Εάν αγοράζω έναν υπολογιστή με Windows 8 και ασφαλή εκκίνηση μπορώ να εγκαταστήσω ακόμα το Linux;

Το νέο σύστημα UEFI Secure Boot στα Windows 8 έχει προκαλέσει κάτι περισσότερο από το δίκαιο μερίδιο της σύγχυσης, ειδικά μεταξύ των δύο booters. Διαβάστε παρακάτω καθώς ξεκαθαρίζουμε τις παρανοήσεις σχετικά με τη διπλή εκκίνηση με τα Windows 8 και Linux.

Η σημερινή συνάντηση ερωτήσεων και απαντήσεων έρχεται σε επαφή με το SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινότητα που κατευθύνεται από τους ιστότοπους ερωτήσεων & απαντήσεων.

Το ερώτημα

Ο αναγνώστης SuperUser Harsha K είναι περίεργος για το νέο σύστημα UEFI. Αυτός γράφει:

Έχω ακούσει πολλά για το πώς η Microsoft εφαρμόζει την UEFI Secure Boot στα Windows 8. Προφανώς αποτρέπει την εκκίνηση "μη εξουσιοδοτημένων" bootloader στον υπολογιστή, για την πρόληψη κακόβουλου λογισμικού. Υπάρχει μια καμπάνια από το Ίδρυμα Ελεύθερου Λογισμικού ενάντια στην ασφαλή εκκίνηση και πολλοί άνθρωποι λένε στο διαδίκτυο ότι είναι μια "αρπαγή εξουσίας" από τη Microsoft για την "εξάλειψη των ελεύθερων λειτουργικών συστημάτων".

Εάν έχω προεγκατεστημένο έναν υπολογιστή που έχει προεγκατεστημένα τα Windows 8 και Secure Boot, θα συνεχίσω να μπορώ να εγκαταστήσω Linux (ή κάποιο άλλο λειτουργικό σύστημα) αργότερα; Ή ένας υπολογιστής με Secure Boot λειτουργεί μόνο με τα Windows?

Ποια είναι η συμφωνία; Είναι διπλός booters πραγματικά από την τύχη?

Η απάντηση

Ο συνεργάτης SuperUser Nathan Hinkle προσφέρει μια φανταστική επισκόπηση του τι είναι και δεν είναι το UEFI:

Πρώτα απ 'όλα, η απλή απάντηση στην ερώτησή σας:

• Εάν έχετε ένα tablet ARM με Windows RT (όπως το Surface RT ή το Asus Vivo RT) δεν θα μπορείτε να απενεργοποιήσετε την Ασφαλής εκκίνηση ή να εγκαταστήσετε άλλα λειτουργικά συστήματα. Όπως πολλά άλλα δισκία ARM, αυτές οι συσκευές θα μόνο εκτελέστε το λειτουργικό σύστημα με το οποίο έρχονται.
• Εάν διαθέτετε υπολογιστή μη ARM που εκτελούν τα Windows 8 (όπως το Surface Pro ή οποιαδήποτε από τις μυριάδες εξαιρετικά βιβλία, επιτραπέζιους υπολογιστές και tablet με επεξεργαστή x86-64), τότε μπορείτε να απενεργοποιήσετε πλήρως την Ασφαλής εκκίνηση, ή μπορείτε να εγκαταστήσετε τα δικά σας κλειδιά και να υπογράψετε το δικό σας bootloader. Οπως και να έχει, μπορείτε να εγκαταστήσετε ένα λειτουργικό σύστημα τρίτου μέρους όπως μια διανομή Linux ή το FreeBSD ή το DOS ή οτιδήποτε σας ευχαριστεί.

Τώρα, για λεπτομέρειες σχετικά με το πώς λειτουργεί όλο αυτό το πράγμα Ασφαλής εκκίνηση: Υπάρχουν πολλές παραπληροφορίες σχετικά με το Secure Boot, ειδικά από το Ίδρυμα Ελεύθερου Λογισμικού και παρόμοιες ομάδες. Αυτό δυσκολεύει να βρει πληροφορίες για το τι πραγματικά κάνει το Secure Boot, γι 'αυτό θα προσπαθήσω να εξηγήσω. Σημειώστε ότι δεν έχω προσωπική εμπειρία με την ανάπτυξη ασφαλών συστημάτων εκκίνησης ή κάτι τέτοιο? αυτό είναι ακριβώς αυτό που έμαθα από την ανάγνωση στο διαδίκτυο.

