Jaunā UEFI Secure Boot sistēma Windows 8 ir radījusi vairāk nekā tā taisnīgu daļu neskaidrības, jo īpaši starp diviem booters. Lasiet tālāk, jo mēs noskaidrojam nepareizos priekšstatus par dubultā booting ar Windows 8 un Linux.
Šodienas jautājumu un atbilžu sesija mums priecājas par SuperUser - Stack Exchange dalību, kas ir kopienas vadīta Q & A tīmekļa vietņu grupa.
SuperUser lasītājs Harsha K ir interesanti par jauno UEFI sistēmu. Viņš raksta:
Es daudz esmu dzirdējis par to, kā Microsoft ievieš UEFI Secure Boot operētājsistēmā Windows 8. Acīmredzot tas novērš "neautorizētu" bootloaders darbu pie datora, lai novērstu ļaunprātīgu programmatūru. Bezmaksas programmatūras fonda kampaņa ir vērsta pret drošu sāknēšanas funkciju, un daudzi cilvēki ir teikuši tiešsaistē, ka Microsoft to var "sagrābt", lai "likvidētu bezmaksas operētājsistēmas".
Ja man jau ir instalēts iepriekš instalēts Windows 8 un drošais sāknēšanas dators, vai es joprojām varu instalēt Linux (vai kādu citu OS) vēlāk? Vai arī dators ar drošu sāknēs darbojas tikai kopā ar Windows?
Kāds ir darījums? Vai dubultā booters patiešām nav veiksmi?
SuperUser ieguldītājs Nathan Hinkle piedāvā fantastisku pārskatu par to, kas ir UEFI un kas nav:
Pirmkārt, vienkārša atbilde uz jūsu jautājumu:
- Ja jums ir ARM tablete darbojas Windows RT (piemēram, Surface RT vai Asus Vivo RT), pēc tamjūs nevarēsiet atspējot drošo sāknēšanu vai instalēt citas operētājsistēmas. Tāpat kā daudzas citas ARM tabletes, šīs ierīces būstikai palaidiet OS, ar kuru viņi nāk.
- Ja jums ir ne ARM dators darbojas Windows 8 (piemēram, Surface Pro vai kāds no neskaitāmajiem ultrabooks, galddatoriem un planšetdatoriem ar x86-64 procesoru), tadjūs varat pilnībā atspējot drošo boot, vai arī jūs varat instalēt savas atslēgas un parakstīt savu bootloader. Katrā ziņājūs varat instalēt trešās puses OS, piemēram, Linux distro vai FreeBSD vai DOS, vai kāds, kas jums patīk.
Tagad, lai iegūtu detalizētu informāciju par to, kā patiešām darbojas šī visa drošā sāknēšanas lieta: ir daudz nepatiesas informācijas par Secure Boot, it īpaši no Brīvās programmatūras fonda un līdzīgām grupām. Tas ir apgrūtinājis atrast informāciju par to, ko droši sāk darīt, tāpēc es centīšos izskaidrot. Ņemiet vērā, ka man nav personīgas pieredzes, izstrādājot drošas boot sistēmas vai tamlīdzīgu; tas ir tieši tas, ko esmu iemācījies lasīt tiešsaistē.
Pirmkārt,Droša sāknēšana irnē kaut ko, ko Microsoft nāca klajā ar. Viņi pirmie plaši īsteno to, bet viņi to neradīja. Tā ir daļa no UEFI specifikācijas, kas būtībā ir jaunāka vecās BIOS nomaiņa, kuru jūs, iespējams, izmantojāt. UEFI būtībā ir programmatūra, kas runā starp OS un aparatūru. UEFI standartus veido grupa "UEFI forums", kurā ietilpst skaitļošanas nozares pārstāvji, tostarp Microsoft, Apple, Intel, AMD un nedaudzi datoru ražotāji.
Otrais svarīgākais punkts,ja datorā ir iespējota drošā sāknēšananē ka dators nekad nevar startēt citu operētājsistēmu. Patiesībā Microsoft pašu Windows aparatūras sertifikācijas prasības nosaka, ka sistēmām, kas nav ARM, jums jābūt iespējai gan atspējot drošo sāknēšanas funkciju, gan mainīt atslēgas (lai atļautu citas operētājsistēmas). Vairāk par to vēlāk, lai gan.
Ko dara drošā sāknēšana?
