Jeśli kupię komputer z systemem Windows 8 i bezpieczny rozruch, czy nadal mogę zainstalować system Linux?
Nowy system UEFI Secure Boot w systemie Windows 8 spowodował więcej niż zwykłe zamieszanie, zwłaszcza wśród podwójnych użytkowników. Czytaj dalej, kiedy wyjaśnimy nieporozumienia dotyczące podwójnego rozruchu w systemach Windows 8 i Linux.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupowania witryn z pytaniami i odpowiedziami.
Pytanie
Czytnik SuperUser Harsha K jest ciekawa nowego systemu UEFI. On pisze:
Wiele słyszałem o tym, jak Microsoft wdraża bezpieczny rozruch w UEFI w systemie Windows 8. Pozornie zapobiega uruchamianiu "nieautoryzowanych" programów ładujących na komputerze, aby zapobiec złośliwemu oprogramowaniu. Istnieje kampania Free Software Foundation dotycząca bezpiecznego rozruchu, a wiele osób mówi w Internecie, że jest to "power grab" Microsoftu, aby "wyeliminować darmowe systemy operacyjne".
Jeśli otrzymam komputer z preinstalowanym systemem Windows 8 i Bezpiecznym bootowaniem, czy będę mógł później zainstalować system Linux (lub inny system operacyjny)? A może komputer z funkcją bezpiecznego rozruchu działa tylko w systemie Windows?
Więc jaka jest umowa? Czy dwoje booterów naprawdę nie ma szczęścia?
Odpowiedź
Uczestnik SuperUser, Nathan Hinkle, oferuje fantastyczny przegląd tego, czym jest UEFI, a czym nie jest:
Przede wszystkim prosta odpowiedź na twoje pytanie:
- Jeśli masz tablet ARM z systemem Windows RT (np. Surface RT lub Asus Vivo RT) nie będzie można wyłączyć Bezpiecznego rozruchu ani zainstalować innych systemów operacyjnych. Podobnie jak wiele innych tabletów ARM, te urządzenia będą tylko uruchom system operacyjny, z którego pochodzą.
- Jeśli masz komputer inny niż ARM z systemem Windows 8 (takim jak Surface Pro lub dowolne z niezliczonych ultrabooków, komputerów stacjonarnych i tabletów z procesorem x86-64), a następnie możesz całkowicie wyłączyć Bezpieczne uruchamianie, lub możesz zainstalować własne klucze i podpisać swój własny bootloader. Tak czy inaczej, możesz zainstalować system operacyjny innej firmy jak dystrybucję Linuksa lub FreeBSD, DOS lub cokolwiek ci się podoba.
Przejdźmy teraz do szczegółów na temat tego, jak działa ta cała funkcja Secure Boot: istnieje wiele dezinformacji na temat Bezpiecznego rozruchu, zwłaszcza z Free Software Foundation i podobnych grup. To sprawiło, że trudno jest znaleźć informacje o tym, co naprawdę robi Bezpieczny rozruch, więc postaram się wszystko wyjaśnić. Zauważ, że nie mam osobistego doświadczenia w tworzeniu bezpiecznych systemów rozruchowych ani niczego podobnego; to jest właśnie to, czego nauczyłem się podczas czytania w Internecie.
Po pierwsze, Bezpieczny rozruch jest nie coś, co Microsoft wymyślił. Są pierwszymi, którzy szeroko ją wdrażają, ale nie wymyślili jej. Jest to część specyfikacji UEFI, która jest w zasadzie nowszym zamiennikiem starego BIOS-u, do którego prawdopodobnie przywykliście. UEFI to w zasadzie oprogramowanie, które komunikuje system operacyjny ze sprzętem. Standardy UEFI są tworzone przez grupę o nazwie "UEFI Forum", która składa się z przedstawicieli branży komputerowej, w tym Microsoft, Apple, Intel, AMD i garstka producentów komputerów.
Drugi najważniejszy punkt, z włączonym Bezpiecznym uruchomieniem na komputerze nie oznacza, że komputer nigdy nie może uruchomić żadnego innego systemu operacyjnego. W rzeczywistości, własne wymagania Microsoft dotyczące certyfikacji sprzętu Windows stwierdzają, że w przypadku systemów innych niż ARM użytkownik musi mieć możliwość zarówno wyłączenia Bezpiecznego rozruchu, jak i zmiany kluczy (w celu umożliwienia innym systemom operacyjnym). Więcej o tym później.