Πρωτα απο ολα, Ασφαλής εκκίνηση είναι δεν κάτι που η Microsoft ήξερε. Είναι οι πρώτοι που την εφαρμόζουν ευρέως, αλλά δεν το εφευρίσθηκαν. Είναι μέρος της προδιαγραφής UEFI, η οποία είναι βασικά μια νεότερη αντικατάσταση για το παλιό BIOS που πιθανώς χρησιμοποιείτε. Το UEFI είναι βασικά το λογισμικό που μιλάει μεταξύ του λειτουργικού συστήματος και του υλικού. Τα πρότυπα UEFI δημιουργούνται από μια ομάδα που ονομάζεται "Φόρουμ UEFI", η οποία απαρτίζεται από εκπροσώπους της βιομηχανίας πληροφορικής, όπως η Microsoft, η Apple, η Intel, η AMD και μια χούφτα κατασκευαστές υπολογιστών.

Δεύτερο σημαντικότερο σημείο, έχοντας ενεργοποιημένη την Ασφαλής εκκίνηση σε έναν υπολογιστή δεν σημαίνει ότι ο υπολογιστής δεν μπορεί ποτέ να εκκινήσει οποιοδήποτε άλλο λειτουργικό σύστημα. Στην πραγματικότητα, οι ίδιες οι απαιτήσεις της Microsoft για την πιστοποίηση υλισμικού υλικού της Microsoft δηλώνουν ότι για συστήματα μη ARM, πρέπει να μπορείτε να απενεργοποιήσετε την Ασφαλής εκκίνηση και να αλλάξετε τα κλειδιά (για να επιτρέψετε άλλα λειτουργικά συστήματα). Περισσότερα για αυτό αργότερα όμως.

Τι κάνει η Ασφαλής εκκίνηση?

Βασικά, αποτρέπει το κακόβουλο λογισμικό από το να επιτεθεί στον υπολογιστή σας μέσω της ακολουθίας εκκίνησης. Το κακόβουλο λογισμικό που εισέρχεται μέσω του bootloader μπορεί να είναι πολύ δύσκολο να εντοπιστεί και να σταματήσει, επειδή μπορεί να διεισδύσει σε λειτουργίες χαμηλού επιπέδου του λειτουργικού συστήματος, διατηρώντας το αόρατο σε λογισμικό προστασίας από ιούς. Το μόνο που κάνει η Secure Boot είναι ότι επιβεβαιώνει ότι ο bootloader είναι από μια αξιόπιστη πηγή και ότι δεν έχει παραβιαστεί. Σκεφτείτε το όπως τα pop-up καπάκια σε φιάλες που λένε "μην ανοίξετε αν έχει σκάσει το καπάκι ή έχει σφραγιστεί με σφραγίδα".

Στο ανώτερο επίπεδο προστασίας, έχετε το κλειδί πλατφόρμας (PK). Υπάρχει μόνο ένα PK σε οποιοδήποτε σύστημα και εγκαθίσταται από τον ΚΑΕ κατά τη διάρκεια της κατασκευής. Αυτό το κλειδί χρησιμοποιείται για την προστασία της βάσης δεδομένων ΚΕΚ. Η βάση δεδομένων ΚΕΚ διατηρεί τα βασικά κλειδιά ανταλλαγής, τα οποία χρησιμοποιούνται για την τροποποίηση των άλλων ασφαλών βάσεων δεδομένων εκκίνησης. Μπορούν να υπάρχουν πολλαπλά ΚΕΚ. Υπάρχει ένα τρίτο επίπεδο: η Εξουσιοδοτημένη Βάση Δεδομένων (db) και η Απαγορευμένη Βάση Δεδομένων (dbx). Αυτά περιέχουν πληροφορίες σχετικά με τις Αρχές Πιστοποίησης, πρόσθετα κρυπτογραφικά κλειδιά και εικόνες συσκευών UEFI για να επιτρέψουν ή να μπλοκάρουν, αντίστοιχα. Για να επιτρέπεται η εκτέλεση ενός bootloader, πρέπει να υπογραφεί κρυπτογραφικά με ένα κλειδί είναι στο db, και δεν είναι στο dbx.

^{Εικόνα από την οικοδόμηση των Windows 8: Προστασία του περιβάλλοντος πριν από το OS με UEFI}

Πώς λειτουργεί αυτό σε ένα πραγματικό σύστημα Windows 8 Certified

Ο ΚΑΕ δημιουργεί το δικό του PK και η Microsoft παρέχει ένα KEK που απαιτείται από τον ΚΑΕ για την προ-φόρτωση στη βάση δεδομένων KEK. Στη συνέχεια, η Microsoft υπογράφει το Bootloader των Windows 8 και χρησιμοποιεί το KEK για να θέσει αυτή την υπογραφή στην Εξουσιοδοτημένη βάση δεδομένων. Όταν η UEFI εκκινήσει τον υπολογιστή, επαληθεύει το PK, επαληθεύει το KEK της Microsoft και κατόπιν επαληθεύει τον bootloader. Εάν όλα φαίνονται καλά, τότε το λειτουργικό σύστημα μπορεί να εκκινήσει.

