Če kupim računalnik z operacijskim sistemom Windows 8 in Secure Boot, lahko še vedno namestim Linux?

Novi sistem UEFI Secure Boot v operacijskem sistemu Windows 8 je povzročil več kot svoj zmedo, zlasti med dvojnimi zaganjalniki. Preberite, ko razjasnimo napačne predstave o dvojnem zagonu z Windows 8 in Linuxom.

Današnja seja vprašanj in odgovorov prihaja z namenom SuperUser-a, ki je del skupine Stack Exchange, ki temelji na skupnostih spletnih mest za vprašanja in odgovore.

Vprašanje

Bralnik SuperUser Harsha K zanima nov sistem UEFI. On piše:

Veliko sem slišal o tem, kako Microsoft izvaja operacijski sistem UEFI Secure Boot v operacijskem sistemu Windows 8. Očitno preprečuje, da bi se "nepooblaščeni" bootloaderji zagnali na računalniku, da bi preprečili škodljivo programsko opremo. Obstaja oglaševalska akcija Free Software Foundation proti varnemu zagonu in mnogi ljudje so na spletu rekli, da je Microsoft "zagrabitev moči", da "odpravi proste operacijske sisteme".

Če dobim računalnik z vnaprej nameščenim operacijskim sistemom Windows 8 in Secure Boot, ali bom pozneje še lahko namestil Linux (ali kakšen drug OS)? Ali pa računalnik s sistemom Secure Boot deluje samo s sistemom Windows?

Torej, kaj je dogovor? Ali sta dvojna škorenjca res brez sreče?

Odgovor

Sodelavka SuperUser Nathan Hinkle ponuja fantastičen pregled nad tem, kaj UEFI je in ni:

Prvič, preprost odgovor na vaše vprašanje:

• Če imate tableto ARM nato operacijski sistem Windows RT (kot je Surface RT ali Asus Vivo RT) Secure Boot ne boste mogli onemogočiti ali namestiti drugih operacijskih sistemov. Tako kot mnoge druge tablete ARM, bodo te naprave samo zaženite operacijski sistem, ki ga imajo.
• Če imate računalnik, ki ni ARM Windows 8 (kot je Surface Pro ali nešteto ultrabook, namizij in tabličnih računalnikov s procesorjem x86-64), Secure Boot lahko popolnoma onemogočite, ali pa namestite svoje ključe in se prijavite v svoj bootloader. Kakorkoli, lahko namestite OS tretje osebe, kot je Linux distro ali FreeBSD ali DOS ali karkoli vam je všeč.

Zdaj, o podrobnostih o tem, kako deluje celotna stvar Secure Boot: Veliko je napačnih informacij o varnem zagonu, zlasti iz Free Software Foundation in podobnih skupin. To je težko najti informacije o tem, kaj Secure Boot dejansko počne, zato bom poskušal po svojih najboljših močeh pojasniti. Upoštevajte, da nimam osebnih izkušenj z razvojem varnih zagonskih sistemov ali kaj podobnega; to je tisto, kar sem se naučil iz spletnega branja.

Najprej, Secure Boot je ne nekaj, kar je Microsoft pripravil. Oni so prvi, ki ga široko uveljavljajo, a ga niso izmislili. To je del specifikacije UEFI, ki je v bistvu novejša zamenjava za stari BIOS, ki ste ga verjetno uporabljali. UEFI je v bistvu programska oprema, ki pogovarja med operacijskim sistemom in strojno opremo. UEFI standarde oblikuje skupina, imenovana »UEFI Forum«, ki jo sestavljajo predstavniki računalniške industrije, vključno z Microsoftom, Appleom, Intelom, AMD-jem in peščico proizvajalcev računalnikov..

Druga najpomembnejša točka, če imate omogočen Secure Boot v računalniku ne pomeni, da računalnik ne more nikoli zagnati nobenega drugega operacijskega sistema. Dejansko Microsoftove zahteve za certificiranje strojne opreme za Windows navajajo, da morate za sisteme, ki niso ARM, imeti možnost, da onemogočite Secure Boot in spremenite ključe (da omogočite druge operacijske sisteme). Več o tem kasneje.

