אם אני קונה מחשב עם Windows 8 ו- Secure Boot אני עדיין יכול להתקין את לינוקס?

מערכת האתחול החדשה של UEFI Secure ב- Windows 8 גרמה ליותר מהשיעור ההולם של הבלבול, במיוחד בין אתחול כפול. המשך לקרוא לנו לנקות את התפיסות המוטעות על אתחול כפול עם Windows 8 ו- Linux.

מפגש השאלות והתשובות של היום מגיע אלינו באדיבות SuperUser - חלוקה מחודשת של Stack Exchange, קיבוץ מונחה על ידי הקהילה של אתרי אינטרנט של Q & A.

השאלה

SuperUser הקורא Harsha K הוא סקרן לגבי מערכת UEFI חדש. הוא כותב:

שמעתי הרבה על האופן שבו מיקרוסופט מיישמת את ה- UEFI Secure Boot ב- Windows 8. נראה שהיא מונעת מאתחלי Boot לא מורשים לפעול במחשב, כדי למנוע תוכנות זדוניות. יש קמפיין של קרן התוכנה החופשית נגד אתחול מאובטח, והרבה אנשים היו אומרים באינטרנט כי זה "לתפוס כוח" על ידי מיקרוסופט כדי "לחסל את מערכות ההפעלה החופשית".

אם אני מקבל מחשב עם Windows 8 ו - Secure Boot מותקן מראש, האם אני עדיין יוכל להתקין לינוקס (או מערכת הפעלה אחרת) מאוחר יותר? או האם מחשב עם אתחול מאובטח רק פעם לעבוד עם Windows?

אז מה העסקה? האם booters כפול באמת מזל?

התשובה

SuperUser התורם נתן הינקל מציעה סקירה נהדרת של מה UEFI הוא לא:

ראשית, התשובה הפשוטה לשאלה שלך:

• אם יש לך טבלת ARM פועל Windows RT (כמו משטח RT או Asus Vivo RT), לאחר מכן לא תוכל להשבית את Secure Boot או להתקין מערכות הפעלה אחרות. כמו טבליות ARM רבות אחרות, התקנים אלה רק להפעיל את מערכת ההפעלה הם באים עם.
• אם ברשותך מחשב שאינו ARM פועל Windows 8 (כמו Surface Pro או כל אחד ultrabooks עצום, שולחנות עבודה, ו - Tablet עם מעבד x86-64), ולאחר מכן אתה יכול להשבית את Secure Boot לחלוטין, או שאתה יכול להתקין את המפתחות שלך ולחתום על האתחול שלך. כך או כך, אתה יכול להתקין מערכת הפעלה של צד שלישי כמו הפצה לינוקס או FreeBSD או DOS או מה שמענג אותך.

עכשיו, על הפרטים של איך זה כל דבר אתחול מאובטח באמת עובד: יש הרבה מידע שגוי על Secure Boot, במיוחד מן התוכנה חופשית קרן וקבוצות דומות. זה עשה את זה קשה למצוא מידע על מה בטוח מאובטח באמת עושה, אז אני אנסה כמיטב יכולתי להסביר. שים לב שאין לי שום ניסיון אישי בפיתוח מערכות אתחול מאובטח או משהו כזה; זה בדיוק מה שלמדתי מקריאת באינטרנט.

ראשית כל, אתחול מאובטח הוא לא משהו שמיקרוסופט הגיעה אליו. הם הראשונים ליישם את זה, אבל הם לא המציאו את זה. זה חלק מפרט UEFI, שהוא בעצם תחליף חדש יותר עבור ה- BIOS הישן כי אתה כנראה רגיל. UEFI היא בעצם התוכנה שמדברת בין מערכת ההפעלה לבין החומרה. תקני UEFI נוצרים על ידי קבוצה בשם "פורום UEFI", המורכב מנציגי תעשיית המחשוב, כולל מיקרוסופט, אפל, אינטל, AMD וקומץ יצרני מחשבים.

הנקודה השנייה החשובה ביותר, לאחר הפעלת אתחול מאובטח במחשב עושה לא כלומר המחשב לא יכול לעולם אתחול כל מערכת הפעלה אחרת. למעשה, דרישות החומרה של Microsoft Windows Certified Certification קובעות כי עבור מערכות שאינן ARM, עליך להיות מסוגל גם להשבית את Secure Boot ולשנות את המקשים (כדי לאפשר מערכות הפעלה אחרות). עוד על כך מאוחר יותר.

מה עושה אתחול מאובטח לעשות?

