Pokud si koupím počítač se systémem Windows 8 a bezpečným zaváděním, mohu stále nainstalovat Linux?

Nový systém UEFI Secure Boot v systému Windows 8 způsobil více než jen poměrně častý zmatek, zejména mezi dvěma bootery. Přečtěte si, jak vyřešíme mylné představy o duálním zavedení systému Windows 8 a Linux.

Dnešní zasedání Otázky a odpovědi nás přichází s laskavým svolením SuperUser - podřízené rozdělení Stack Exchange, které je založeno na komunitě prostřednictvím skupin webových stránek.

Otázka

Čtečka SuperUser Harsha K je zvědavá na nový systém UEFI. Napsal:

Slyšela jsem hodně o tom, jak společnost Microsoft implementuje systém UEFI Secure Boot v systému Windows 8. Zřejmě zabraňuje spuštění "neautorizovaných" zavaděčů v počítači, aby se zabránilo šíření malwaru. K dispozici je kampaň Free Software Foundation proti bezpečnému zavádění a mnozí lidé říkají online, že Microsoft je "mocným grabem" k "odstranění volných operačních systémů".

Pokud dostanu počítač s předinstalovaným systémem Windows 8 a Secure Boot, mohu ještě nainstalovat Linux (nebo nějaký jiný operační systém) později? Nebo počítač se Secure Boot pracuje pouze s Windows?

Tak co je to dohoda? Jsou duální posílení skutečně ze štěstí?

Odpověď

Příspěvek SuperUser Nathan Hinkle nabízí fantastický přehled toho, co UEFI je a není:

Za prvé, jednoduchá odpověď na vaši otázku:

• Pokud máte tablet ARM se systémem Windows RT (jako Surface RT nebo Asus Vivo RT) nebudete moci zakazovat zabezpečené spouštění nebo instalovat jiné operační systémy. Stejně jako mnoho jiných tablet ARM tato zařízení budou pouze spusťte operační systém, se kterým přicházejí.
• Pokud máte počítač bez ARM se systémem Windows 8 (jako je Surface Pro nebo některá z nesčetných ultrabooků, stolních počítačů a tablet s procesorem x86-64), pak můžete Secure Boot zcela vypnout, nebo si můžete nainstalovat své vlastní klíče a podepsat vlastní bootloader. V každém případě, můžete nainstalovat operační systém třetí strany jako linuxový distribuční systém nebo FreeBSD nebo DOS nebo cokoli, co vás bude líbit.

Nyní, na podrobnosti o tom, jak funguje toto celé zabezpečení Secure Boot: Existuje spousta dezinformací o Secure Boot, zejména od nadace Free Software Foundation a podobných skupin. Díky tomu bylo těžké najít informace o tom, co Secure Boot ve skutečnosti dělá, a tak se budu snažit vysvětlit. Všimněte si, že nemám osobní zkušenosti s vývojem zabezpečených zaváděcích systémů nebo něco podobného; to je to, co jsem se naučil od čtení online.

Nejdříve, Secure Boot je ne něco, co Microsoft přišel. Jsou to první, kdo je široce realizují, ale nevymysleli to. Je to součást specifikace UEFI, která je v podstatě novější náhradou starého systému BIOS, který jste pravděpodobně zvyklí. UEFI je v podstatě software, který mluví mezi operačním systémem a hardwarem. Standardy UEFI vytváří skupina nazvaná "Fórum UEFI", které se skládá z představitelů počítačového průmyslu, včetně společností Microsoft, Apple, Intel, AMD a několika výrobců počítačů.

Druhý nejdůležitější bod, má zapnutá funkce Secure Boot v počítači ne znamená, že počítač nikdy nemůže spustit jiný operační systém. Vlastní požadavky na certifikaci hardwaru společnosti Microsoft ve skutečnosti uvádějí, že pro systémy, které nejsou systémem ARM, musíte zakázat funkci Secure Boot a měnit klíče (pro povolení dalších operačních systémů). Více o tom později.