Būtībā tā novērš ļaunprātīgu programmatūru datora uzbrukumu, izmantojot sāknēšanas sekvenci. Ļaunprātīgo programmatūru, kas ieplūst bootloader, var būt ļoti grūti atklāt un apturēt, jo tā var iekļūt operētājsistēmas zemā līmeņa funkcijās, saglabājot to neredzamu pretvīrusu programmatūrai. Viss, ko drošā sāknēšana patiešām notiek, ir tas, vai tiek pārbaudīts, vai bootloader ir no uzticama avota un ka tas nav ticis manipulēts ar to. Padomā par to, tāpat kā pudeles, kurās ir uznirstošie uzgaļi, kas saka: "neatveras, ja ir izvilkts vāks vai ir izmainīts zīmogs".
Augstākajā aizsardzības līmenī jums ir platformas atslēga (PK). Jebkurai sistēmai ir tikai viena PK, un to ražotājs ir uzstādījis OEM. Šo atslēgu izmanto, lai aizsargātu KEK datu bāzi. KEK datu bāzē ir atslēgu apmaiņas atslēgas, kuras tiek izmantotas, lai mainītu citas drošās sāknēšanas datubāzes. Var būt vairāki KEK. Toreiz ir trešais līmenis: autorizētā datu bāze (db) un aizliegtā datu bāze (dbx). Tie satur attiecīgi informāciju par sertifikātu iestādēm, papildu kriptogrāfijas taustiņiem un UEFI ierīču attēliem. Lai bootloader varētu darboties, tas ir jābūt kriptogrāfiski parakstīts ar taustiņu, kasir db unnav DBX.
Attēls no ēkas Windows 8: iepriekšējās vides vides aizsargāšana ar UEFI
Kā tas darbojas uz reālās sistēmas Windows 8 sertificētas sistēmas
OEM ģenerē savu PK, un Microsoft nodrošina KEK, ka OEM ir nepieciešams iepriekš ielādēt KEK datu bāzē. Pēc tam Microsoft paraksta Windows 8 bootloader un izmanto to KEK, lai nodotu šo parakstu autorizētajā datubāzē. Kad UEFI uzņem datoru, tas pārbauda PK, pārbauda Microsoft KEK un pēc tam pārbauda bootloader. Ja viss izskatās labi, OS var palaist.
Attēls no ēkas Windows 8: iepriekšējās vides vides aizsargāšana ar UEFIKur notiek trešo personu operētājsistēmas, piemēram, Linux?
Pirmkārt, jebkurš Linux distribūts varēja izvēlēties ģenerēt KEK un lūgt OEM tās iekļaut KEK datubāzē pēc noklusējuma. Viņi tad tikpat daudz kontrolētu sāknēšanas procesu, kā to dara Microsoft.Problēmas ar to, kā paskaidroja Fedora Matthew Garrett, ir tādi, ka a) katram datoru ražotājam ir grūti iekļaut Fedora atslēgu un b) tas būtu negodīgi attiecībā pret citiem Linux distribūtiem, jo to atslēga netiktu iekļauta , jo mazākiem distros nav tik daudz OEM partnerattiecību.
Ko Fedora ir izvēlējusies darīt (un citi distrodi ir šādi) - izmantot Microsoft parakstīšanas pakalpojumus. Saskaņā ar šo scenāriju Verisign (sertifikācijas iestāde, kuru izmanto Microsoft) maksā $ 99 un piešķir izstrādātājiem iespēju parakstīt savu bootloader, izmantojot Microsoft KEK. Tā kā Microsoft KEK jau būs lielākajā daļā datoru, tas ļaus viņiem parakstīt savu bootloader, lai izmantotu Secure Boot, neprasot savu KEK. Tas vairs nav saderīgs ar vairākiem datoriem, un izmaksas ir mazāk kopīgas nekā to, kā izveidot savu atslēgu parakstīšanas un izplatīšanas sistēmu. Iepriekš minētā emuāra ziņā ir vairāk detaļas par to, kā tas darbosies (izmantojot GRUB, parakstītos kodola moduļus un citu tehnisko informāciju), ko es ieteiktu izlasīt, ja jūs interesē šāda veida lieta.