^{Εικόνα από την οικοδόμηση των Windows 8: Προστασία του περιβάλλοντος πριν από το OS με UEFI}

Πού έρχονται τα λειτουργικά συστήματα τρίτων μερών, όπως το Linux;?

Πρώτον, οποιαδήποτε διανομή Linux θα μπορούσε να επιλέξει να δημιουργήσει ένα ΚΕΚ και να ζητήσει από τους ΚΑΕ να το συμπεριλάβουν στην βάση δεδομένων ΚΕΚ από προεπιλογή. Στη συνέχεια, θα έχουν κάθε κομμάτι τον έλεγχο της διαδικασίας εκκίνησης όπως η Microsoft. Τα προβλήματα με αυτό, όπως εξηγείται από τον Matthew Garrett της Fedora, είναι ότι α) θα ήταν δύσκολο για κάθε κατασκευαστή PC να συμπεριλάβει το κλειδί της Fedora και β) θα ήταν άδικο για άλλες διανομές Linux, , δεδομένου ότι οι μικρότερες διανομές δεν έχουν τόσο πολλές συνεργασίες με τους ΚΑΕ.

Αυτό που η Fedora έχει επιλέξει να κάνει (και άλλες διανομές ακολουθούν το παράδειγμα) είναι να χρησιμοποιήσει τις υπηρεσίες υπογραφής της Microsoft. Αυτό το σενάριο απαιτεί να πληρώσετε 99 δολάρια για την Verisign (η Αρχή Πιστοποίησης που χρησιμοποιεί η Microsoft) και παρέχει στους προγραμματιστές τη δυνατότητα να υπογράψουν το bootloader χρησιμοποιώντας το KEK της Microsoft. Δεδομένου ότι το KEK της Microsoft θα είναι ήδη στους περισσότερους υπολογιστές, αυτό τους επιτρέπει να υπογράψουν το bootloader τους για να χρησιμοποιούν το Secure Boot, χωρίς να χρειάζονται το δικό τους KEK. Καταλήγει να είναι πιο συμβατό με περισσότερους υπολογιστές και κοστίζει λιγότερο συνολικά από το να ασχολείται με τη δημιουργία του δικού τους συστήματος υπογραφής και διανομής κλειδιών. Υπάρχουν κάποιες περισσότερες λεπτομέρειες σχετικά με το πώς θα λειτουργήσει αυτό (χρησιμοποιώντας GRUB, υπογεγραμμένες ενότητες Kernel και άλλες τεχνικές πληροφορίες) στην προαναφερθείσα ανάρτηση blog, την οποία σας προτείνω να διαβάσετε αν σας ενδιαφέρει κάτι τέτοιο.

Ας υποθέσουμε ότι δεν θέλετε να αντιμετωπίσετε την ταλαιπωρία της εγγραφής στο σύστημα της Microsoft ή δεν θέλετε να πληρώσετε 99 δολάρια ή απλώς να έχετε μια μνησικακία εναντίον μεγάλων εταιρειών που ξεκινούν με ένα M. Υπάρχει μια άλλη επιλογή να εξακολουθείτε να χρησιμοποιείτε το Secure Boot και να εκτελέσετε ένα λειτουργικό σύστημα διαφορετικό από τα Windows. Πιστοποίηση υλικού της Microsoft απαιτεί ότι οι ΚΑΕ επιτρέπουν στους χρήστες να εισάγουν το σύστημά τους σε λειτουργία "προσαρμοσμένης" UEFI, όπου μπορούν να τροποποιήσουν με μη αυτόματο τρόπο τις βάσεις δεδομένων Secure Boot και το PK. Το σύστημα μπορεί να τεθεί σε λειτουργία ρύθμισης UEFI, όπου ο χρήστης μπορεί να καθορίσει το δικό του PK και να υπογράψει τους ίδιους τους bootloaders.

Επιπλέον, οι ίδιες οι απαιτήσεις πιστοποίησης της Microsoft καθιστούν υποχρεωτική για τους ΚΑΕ να συμπεριλάβουν μια μέθοδο για την απενεργοποίηση του Secure Boot σε συστήματα μη-ARM. Μπορείτε να απενεργοποιήσετε την ασφαλή εκκίνηση! Τα μόνα συστήματα στα οποία δεν μπορείτε να απενεργοποιήσετε το Secure Boot είναι συστήματα ARM που εκτελούν Windows RT, τα οποία λειτουργούν πιο παρόμοια με το iPad, όπου δεν μπορείτε να φορτώσετε προσαρμοσμένα λειτουργικά συστήματα. Παρόλο που θα ήθελα να είναι δυνατή η αλλαγή του λειτουργικού συστήματος σε συσκευές ARM, είναι δίκαιο να πούμε ότι η Microsoft ακολουθεί τα βιομηχανικά πρότυπα όσον αφορά τα δισκία εδώ.