Kaj počne Secure Boot?

V bistvu preprečuje, da bi zlonamerna programska oprema napadla vaš računalnik z zagonskim zaporedjem. Zlonamerna programska oprema, ki vstopa prek zagonskega nalagalnika, je lahko zelo težko zaznati in ustaviti, ker lahko infiltrira nizke ravni operacijskega sistema, zaradi česar je nevidna za protivirusno programsko opremo. Vse, kar Secure Boot zares počne, je, da preveri, ali je bootloader iz zaupanja vrednega vira in da ni bil spremenjen. Razmislite o tem, kot da se pojavljajo pokrovčki na steklenicah, ki pravijo, da "ne odpiraj, če je pokrov iztekel ali da je pečat spremenjen".

Na najvišji ravni zaščite imate ključ platforme (PK). Na katerem koli sistemu je samo ena PK, ki jo v proizvodnji proizvaja OEM. Ta ključ se uporablja za zaščito zbirke podatkov KEK. Podatkovna zbirka KEK vsebuje ključne ključe za izmenjavo, ki se uporabljajo za spreminjanje drugih varnih podatkovnih baz za zagon. Lahko je več KEK-ov. Nato je tretja raven: pooblaščena baza podatkov (db) in prepovedana podatkovna baza (dbx). Te vsebujejo informacije o pooblaščenih osebah, dodatnih kriptografskih ključih in slikah naprav UEFI, ki jih želite dovoliti ali blokirati. Da bo zagonski nalagalnik lahko zagnan, mora biti kriptografsko podpisan s ključem, ki je v db in ni v dbx.

^{Slika iz stavbe Windows 8: Zaščita okolja pre-OS z UEFI}

Kako to deluje na resničnem sistemu Windows 8 Certified

Proizvajalec originalne opreme ustvari lastno PK, Microsoft pa KEK-u zagotovi, da mora proizvajalec originalne opreme predhodno naložiti podatkovno bazo KEK. Microsoft nato podpiše Windows 8 Bootloader in s svojim KEK-om da ta podpis v pooblaščeni bazi podatkov. Ko UEFI zažene računalnik, preveri PK, preveri Microsoftov KEK in nato preveri bootloader. Če vse izgleda dobro, se lahko OS zažene.

^{Slika iz stavbe Windows 8: Zaščita okolja pre-OS z UEFI}

Kje pridejo operacijski sistemi tretjih oseb, kot je Linux?

Prvič, katerikoli distro je lahko izbral ustvarjanje KEK-a in od proizvajalcev zahteva, da ga privzeto vključijo v bazo podatkov KEK. Nato bi imeli vsak nadzor toliko nad postopkom zagona kot Microsoft. Težave s tem, kot je pojasnil Federov Matthew Garrett, so, da je a) težko dobiti vsakega proizvajalca računalnika, da vključi Fedorin ključ, in b) bi bilo nepošteno do drugih distrosov Linuxa, ker njihov ključ ne bo vključen , ker manjši distroi nimajo toliko partnerstev OEM.

Kaj je Fedora izbrala (in drugi distrosi sledijo temu) je uporaba Microsoftovih storitev podpisovanja. Ta scenarij zahteva plačilo $ 99 za Verisign (služba za potrdila, ki jo uporablja Microsoft) in dodeli razvijalcem možnost, da podpišejo svoj bootloader z uporabo Microsoftovega KEK-a. Ker je Microsoftov KEK že v večini računalnikov, jim to omogoča, da podpišejo svoj zagonski bralnik, da bi uporabil varni zagon, ne da bi zahteval lasten KEK. Na koncu je bolj kompatibilen z več računalniki, in stane manj na splošno kot pri vzpostavljanju lastnega sistema za podpisovanje in distribucijo ključev. Obstaja nekaj podrobnosti o tem, kako bo to delovalo (z uporabo GRUB, podpisanih modulov jedra in drugih tehničnih informacij) v prej omenjeni objavi v spletnem dnevniku, ki ga priporočam, da ga preberete, če vas zanima takšna stvar.

