Uusi Windows 8: n UEFI Secure Boot -järjestelmä on aiheuttanut enemmän kuin sen kohtuullisen osuuden sekaannuksesta, etenkin kahden käynnistyksen joukossa. Lue, kun selvitämme väärinkäsitykset dual booting kanssa Windows 8 ja Linux.
Tämän päivän kysymys- ja vastausistunto tulee meihin SuperUserin hyväksi - Stack Exchangein alaosasto, joka on yhteisöllinen Q & A-sivustojen ryhmittely.
SuperUser-lukija Harsha K on utelias uuteen UEFI-järjestelmään. Hän kirjoittaa:
Olen kuullut paljon siitä, miten Microsoft toteuttaa UEFI Secure Boot -ohjelmaa Windows 8: ssa. Ilmeisesti se estää "luvattomia" käynnistyslataimia toimimasta tietokoneella haittaohjelmien estämiseksi. Free Software Foundationin kampanja on turvallista käynnistystä vastaan, ja monet ihmiset ovat sanoneet verkossa, että Microsoft on "voimaa", jotta se "poistaa ilmaiset käyttöjärjestelmät".
Jos saan tietokoneen, jossa on Windows 8 ja Secure Boot esiasennettu, voinko vielä pystyä asentamaan Linux (tai muu käyttöjärjestelmä) myöhemmin? Vai onko tietokone, jolla on turvallinen käynnistys, vain koskaan toimimaan Windowsin kanssa?
Joten mikä on sopimus? Ovatko dual booters todella out of luck?
SuperUser-avustaja Nathan Hinkle tarjoaa loistavan yleiskuvan UEFI: n tilanteesta ja ei:
Ensinnäkin yksinkertainen vastaus kysymykseesi:
- Jos sinulla on ARM-tabletti Windows RT: n (kuten Surface RT tai Asus Vivo RT), sittenet voi estää Secure Boot -apuohjelmaa tai asentaa muita käyttöjärjestelmäohjelmia. Kuten monet muut ARM-tabletit, nämä laitteet toimivatvain ajaa käyttöjärjestelmää, johon he tulevat.
- Jos sinulla on ei-ARM-tietokone Windows 8 -käyttöjärjestelmää (kuten Surface Pro tai jonkin lukemattomien ultra-kirjojen, pöytätietokoneiden ja tablettien kanssa x86-64-prosessorilla), sittenvoit estää Secure Bootin kokonaan käytöstä, tai voit asentaa omat avaimet ja allekirjoittaa oman käynnistyslataimen. Joka tapauksessa,voit asentaa kolmannen osapuolen käyttöjärjestelmän, kuten Linux distro tai FreeBSD tai DOS tai mitä haluat.
Nyt yksityiskohdat siitä, miten tämä koko Secure Boot -hahmo todella toimii: There's a lot of harhakuvitelmia Secure Bootista, erityisesti Free Software Foundationista ja vastaavista ryhmistä. Tämä on vaikeuttanut tietoa siitä, mitä Secure Boot todella tekee, joten yritän parhaiten selittää. Huomaa, että minulla ei ole henkilökohtaista kokemusta turvallisten käynnistysjärjestelmien kehittämisestä tai sellaisesta; tämä on juuri se, mitä olen oppinut lukemasta verkosta.
Ensinnäkin,Secure Boot onei jotain Microsoftin keksimää. He ovat ensimmäinen, joka laajasti toteuttaa sitä, mutta he eivät keksineet sitä. Se on osa UEFI-spesifikaatiota, joka on pohjimmiltaan uusi korvaava vanha BIOS, johon olet todennäköisesti tottunut. UEFI on pohjimmiltaan ohjelmisto, joka puhuu käyttöjärjestelmän ja laitteiston välillä. UEFI-standardit luo ryhmä nimeltä "UEFI Forum", joka koostuu tietotekniikkateollisuuden edustajista, kuten Microsoft, Apple, Intel, AMD ja kourallinen tietokonevalmistajia.
Toiseksi tärkein asia,kun tietokoneessa on käytössä Secure Boot -toimintoei tarkoittaa, että tietokone ei koskaan voi käynnistää mitään muuta käyttöjärjestelmää. Itse asiassa Microsoftin omissa Windows Hardware Certification Requirementsissa todetaan, että muissa kuin ARM-järjestelmissä sinun on kyettävä poistamaan käytöstä Secure Boot ja muutettava avaimet (muiden käyttöjärjestelmien sallimiseksi). Lisää tästä myöhemmin.
Mitä Secure Boot tekee?
