софтуер да атакува вашия компютър през последователността на зареждане. Злонамереният софтуер, който навлиза през буутлоудъра, може да бъде много труден за откриване и спиране, защото може да проникне в ниско ниво на функциите на операционната система, като го запази невидим за антивирусния софтуер. Всичко това, което наистина прави Secure Boot, потвърждава, че буутлоудърът е от надежден източник и че не е бил подправен. Помислете за това като поп-капачки на бутилки, които казват "не се отварят, ако капакът е изскочил или печатът е бил подправен".
В най-високото ниво на защита имате ключ на платформата (PK). Има само един PK на всяка система и е инсталиран от OEM по време на производството. Този ключ се използва за защита на базата данни КЕК. Базата данни на КЕК съдържа ключови ключове за обмен, които се използват за модифициране на другите защитени базови бази данни. Може да има няколко КЕК. Тогава има трето ниво: Оторизираната база данни (db) и Забранената база данни (dbx). Те съдържат информация за сертифициращите органи, допълнителни криптографски ключове и изображения на устройствата UEFI, които позволяват или блокират, съответно. За да може буутлоудърът да работи, той трябва да бъде подписан криптографски с ключе в db, ине е в dbx.
Изображение от изграждането на Windows 8: Защита на средата преди операционната система с UEFI
Как работи това в реална система Windows 8 Certified
OEM генерира свой собствен РК и Microsoft предоставя KEK, че OEM трябва да се зарежда предварително в базата данни на KEK. След това Microsoft подписва Windows 8 Bootloader и използва своя KEK за поставяне на този подпис в Оторизираната база данни. Когато UEFI зареди компютъра, той проверява PK, проверява KEK на Microsoft и след това проверява буутлоудъра. Ако всичко изглежда добре, тогава операционната система може да стартира.
Изображение от изграждането на Windows 8: Защита на средата преди операционната система с UEFIКъде идват операционните системи на трети страни, като Linux?
Първо, всяко дистрибуция на Linux може да избере да генерира КЕК и да поиска производителите да го включат в базата данни КЕК по подразбиране. След това те биха имали толкова много контрол върху процеса на зареждане, колкото и Microsoft.Проблемите с това, както е обяснено от Matthew Garrett на Fedora, са, че a) би било трудно всеки производител на компютри да включи ключа на Fedora и б) би бил несправедлив за други дистрибуции на Linux, тъй като ключът им не би бил включен , тъй като по-малките дистрибуции нямат толкова много партньорства с OEM.
Това, което Fedora е избрала да направи (и другите дистрибуции са следват) е да използва услугите на Microsoft за подписване. Този сценарий изисква плащане на $ 99 на Verisign (сертификационния орган, който Microsoft използва) и дава на разработчиците възможността да подписват своя буутлоудър с KEK на Microsoft. Тъй като KEK на Microsoft вече ще бъде на повечето компютри, това им позволява да подпишат своя буутлоудър, за да използват Secure Boot, без да изискват собствен KEK. Тя завършва като по-съвместима с повече компютри и струва по-малко общо, отколкото да се занимава с изграждането на собствена ключова система за подписване и разпространение. Има няколко повече подробности за това как ще работи това (използвайки GRUB, модифицирани модули на ядрото и друга техническа информация) в гореспоменатата публикация в блог, която препоръчвам да прочетете, ако се интересувате от такива неща.
Представете си, че не искате да се справите със затрудненията да се регистрирате за системата на Microsoft или не искате да платите $ 99 или просто да имате недоволство срещу големите корпорации, които започват с М. Има още една възможност да използвате Secure Boot и да стартирате операционна система, различна от Windows. Сертифицирането на хардуера на Microsoftизисква че производителите на OEM позволяват на потребителите да влизат в системата си в "персонализиран" режим на UEFI, където могат ръчно да променят базите данни със Secure Boot и PK. Системата може да бъде пусната в режим на настройка на UEFI, където потребителят може дори да определи собствения си РК и да подпише самите буутлоудъра.
Освен това, собствените изисквания на Microsoft за сертифициране налагат за OEMs да включват метод за деактивиране на Secure Boot в системи, които не са ARM.Можете да изключите Сигурно стартиране! Единствените системи, в които не можете да деактивирате сигурното зареждане, са системите ARM, работещи под Windows RT, които функционират по подобен начин на iPad, където не можете да зареждате персонализирани OSes. Въпреки че бих искал да е възможно да променя операционната система на ARM устройствата, е честно да се каже, че Microsoft спазва стандартните стандарти за таблетите тук.
Така че сигурното обувка не е присъщо зло?
Така че, както се надяваме да видите, Secure Boot не е зло и не е ограничено само за използване с Windows. Причината, поради която FSF и други са толкова разстроени за това, е, че добавя допълнителни стъпки към използването на операционна система от трета страна. Linux дистрибуциите може да не искат да плащат за използване на ключа на Microsoft, но това е най-лесният и най-рентабилен начин да получите Secure Boot, работещ за Linux. За щастие е лесно да изключите Secure Boot и е възможно да добавите различни клавиши, като по този начин се избягвате нуждата от работа с Microsoft.
Предвид размера на все по-развития злонамерен софтуер, Secure Boot изглежда като разумна идея. Това не е предназначено да бъде лош сюжет за поемане на света и е много по-малко страшно, отколкото някои специалисти на свободния софтуер ще ви повярват.
Допълнително четене:
- Изисквания за сертифициране на хардуер на Microsoft
- Изграждане на Windows 8: Защита на средата преди операционната система с UEFI
- Презентация на Microsoft за внедряване на Secure Boot и управление на ключове
- Изпълнение на UEFI Secure Boot във Fedora
- Защитено зареждане на технологията TechNet
- Статия в Уикипедия за UEFI
TL; DR: Сигурното зареждане предотвратява злонамерените програми да заразяват системата ви на ниско, неоткриваемо ниво по време на зареждането. Всеки може да създаде необходимите ключове, за да може да работи, но е трудно да убедиш производителите на компютри да разпространяватВашият ключ към всички, така че можете да изберете да платите на Verisign да използва ключа на Microsoft, за да подпише своите буутлоудъра и да ги накара да работят.Можете също така да деактивирате функцията за сигурно зарежданекойто и да е не-ARM компютър.
Последна мисъл, по отношение на кампанията на ФСС срещу сигурна обувка: Някои от техните притеснения (т.е.по-трудно да инсталирате безплатни операционни системи) са валиднидо точка, Изяснявайки, че ограниченията "ще попречат на никого да зарежда всичко освен Windows", това е очевидно невярно, поради причините, илюстрирани по-горе. Кампанията срещу UEFI / Secure Boot като технология е късоглед, погрешно информирана и е малко вероятно да бъде ефективна във всеки случай. По-важно е да се уверите, че производителите всъщност спазват изискванията на Microsoft, които позволяват на потребителите да забранят сигурното зареждане или да променят клавишите, ако желаят.
Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.