Do czego służy Bezpieczny rozruch?
Zasadniczo zapobiega atakom złośliwego oprogramowania na komputer podczas sekwencji rozruchowej. Złośliwe oprogramowanie, które przechodzi przez bootloader, może być bardzo trudne do wykrycia i zatrzymania, ponieważ może infiltrować funkcje niskiego poziomu systemu operacyjnego, dzięki czemu jest niewidoczne dla oprogramowania antywirusowego. Wszystko, co naprawdę robi Secure Boot, to sprawdzenie, czy bootloader pochodzi z zaufanego źródła i czy nie został zmodyfikowany. Pomyśl o tym jak o wyskakujących okienkach na butelkach, które mówią: "nie otwieraj, jeśli pokrywa jest wysklepiona lub została naruszona plomba".
Na najwyższym poziomie ochrony masz klucz platformy (PK). W każdym systemie jest tylko jeden PK, który jest instalowany przez producenta OEM podczas produkcji. Ten klucz służy do ochrony bazy danych KEK. Baza danych KEK przechowuje klucze wymiany kluczy, które służą do modyfikowania innych bezpiecznych baz danych rozruchowych. Może być wiele KEKs. Istnieje wtedy trzeci poziom: Autoryzowana baza danych (db) i zakazana baza danych (dbx). Zawierają one informacje o urzędach certyfikacji, dodatkowych kluczach kryptograficznych i obrazach urządzeń UEFI, odpowiednio do zezwolenia lub blokady. Aby bootloader mógł działać, musi być podpisany kryptograficznie za pomocą klucza jest w db, i nie jest w dbx.
Obraz z systemu Windows 8: Ochrona środowiska pre-OS za pomocą UEFI
Jak to działa w prawdziwym systemie Windows 8 Certified
OEM generuje własny PK, a Microsoft zapewnia KEK, że OEM jest wymagany do wstępnego załadowania do bazy danych KEK. Microsoft następnie podpisuje Bootloader systemu Windows 8 i używa ich KEK, aby umieścić ten podpis w Autoryzowanej bazie danych. Gdy UEFI uruchamia komputer, weryfikuje PK, weryfikuje KEK firmy Microsoft, a następnie weryfikuje bootloader. Jeśli wszystko wygląda dobrze, system operacyjny może się uruchomić.
Obraz z systemu Windows 8: Ochrona środowiska pre-OS za pomocą UEFIGdzie wchodzą systemy firm trzecich, takie jak Linux?
Po pierwsze, każda dystrybucja Linuksa może wybrać generowanie KEK i poprosić producentów OEM, aby domyślnie umieścili go w bazie danych KEK. Mają wtedy taką samą kontrolę nad procesem uruchamiania, jak Microsoft. Problemy z tym, jak wyjaśnił Matthew Garrett z Fedory, są następujące: a) trudno byłoby każdemu producentowi PC włączyć klucz Fedory, i b) byłoby to niesprawiedliwe dla innych dystrybucji Linuksa, ponieważ ich klucz nie byłby włączony , ponieważ mniejsze dystrybucje nie mają tak wielu partnerstw OEM.
To, co Fedora zdecydowała się zrobić (i inne dystrybucje podążają za tym przykładem), to korzystać z usług podpisu firmy Microsoft. Ten scenariusz wymaga zapłacenia 99 USD firmie Verisign (urzędowi certyfikacji, z której korzysta Microsoft) i zapewnia programistom możliwość podpisywania ich programu rozruchowego za pomocą KEK firmy Microsoft. Ponieważ KEK firmy Microsoft jest już w większości komputerów, pozwala im to na podpisywanie ich bootloadera w celu korzystania z Bezpiecznego rozruchu bez konieczności posiadania własnego KEK. Kończy się to tym, że jest bardziej kompatybilny z większą ilością komputerów i kosztuje mniej ogólnie niż zajmowanie się konfigurowaniem własnego systemu podpisywania kluczy i dystrybucji. Więcej informacji o tym, jak to będzie działać (przy użyciu GRUB-a, podpisane moduły jądra i inne informacje techniczne) we wspomnianym wcześniej wpisie na blogu, które polecam przeczytać, jeśli jesteś zainteresowany tego typu rzeczami.