Pieņemsim, ka jūs nevēlaties atrisināt Microsoft sistēmas pierakstīšanās grūtības vai nevēlaties maksāt 99 ASV dolārus, vai arī vienkārši satraukties pret lielām korporācijām, kas sākas ar M. Tur ir vēl viena iespēja joprojām izmantot Secure Boot un palaist operētājsistēmu, kas nav Windows. Microsoft aparatūras sertifikācijaprasa ka OEM ļauj lietotājiem ievadīt savu sistēmu UEFI "pielāgotajā" režīmā, kur viņi var manuāli modificēt Secure Boot datubāzes un PK. Sistēmu var ievietot UEFI iestatīšanas režīmā, kur lietotājs pat varētu norādīt savu PK un parakstīt bootloaders paši.
Turklāt Microsoft pašas sertifikācijas prasības padara OEM obligātu pienākumu iekļaut metodi, kā atspējot Secure Boot ne ARM sistēmās.Jūs varat izslēgt drošo boot! Vienīgās sistēmas, kurās jūs nevarat atspējot Secure Boot, ir ARM sistēmas, kurās darbojas sistēma Windows RT, kas darbojas līdzīgi kā iPad, kur jūs nevarat ielādēt pielāgotās operētājsistēmas. Lai gan es vēlos, lai būtu iespējams mainīt operētājsistēmu ARM ierīcēs, ir godīgi teikt, ka Microsoft šajā nozarē ievēro nozares standartus attiecībā uz planšetdatoriem.
Tātad drošs boot nav pēc būtības ļauns?
Tātad, kā jūs cerams redzēt, Secure Boot nav ļauna, un to neierobežo tikai lietošana kopā ar Windows. Iemesls, kādēļ FSF un citi ir tik satraukti par to, jo tas papildina papildu pasākumus, lai izmantotu trešās puses operētājsistēmu. Linux diskos, iespējams, nepatīk maksāt, lai izmantotu Microsoft atslēgu, bet tas ir vieglākais un izmaksu ziņā efektīvākais veids, kā iegūt drošu sāknēšanas programmu, kas darbojas Linux. Par laimi, drošu bootu ir viegli izslēgt, un ir iespējams pievienot dažādus atslēgas, tādējādi izvairoties no nepieciešamības rīkoties ar Microsoft.
Ņemot vērā arvien pieaugošo ļaundabīgo programmu daudzumu, Secure Boot šķiet saprātīga ideja. Tas nav domāts kā ļaunais uzmetums, lai pārņemtu pasauli, un tas ir daudz mazāk biedējošs, nekā jūs domājat par dažiem bezmaksas programmatūras pundits.
Papildus lasījums:
- Microsoft aparatūras sertifikācijas prasības
- Windows 8 veidošana: pre-OS vides aizsargāšana ar UEFI
- Microsoft prezentācija par Secure Boot ieviešanu un atslēgu pārvaldību
- UEFI Secure Boot ieviešana Fedora
- TechNet drošais sāknēšanas pārskats
- Wikipedia article par UEFI
TL; DR: Droša boot novērš ļaundabīgo programmu inficē jūsu sistēmu zemā, nenosakāmā līmenī boot laikā. Ikviens var izveidot vajadzīgās atslēgas, lai tas darbotos, bet ir grūti pārliecināt dators veidotājus izplatīttava lai jūs varētu izvēlēties, vai maksāt Verisign, lai izmantotu Microsoft taustiņu, lai parakstītu bootloaders un lai tie darbotos.Varat arī atspējot drošo sāknēšanas darbībujebkura ne ARM dators.
Pēdējā doma, kas attiecas uz FSF kampaņu pret drošu boot: dažas viņu bažas (t.i., tas to padara)grūtāk lai instalētu bezmaksas operētājsistēmas) ir derīgasuz punktu. Uzstādot, ka ierobežojumi "neļaus ikvienam boilerizēt kaut ko, bet Windows", ir redzams, ka tas ir nepareizs iepriekš minēto iemeslu dēļ. Aktivizēšana pret UEFI / Secure Boot kā tehnoloģija ir īslaicīga, nepareizi informēta un visticamāk nebūs efektīva. Ir svarīgi nodrošināt, ka ražotāji faktiski ievēro Microsoft prasības, kas ļauj lietotājiem atspējot drošo sāknēšanas darbību vai mainīt atslēgas, ja viņi to vēlas.
Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem? Šeit skatiet pilnu diskusiju pavedienu.