Co dělá Secure Boot?

V podstatě zabraňuje tomu, aby malware napadl váš počítač prostřednictvím zaváděcí sekvence. Malware, který vstupuje přes bootloader, může být velmi obtížné detekovat a zastavit, protože může proniknout do nízkoúrovňových funkcí operačního systému, takže je neviditelný pro antivirový software. Vše, co Secure Boot opravdu dělá, je, že ověřuje, zda je bootloader z důvěryhodného zdroje a že nebyl zablokován. Přemýšlejte o tom jako o vyskakovacích uzávěrech na lahvích, které říkají: "Neotvírejte, jestliže je víko vysunuto nebo je poškozena pečeť".

U nejvyšší úrovně ochrany máte klíč platformy (PK). Na libovolném systému je pouze jeden PK a je instalován výrobcem OEM během výroby. Tento klíč slouží k ochraně databáze KEK. Databáze KEK obsahuje klíčové klíče Exchange, které se používají k úpravě ostatních zabezpečených zaváděcích databází. Může existovat více KEK. Pak existuje třetí úroveň: autorizovaná databáze (db) a zakázaná datová databáze (dbx). Obsahují informace o certifikačních autoritách, dalších kryptografických klíčích a obrázcích zařízení UEFI, které umožňují nebo zablokují. Aby bootloader mohl být spuštěn, musí být kryptograficky podepsán klíčem je v db, a není v dbx.

^{Obrázek z budovy Windows 8: Ochrana prostředí před operačním systémem s UEFI}

Jak to funguje v reálném systému Windows 8 Certified

OEM generuje vlastní PK a společnost Microsoft poskytuje KEK, který musí výrobce OEM předem načíst do databáze KEK. Společnost Microsoft poté podepíše systém Windows 8 Bootloader a pomocí svého KEK uvede tento podpis do autorizované databáze. Když UEFI spustí počítač, ověří PK, ověří KEK společnosti Microsoft a ověří bootloader. Pokud vše vypadá dobře, pak může operační systém bootovat.

^{Obrázek z budovy Windows 8: Ochrana prostředí před operačním systémem s UEFI}

Kde přicházejí operační servery třetích stran, jako Linux?

Za prvé, jakýkoli distribuční systém Linux by se mohl rozhodnout vygenerovat KEK a požádat výrobce OEM o jeho zařazení do databáze KEK ve výchozím nastavení. Oni by pak mít každý bit tolik kontroly nad procesem spouštění jako Microsoft dělá. Problémy s tímto, jak vysvětluje Matthew Garrett z Fedory, spočívají v tom, že a) by bylo obtížné dostat každého výrobce PC do Fedory klíčem a b) by bylo nespravedlivé pro jiné linuxové distribuce, protože jejich klíč by nebyl zahrnut , protože menší distribuce nemají tolik partnerství s OEM.

Co se Fedory rozhodlo dělat (a další distros jsou následující) je použití podpisových služeb Microsoftu. Tento scénář vyžaduje zaplacení 99 dolarů společnosti Verisign (certifikační autoritě, kterou společnost Microsoft používá) a uděluje vývojářům možnost podepisovat svůj bootloader pomocí KEK společnosti Microsoft. Vzhledem k tomu, že Microsoft KEK bude již ve většině počítačů, umožní jim podepsat svůj bootloader, aby používal Secure Boot, aniž by požadoval vlastní KEK. Výsledkem je, že je více kompatibilní s více počítači a stojí méně než celkově než se zabývá nastavením vlastního podpisového a distribučního systému. Podrobnější informace o tom, jak to bude fungovat (pomocí modulu GRUB, podepsaných modulů jádra a dalších technických informací), naleznete na výše uvedeném příspěvku blogu, který vám doporučuji číst, pokud máte zájem o takové věci.