בעיקרו של דבר, הוא מונע תוכנות זדוניות לתקוף את המחשב באמצעות רצף האתחול. תוכנה זדונית אשר נכנס דרך האתחול יכול להיות מאוד קשה לזהות ולהפסיק, כי זה יכול לחדור פונקציות ברמה נמוכה של מערכת ההפעלה, שמירה על זה בלתי נראה תוכנות אנטי וירוס. כל אתחול מאובטח באמת עושה זה מאמת כי האתחול הוא ממקור מהימן, וכי זה לא טופל עם. תחשוב על זה כמו קופצים קופצים על בקבוקים שאומרים "לא לפתוח אם מכסה הוא צץ או חותם כבר טופלו".

ברמה העליונה של ההגנה, יש לך את המפתח פלטפורמה (PK). יש רק אחד PK על כל מערכת, והוא מותקן על ידי OEM במהלך הייצור. מפתח זה משמש להגנה על מסד הנתונים של KEK. מסד הנתונים של KEK מכיל Key Keys, המשמשים לשינוי מאגרי האתחול המאובטחים האחרים. לא יכול להיות מספר KEKs. יש אז רמה שלישית: מסד הנתונים המורשה (db) ואת Datbase האסורה (dbx). אלה מכילים מידע על רשויות אישורים, מפתחות הצפנה נוספים ותמונות התקן UEFI כדי לאפשר או לחסום, בהתאמה. כדי לאפשר למפעיל האתחול לרוץ, הוא חייב להיות חתום בחתימה עם מפתח זה J ב db, ו לא ב dbx.

^{תמונה מתוך בניין Windows 8: הגנה על הסביבה לפני ההפעלה עם UEFI}

איך זה עובד על העולם האמיתי Windows 8 מערכת מוסמך

OEM מייצר PK משלה, ומיקרוסופט מספקת KEK כי OEM נדרש לטעון מראש לתוך מסד הנתונים KEK. מיקרוסופט מכן חותמת על Windows 8 Bootloader, ומשתמש KEK שלהם לשים את החתימה במסד הנתונים המורשה. כאשר UEFI מאתחל את המחשב, הוא מאמת את ה- PK, מאמת את KEK של Microsoft ולאחר מכן מאמת את מנהל האתחול. אם הכל נראה טוב, אז מערכת ההפעלה יכולה אתחול.

^{תמונה מתוך בניין Windows 8: הגנה על הסביבה לפני ההפעלה עם UEFI}

איפה מערכות הפעלה של צד שלישי, כמו לינוקס, נכנסות?

ראשית, כל הפצת לינוקס יכולה לבחור ליצור KEK ולבקש מעובדי OEM לכלול אותו במסד הנתונים של KEK כברירת מחדל. אז הם היו כל כך הרבה שליטה על תהליך האתחול כמו מיקרוסופט עושה. הבעיות עם זה, כפי שהוסבר על ידי מתיו גארט של פדורה, הן ש) א יהיה קשה לקבל כל יצרן מחשב שיכלול את המפתח של פדורה, ו) ב לא יהיה זה הוגן לגבי הפצות לינוקס אחרות, כי המפתח שלהן לא ייכלל , מאז distros קטן אין כמו שותפויות OEM רבים.

מה פדורה בחרה לעשות (ו distros אחרים הם הבאים חליפה) היא להשתמש בשירותי החתימה של מיקרוסופט. תרחיש זה מחייב תשלום של $ 99 ל- Verisign (רשות האישורים המשמשת את Microsoft), ומעניק למפתחים את היכולת לחתום על מנהל האתחול שלהם באמצעות KEK של מיקרוסופט. מאז KEK של מיקרוסופט כבר יהיה ברוב המחשבים, זה מאפשר להם לחתום על האתחול שלהם להשתמש Secure Boot, ללא צורך KEK משלהם. זה בסופו של דבר להיות תואם יותר עם מחשבים נוספים, ועלות פחות הכולל מאשר להתמודד עם הגדרת החתימה שלהם מפתח מערכת ההפצה. יש עוד כמה פרטים על איך זה יעבוד (באמצעות GRUB, מודולים Kernel חתום, ופרטים טכניים אחרים) בפוסט בבלוג הנ"ל, אשר אני ממליץ לקרוא אם אתה מעוניין בסוג זה של דבר.