Pohjimmiltaan se estää haittaohjelmat hyökkäämästä tietokonetta käynnistysjärjestyksen kautta. Haittaohjelma, joka saapuu käynnistyslataimen kautta, voi olla erittäin vaikea havaita ja pysäyttää, koska se voi tunkeutua käyttöjärjestelmän alhaisen tason toimintoihin pitäen sen näkymättömänä virustorjuntaohjelmistoille. Kaikki, että Secure Boot todella tekee, varmistaa, että käynnistyslataaja on luotettavasta lähteestä ja että sitä ei ole muutettu väärin. Ajattele sitä kuin pulloilla olevat pop-up-korkit, jotka sanovat "älä avaa, jos kansi on pudonnut tai tiiviste on vioittunut".
Suojan korkeimmalla tasolla sinulla on alustanava (PK). Järjestelmässä on vain yksi PK, ja OEM asentaa sen valmistuksen aikana. Tätä avainta käytetään KEK-tietokannan suojaamiseen. KEK-tietokannassa on avainavaimia, joita käytetään muiden turvallisten käynnistystietokantojen muokkaamiseen. KEK: ita voi olla useita. Sitten on kolmas taso: valtuutettu tietokanta (db) ja kielletty tietokanta (dbx). Nämä sisältävät tietoja varmenteiden myöntäjistä, muista salausavaimista ja UEFI-laitteiden kuvista, jotka sallivat tai estävät niitä vastaavasti. Jotta käynnistyslataimen sallitaan käynnistyvän, sen on oltava kryptografisesti allekirjoitettu avaimen kanssaon db: ssä jaei ole dbx: ssä.
Kuva Building Windows 8: Suojaa pre-OS ympäristö UEFI
Miten tämä toimii todellisen Windows 8 -järjestelmän sertifioidulla järjestelmällä?
OEM luo oman PK: n ja Microsoft tarjoaa KEK: n, jonka OEM tarvitsee esilatauksen KEK-tietokantaan. Microsoft allekirjoittaa sitten Windows 8 Bootloader -ohjelman ja käyttää KEK: ta asettamaan tämän allekirjoituksen valtuutettuun tietokantaan. Kun UEFI käynnistää tietokoneen, se tarkistaa PK: n, tarkistaa Microsoftin KEK: n ja tarkistaa sitten käynnistyslataimen. Jos kaikki näyttää hyvältä, OS voi käynnistää.
Kuva Building Windows 8: Suojaa pre-OS ympäristö UEFIMissä kolmannen osapuolen käyttöjärjestelmät, kuten Linux, tulevat?
Ensinnäkin mikä tahansa Linux distro voisi luoda KEK: n ja pyytää OEM: itä sisällyttämään sen KEK-tietokantaan oletuksena. Heillä olisi sitten niin paljon valtaa käynnistysprosessin aikana kuin Microsoft tekee.Tämän ongelmat, kuten Fedoran Matthew Garrettin mukaan ovat, ovat se, että a) kaikkien PC: n valmistajien olisi vaikea ottaa Fedora-avaimen käyttöön ja b) se olisi epäoikeudenmukainen muihin Linux-jakeluihin, koska niiden avainta ei oteta mukaan , koska pienillä väylillä ei ole niin monta OEM-kumppanuutta.
Mitä Fedora on päättänyt tehdä (ja muut doksit ovat seuraavanlaisia) on käyttää Microsoftin allekirjoituspalveluja. Tämä skenaario vaatii 99 dollarin maksamista Verisignille (Microsoftin käyttöoikeusviranomainen) ja myöntää kehittäjille mahdollisuuden allekirjoittaa käynnistyslataimensa Microsoftin KEK: n avulla. Koska Microsoftin KEK on jo useimmissa tietokoneissa, se antaa heille mahdollisuuden allekirjoittaa käynnistyslataimensa Secure Bootin käyttämiseen tarvitsematta omia KEK: ta. Se päättyy, että se on yhteensopiva useampien tietokoneiden kanssa, ja se maksaa vähemmän kokonaisuudessaan kuin omien avainten allekirjoittamisen ja jakelun järjestelmän luominen. Lisätietoa siitä, miten tämä toimii (käyttäen GRUB: ää, allekirjoitettuja ydinmoduuleja ja muita teknisiä tietoja) edellä mainitussa blogikirjastossa, jonka suosittelen lukemista, jos olet kiinnostunut tällaisesta asiasta.