Załóżmy, że nie chcesz zajmować się problemami z rejestracją w systemie Microsoftu, lub nie chcesz płacić 99 $ lub po prostu mieć urazę do dużych korporacji, które zaczynają się od M. Istnieje jeszcze jedna opcja, aby nadal używać bezpiecznego rozruchu i uruchomić system operacyjny inny niż Windows. Certyfikacja sprzętu Microsoft wymaga producenci OEM pozwalają użytkownikom wprowadzać swój system do "niestandardowego" trybu UEFI, gdzie mogą ręcznie modyfikować bazy danych Bezpiecznego rozruchu i PK. System można przełączyć do trybu konfiguracji UEFI, w którym użytkownik może nawet określić własny PK, a także sam podpisać bootloadery.
Co więcej, własne wymagania certyfikacyjne Microsoftu sprawiają, że producenci OEM muszą stosować metodę wyłączania bezpiecznego rozruchu w systemach innych niż ARM. Możesz wyłączyć Bezpieczne uruchamianie! Jedynymi systemami, w których nie można wyłączyć Bezpiecznego rozruchu, są systemy ARM z systemem Windows RT, które działają bardziej podobnie do iPada, gdzie nie można załadować niestandardowych systemów operacyjnych. Chociaż żałuję, że nie można zmienić systemu operacyjnego na urządzeniach ARM, można śmiało powiedzieć, że Microsoft przestrzega standardu branżowego w odniesieniu do tabletów tutaj.
Bezpieczny rozruch nie jest z natury zły?
Tak więc, jak można się spodziewać, Bezpieczny rozruch nie jest zły i nie jest ograniczony tylko do korzystania z systemu Windows. Powodem, dla którego FSF i inni są tak zdenerwowani, jest to, że dodaje dodatkowe kroki do korzystania z systemu operacyjnego innej firmy. Dystrybucje linuksowe mogą nie lubić płacenia za używanie klucza Microsoftu, ale jest to najłatwiejszy i najbardziej opłacalny sposób na uzyskanie bezpiecznego rozruchu działającego na Linuksie. Na szczęście łatwo można wyłączyć Bezpieczne uruchamianie i można dodawać różne klucze, unikając w ten sposób konieczności radzenia sobie z firmą Microsoft.
Biorąc pod uwagę ilość coraz bardziej zaawansowanego złośliwego oprogramowania, Bezpieczny rozruch wydaje się rozsądnym pomysłem. To nie ma być zła fabuła, by przejąć świat i jest o wiele mniej przerażająca niż niektórzy wolni twórcy oprogramowania będą wierzyć.
Dodatkowe czytanie:
- Wymagania sprzętowe Microsoft Hardware
- Budowanie Windows 8: Ochrona środowiska pre-OS za pomocą UEFI
- Prezentacja Microsoft na temat bezpiecznego wdrażania i zarządzania kluczami
- Implementowanie bezpiecznego rozruchu UEFI w Fedorze
- Przegląd Bezpiecznego rozruchu TechNet
- Artykuł Wikipedii o UEFI
TL; DR: Bezpieczne ładowanie zabezpiecza przed złośliwym oprogramowaniem przed zainfekowaniem systemu na niskim, niewykrywalnym poziomie podczas rozruchu. Każdy może stworzyć niezbędne klucze, aby to działało, ale trudno jest przekonać twórców komputerów do dystrybucji Twój klucz do wszystkich, więc możesz również zapłacić Verisign, aby użyć klucza Microsoftu do podpisania bootloaderów i zmuszenia ich do pracy. Możesz również wyłączyć Bezpieczne uruchamianie każdy komputer inny niż ARM.
Ostatnia myśl, w odniesieniu do kampanii FSF przeciwko Bezpieczne ładowanie: Niektóre z ich obaw (to znaczy, że to robi trudniejsze zainstalować bezpłatne systemy operacyjne) są ważne do punktu. Mówienie, że ograniczenia "uniemożliwią komukolwiek uruchamianie czegokolwiek poza Windows" jest ewidentnie fałszywe, z powodów przedstawionych powyżej. Kampania przeciwko UEFI / Secure Boot jako technologii jest krótkowzroczna, dezinformowana i mało prawdopodobne, aby była skuteczna. Ważniejsze jest zapewnienie, że producenci faktycznie przestrzegają wymogów Microsoft, aby umożliwić użytkownikom wyłączenie Bezpiecznego rozruchu lub zmienić klucze, jeśli tego chcą.
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.