Έτσι το ασφαλές boot δεν είναι εγγενώς κακό?

Όπως μπορείτε να δείτε, το Secure Boot δεν είναι κακό και δεν περιορίζεται μόνο στη χρήση με τα Windows. Ο λόγος για τον οποίο το FSF και άλλοι είναι τόσο αναστατωμένοι γι 'αυτό είναι επειδή προσθέτει επιπλέον βήματα στη χρήση ενός λειτουργικού συστήματος τρίτου μέρους. Το Linux distros μπορεί να μην αρέσει να πληρώνει για να χρησιμοποιήσει το κλειδί της Microsoft, αλλά είναι ο ευκολότερος και οικονομικότερος τρόπος για να αποκτήσετε το Secure Boot που λειτουργεί για το Linux. Ευτυχώς, είναι εύκολο να απενεργοποιήσετε το Secure Boot και να προσθέσετε διαφορετικά κλειδιά, αποφεύγοντας έτσι την ανάγκη αντιμετώπισης της Microsoft.

Δεδομένου του όγκου των ολοένα και πιο προηγμένων κακόβουλων προγραμμάτων, το Secure Boot φαίνεται σαν μια λογική ιδέα. Δεν πρόκειται να είναι μια κακή πλοκή για να αναλάβει τον κόσμο, και είναι πολύ λιγότερο τρομακτικό από ό, τι μερικοί εθελοντές λογισμικού θα σας έχουν πιστέψει.

Πρόσθετη ανάγνωση:

• Απαιτήσεις πιστοποίησης υλικού του Microsoft
• Δημιουργία Windows 8: Προστασία του περιβάλλοντος πριν από το OS με UEFI
• Παρουσίαση της Microsoft σχετικά με την ανάπτυξη και τη διαχείριση πλήκτρων Secure Boot
• Εφαρμογή της UEFI Secure Boot στο Fedora
• Επισκόπηση ασφαλούς εκκίνησης του TechNet
• Άρθρο της Βικιπαίδειας για το UEFI

TL · DR: Η ασφαλής εκκίνηση εμποδίζει το κακόβουλο λογισμικό να μολύνει το σύστημά σας σε χαμηλό, μη ανιχνεύσιμο επίπεδο κατά την εκκίνηση. Ο καθένας μπορεί να δημιουργήσει τα απαραίτητα κλειδιά για να λειτουργήσει, αλλά είναι δύσκολο να πείσει τους κατασκευαστές υπολογιστών να διανείμουν τα δικα σου κλειδί για όλους, έτσι ώστε να μπορείτε εναλλακτικά να επιλέξετε να πληρώσετε τη Verisign για να χρησιμοποιήσετε το κλειδί της Microsoft για να υπογράψετε τα bootloaders και να τα λειτουργήσετε. Μπορείτε επίσης να απενεργοποιήσετε την ασφαλή εκκίνηση όποιος μη-ARM υπολογιστή.

Τελευταία σκέψη, όσον αφορά την εκστρατεία του FSF εναντίον του Secure boot: Μερικές από τις ανησυχίες τους (δηλ. Το κάνει πιο δυνατα για την εγκατάσταση δωρεάν λειτουργικών συστημάτων) σε ένα σημείο. Το να λέμε ότι οι περιορισμοί θα "αποτρέψουν οποιονδήποτε από την εκκίνηση οτιδήποτε παρά από τα Windows" είναι αποδεδειγμένα ψευδής αν και, για τους λόγους που περιγράφηκαν παραπάνω. Η εκστρατεία κατά της UEFI / Secure Boot ως τεχνολογίας είναι κοντόφθαλμη, παραπληροφόρητη και απίθανο να είναι αποτελεσματική ούτως ή άλλως. Είναι πιο σημαντικό να διασφαλιστεί ότι οι κατασκευαστές ακολουθούν τις απαιτήσεις της Microsoft για να επιτρέψουν στους χρήστες να απενεργοποιήσουν την ασφαλή εκκίνηση ή να αλλάξουν τα κλειδιά εάν το επιθυμούν.

Έχετε κάτι να προσθέσετε στην εξήγηση; Απενεργοποιήστε τα σχόλια. Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους τεχνολογικούς χρήστες Stack Exchange; Δείτε το πλήρες νήμα συζήτησης εδώ.