Oletetaan, ettet halua käsitellä Microsoftin järjestelmään liittyvää haastetta tai halua maksaa 99 dollaria tai vain suuttua isoja yrityksiä vastaan, jotka alkavat M: lla. On vielä yksi vaihtoehto käyttää edelleen Secure Bootia ja käyttää muuta käyttöjärjestelmää kuin Windowsia. Microsoftin laitteistustodistusvaatii että OEM: t antavat käyttäjien siirtyä järjestelmään UEFI "custom" -tilaan, jossa he voivat manuaalisesti muokata Secure Boot -tietokantoja ja PK: ta. Järjestelmä voidaan sijoittaa UEFI-asetustilaan, jossa käyttäjä voi jopa määrittää oman PK: n ja allekirjoittaa käynnistyslataajat itse.
Lisäksi Microsoftin omat sertifiointivaatimukset tekevät OEM-valmistajille pakolliseksi menetelmän, jolla Secure Boot ei ole käytössä muissa kuin ARM-järjestelmissä.Voit estää turvallisen käynnistyksen käynnistämisen! Ainoat järjestelmät, joissa Secure Bootia ei voi poistaa käytöstä, ovat ARM-järjestelmiä, jotka käyttävät Windows RT: tä, jotka toimivat entistä paremmin iPadia, jossa ei voi ladata mukautettuja käyttöjärjestelmiä. Vaikka toivon, että ARM-laitteiden käyttöjärjestelmää olisi mahdollista muuttaa, on oikein sanoa, että Microsoft noudattaa tässä tablettia koskevia alan standardeja.
Joten turvallinen käynnistys ei ole luonnostaan paha?
Joten toivottavasti näet, Secure Boot ei ole paha, eikä sitä ole rajoitettu vain Windows-käyttöjärjestelmään. Syy FSF ja muut ovat niin järkyttyneitä, koska se lisää ylimääräisiä vaiheita kolmannen osapuolen käyttöjärjestelmän käyttämiseen. Linux-distroilla ei ehkä pidä maksaa Microsoftin avaimen käytöstä, mutta se on helpoin ja kustannustehokkain tapa saada Secure Boot toimimaan Linuxissa. Onneksi turvallinen käynnistys on helppoa ja mahdollista lisätä eri avaimia, jolloin vältetään tarve käsitellä Microsoftia.
Kun otetaan huomioon yhä kehittyneiden haittaohjelmien määrä, Secure Boot näyttää kohtuulliselta ajatukselta. Se ei ole tarkoitus olla paha juoni, joka vie maailman ja on paljon vähemmän pelottavaa kuin jotkut vapaiden ohjelmistojen asiantuntijat uskovat.
Lisähuoneisto:
- Microsoft-laitteiston sertifiointivaatimukset
- Windows 8: Suojaa pre-OS-ympäristö UEFI: n avulla
- Microsoftin esittely Secure Boot -asennuksesta ja avainhallinnasta
- UEFI Secure Bootin käyttöönotto Fedorassa
- TechNetin turvallisen käynnistyksen yleiskatsaus
- Wikipedia-artikkeli UEFI: sta
TL; DR: Suojattu käynnistys estää haittaohjelmat saastuttavan järjestelmästä alhaisella, tuntemattomalla tasolla käynnistyksen aikana. Jokainen voi luoda tarvittavat avaimet, jotta se toimisi, mutta on vaikea saada tietokoneen valmistajia jakamaanteidän avain kaikille, joten voit vaihtoehtoisesti maksaa Verisignille Microsoftin avaimen avulla allekirjoittamaan käynnistyslataajat ja tekemään ne.Voit myös estää Secure Boot -toiminnon käytöstäminkä tahansa ei-ARM-tietokone.
Viimeinen ajatus, joka koskee FSF: n kampanjaa turvallista käynnistämistä vastaan: jotkut heidän huolensa (eli se tekee siitä)kovemmin asentaa ilmaiset käyttöjärjestelmät) ovat voimassapisteeseen. Sanomalla, että rajoitukset "estävät ketään käynnistämästä mitään muuta kuin Windowsia" on todistettavasti väärä, vaikka edellä esitetyistä syistä. Kampanja UEFI / Secure Bootia vastaan tekniikana on lyhytnäköinen, vääränlainen ja todennäköisesti tehokas muutenkin. On tärkeämpää varmistaa, että valmistajat noudattavat Microsoftin vaatimuksia, joiden mukaan käyttäjät voivat estää Secure Bootin käytön tai muuttaa avaimia, jos he haluavat.
Onko jokin asia lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä? Katso koko keskusteluketju täältä.