נניח שאתה לא רוצה להתמודד עם הטרחה של ההרשמה למערכת של מיקרוסופט, או לא רוצה לשלם 99 $, או פשוט יש טינה נגד תאגידים גדולים שמתחילים עם מ 'יש עוד אפשרות עדיין להשתמש Secure Boot ולהפעיל מערכת הפעלה אחרת מאשר Windows. הסמכת החומרה של מיקרוסופט דורש כי OEMs לאפשר למשתמשים להזין את המערכת שלהם לתוך "מותאם אישית" מצב UEFI, שם הם יכולים לשנות באופן ידני את מאגרי הנתונים מאובטח Secure ו- PK. ניתן להכניס את המערכת למצב ההתקנה של UEFI, שבו המשתמש יכול אפילו לציין את ה- PK עצמו, ולחתום על אתחוליהם עצמם.

יתר על כן, דרישות ההסמכה של מיקרוסופט עצמה מחייבות את יצרני ציוד מקורי לכלול שיטה להשבית Secure Boot במערכות שאינן ARM. באפשרותך לבטל את אתחול מאובטח! המערכות היחידות שבהן לא ניתן להשבית את Secure Boot הן מערכות ARM שבהן פועל Windows RT, אשר פועלות באופן דומה יותר ל- iPad, שבו לא ניתן לטעון מערכות הפעלה מותאמות אישית. למרות שאני רוצה שזה יהיה אפשרי לשנות את מערכת ההפעלה על התקני ARM, זה הוגן לומר כי מיקרוסופט היא בעקבות תקן התעשייה לגבי לוחות כאן.

אתחול מאובטח כל כך לא רע?

אז כפי שאתה יכול אני מקווה לראות, אתחול מאובטח הוא לא רע, והוא אינו מוגבל רק לשימוש עם Windows. הסיבה FSF ואחרים כה כועסים על זה כי זה מוסיף צעדים נוספים באמצעות מערכת ההפעלה של צד שלישי. הפצות לינוקס אולי לא כמו לשלם כדי להשתמש במפתח של מיקרוסופט, אבל זה הדרך הקלה ביותר וחסכונית ביותר להשיג עבודה מאובטח Secure עבור לינוקס. למרבה המזל, קל להפעיל את אתחול מאובטח, אפשר להוסיף מפתחות שונים, ובכך למנוע את הצורך להתמודד עם מיקרוסופט.

בהתחשב בכמות של תוכנות זדוניות מתקדמות יותר ויותר, אתחול מאובטח נראה כמו רעיון סביר. זה לא אמור להיות מזימה רעה להשתלט על העולם, וזה הרבה פחות מפחיד מאשר כמה pundits תוכנה חופשית תהיה לך להאמין.

קריאה נוספת:

• דרישות הסמכה של Windows חומרה
• בניין Windows 8: הגנה על הסביבה לפני OS עם UEFI
• מצגת Microsoft על פריסת אתחול מאובטח וניהול מפתח
• יישום UFI Secure Boot ב Fedora
• סקירה כללית
• מאמר ויקיפדיה על UEFI

TL; DR אתחול מאובטח מונע תוכנות זדוניות מפני הדבקת המערכת שלך ברמה נמוכה, בלתי ניתנים לגילוי במהלך האתחול. כל אחד יכול ליצור את המפתחות הדרושים כדי לגרום לזה לעבוד, אבל קשה לשכנע את יצרני המחשבים להפיץ me מפתח לכולם, כך שאתה יכול לחלופין לבחור לשלם Verisign להשתמש המפתח של מיקרוסופט לחתום על האתחול שלך ולגרום להם לעבוד. ניתן גם לבטל את אתחול מאובטח כל מחשב ללא ARM.

מחשבה אחרונה, לגבי הקמפיין של ה- FSF נגד אתחול מאובטח: כמה החששות שלהם (כלומר, זה עושה את זה קשה יותר כדי להתקין מערכות הפעלה בחינם) תקפים לנקודה. אומר כי ההגבלות יהיה "למנוע מאיש לאתחל שום דבר מלבד Windows" הוא שקר להפגין אף על פי, מן הסיבות מאויר לעיל. מסע פרסום נגד UEFI / Secure Boot כטכנולוגיה הוא קצר רואי, misinformed, וכן סביר להיות יעיל בכל מקרה. חשוב יותר לוודא כי היצרנים בפועל בצע את הדרישות של מיקרוסופט לתת למשתמשים להשבית את Secure Boot או לשנות את המפתחות אם הם רוצים.

יש לך משהו להוסיף להסבר? נשמע את ההערות. רוצה לקרוא תשובות נוספות ממשתמשים אחרים בעלי ידע טכנולוגי מתמצא? בדוק את נושא הדיון המלא כאן.