Předpokládejme, že se nechcete vyrovnávat s potížím se přihlásit k systému společnosti Microsoft, nebo nechcete zaplatit 99 dolarů, nebo jen mít zášť proti velkým korporacím, které začínají s M. Existuje další možnost stále používat Secure Boot a spusťte jiný operační systém než Windows. Certifikace hardwaru společnosti Microsoft vyžaduje že výrobci OEM umožňují uživatelům vstoupit do systému "custom" UEFI, kde mohou ručně modifikovat databázi Secure Boot a PK. Systém může být zařazen do režimu nastavení UEFI, kde uživatel může dokonce zadat vlastní PK a samotné bootloadery.

Kromě toho vlastní požadavky na certifikaci společnosti Microsoft vyžadují, aby výrobci OEM zahrnovali metodu zakázání zabezpečeného zavádění na systémech, které nejsou systémem ARM. Secure Boot lze vypnout! Jediné systémy, ve kterých nelze zakázat funkci Secure Boot, jsou systémy ARM se systémem Windows RT, které fungují podobně jako iPad, kde nelze načíst vlastní operační systémy. Přestože bych si přál, aby bylo možné změnit systém OS na zařízeních ARM, je pravdou říci, že společnost Microsoft dodržuje průmyslové standardy, pokud jde o tablety.

Taková bezpečná botka není ve své podstatě zlá?

Takže, jak doufáte, že Secure Boot není zlá a není omezena pouze na použití s ​​Windows. Důvod, proč jsou FSF a ostatní tak rozrušeni, je, že přidává další kroky k používání operačního systému třetí strany. Linux distros nemusí platit za použití klíčů společnosti Microsoft, ale je to nejjednodušší a nejhospodárnější způsob, jak získat službu Secure Boot pro Linux. Naštěstí je snadné vypnout službu Secure Boot a je možné přidat další klíče, čímž se vyvarujete nutnosti vypořádat se s Microsoft.

Vzhledem k množství stále se rozšiřujícího malwaru se Secure Boot zdá být rozumným nápadem. Neznamená to, že by se jednalo o zlý spiknutí, které by převzalo svět, a je mnohem méně děsivé, než ti,.

Doplňkové čtení:

• Požadavky na certifikaci hardwaru společnosti Microsoft
• Vytváření Windows 8: Ochrana prostředí před operačním systémem s UEFI
• Prezentace společnosti Microsoft o zavedení a správě klíčů pro zabezpečené spuštění
• Implementace zabezpečeného zavádění UEFI ve Fedoru
• Přehled bezpečného spuštění služby TechNet
• Článek Wikipedia o UEFI

TL; DR: Zabezpečené zavádění zabraňuje přenosu škodlivého softwaru během infikování systému na nízkou, nedetekovatelnou úroveň. Kdokoliv může vytvořit potřebné klíče, aby to fungovalo, ale je těžké přesvědčit tvůrce počítačů, aby distribuovali vaše klíčem ke všem, takže si můžete alternativně vybrat zaplatit Verisign za použití klíčů společnosti Microsoft k podpisu vašich zavaděčů a jejich práci. Můžete také zakázat funkci Zabezpečené spuštění žádný ne-počítač ARM.

Poslední myšlenka, pokud jde o kampaň FSF proti Secure boot: Některé jejich obavy (tj. To dělá těžší instalovat volné operační systémy) jsou platné do bodu. Řekněme, že omezení "zabrání komukoli, aby zaváděli cokoli jiného než Windows" je prokazatelně falešná, a to z výše uvedených důvodů. Kampaň proti technologii UEFI / Secure Boot jako technologii je krátkozražná, špatně informovaná a je nepravděpodobné, že bude stejně účinná. Je důležitější zajistit, aby se výrobci skutečně drželi požadavků Microsoftu na to, aby uživatelům zakázali bezpečnou spoušť nebo změnili klíče, pokud si to přejí.

Musíte něco přidat k vysvětlení? Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.