Recimo, da se ne želite ukvarjati s težavami pri prijavi v Microsoftov sistem, ali ne želite plačati 99 $ ali pa samo zameriti velike korporacije, ki se začnejo z M. Obstaja še ena možnost, da še vedno uporabljate Secure Boot in zaženete operacijski sistem, ki ni Windows. Microsoftova certifikacija strojne opreme zahteva da proizvajalci originalne opreme uporabnikom omogočajo, da v svoj sistem vstopijo v "custom" način UEFI, kjer lahko ročno spremenijo baze podatkov Secure Boot in PK. Sistem se lahko postavi v način UEFI Setup Mode, kjer lahko uporabnik celo določi lastno PK in podpiše same bootloaderje.

Poleg tega morajo Microsoftove lastne zahteve za certificiranje za proizvajalce originalne opreme obvezno vključiti metodo za onemogočanje varnega zagona na sistemih, ki niso ARM.. Secure Boot lahko izklopite! Edini sistemi, v katerih Secure Boot ne morete onemogočiti, so sistemi ARM, v katerih se izvaja Windows RT, ki delujejo bolj podobno iPadu, kjer ne morete naložiti prilagojenih operacijskih sistemov. Čeprav si želim, da bi bilo mogoče spremeniti operacijski sistem na ARM napravah, je pošteno reči, da Microsoft sledi industrijskemu standardu glede tablet.

Tako varni zagon ni sam po sebi zlo?

Torej, kot upajmo videti, Secure Boot ni zloben in ni omejen le na uporabo z operacijskim sistemom Windows. Razlog, da so FSF in drugi tako razburjeni, je, da dodaja dodatne korake za uporabo operacijskega sistema tretjih oseb. Linux distrosi morda ne bodo radi plačevali za uporabo Microsoftovega ključa, vendar je to najlažji in stroškovno najučinkovitejši način, da dobite Secure Boot za Linux. Na srečo je varno izklopiti sistem Secure Boot in dodati različne ključe, s čimer se izognete potrebi po Microsoftu.

Glede na količino vse bolj napredne zlonamerne programske opreme se Secure Boot zdi kot razumna ideja. Ni mišljeno, da je zlobna zarota, ki bi prevzela svet, in je veliko manj strašljiva kot nekateri prostovoljci, ki vam bodo verjeli,.

Dodatno branje:

• Microsoftove zahteve za certificiranje strojne opreme
• Building Windows 8: Zaščita okolja pre-OS z UEFI
• Microsoftova predstavitev o uvajanju varnega zagona in upravljanju ključev
• Izvajanje UEFI Secure Boot v Fedori
• TechNet Secure Boot Overview
• Wikipedijski članek o UEFI

TL; DR: Varni zagon preprečuje, da bi zlonamerna programska oprema med zagonom okužila vaš sistem na nizki, nezaznavni ravni. Vsakdo lahko ustvari potrebne ključe, da bo lahko deloval, vendar je težko prepričati proizvajalce računalnikov, da jih distribuirajo vaš ključni za vsakogar, tako da lahko alternativno Verisign plačate, da uporablja Microsoftov ključ za podpisovanje zagonskih zagonskih naprav in njihovo delovanje. Prav tako lahko onemogočite Secure Boot on kaj računalnik brez ARM.

Zadnja misel v zvezi s kampanjo FSF proti varnemu zagonu: Nekateri njihovi pomisleki (to je težje za namestitev brezplačnih operacijskih sistemov) do točke. Reči, da bodo omejitve "preprečile, da bi kdorkoli zaganjal nič drugega kot Windows", je očitno napačna iz razlogov, ki so prikazani zgoraj. Kampanja proti UEFI / Secure Boot kot tehnologiji je kratkovidna, napačno informirana in verjetno ne bo učinkovita. Pomembneje je zagotoviti, da proizvajalci dejansko sledijo Microsoftovim zahtevam, saj omogočajo uporabnikom onemogočanje varnega zagona ali spreminjanje ključev, če tako želijo.

Imate kaj dodati pojasnilu? Zvok izključen v komentarjih. Želite prebrati več odgovorov drugih uporabnikov tehnologije Stack Exchange? Oglejte si celotno nit razprave tukaj.