Якщо я купую комп'ютер з Windows 8 і Secure Boot я можу все ще встановити Linux?

Нова система UEFI Secure Boot в Windows 8 викликає більше, ніж її справедлива частка плутанини, особливо серед подвійних завантажувачів. Читайте далі, як ми прояснимо помилки про подвійне завантаження з Windows 8 і Linux.

Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..

Питання

Читач SuperUser Harsha K цікавиться новою системою UEFI. Він пише:

Я чув багато про те, як Microsoft впроваджує UEFI Secure Boot у Windows 8. Очевидно, що це запобігає запуску "неавторизованих" завантажувачів на комп'ютері, щоб запобігти зловмисним програмам. Існує кампанія Фонду вільного програмного забезпечення проти безпечного завантаження, і багато людей говорять в Інтернеті, що Microsoft "захоплює владу", щоб "усунути вільні операційні системи".

Якщо я отримаю комп'ютер з попередньо встановленою системою Windows 8 і Secure Boot, чи зможу я встановити Linux (або іншу ОС) пізніше? Або ж комп'ютер із Secure Boot працюватиме тільки з Windows?

Так яка ж угода? Є подвійні завантажувачі дійсно не пощастило?

Відповідь

Співробітник SuperUser Натан Хінкл пропонує фантастичний огляд того, що UEFI є та не є:

Перш за все, проста відповідь на ваше запитання:

• Якщо у вас є планшет ARM потім запущена Windows RT (наприклад, поверхня RT або Asus Vivo RT) Ви не зможете вимкнути Secure Boot або встановити інші операційні системи. Як і багато інших планшетів ARM, ці пристрої будуть тільки запустіть ОС, з якою вони приходять.
• Якщо у вас є не-ARM комп'ютер під управлінням Windows 8 (наприклад, Surface Pro або будь-якого з безлічі ультрабуків, настільних комп'ютерів і планшетів із процесором x86-64), Ви можете повністю вимкнути Secure Boot, або ви можете встановити власні ключі та підписати свій власний завантажувач. У будь-якому випадку, Ви можете встановити ОС третьої сторони, як дистрибутив Linux або FreeBSD або DOS або все, що вам подобається.

Тепер, до деталей, як ця ціла річ Secure Boot насправді працює: є багато дезінформації про Secure Boot, особливо від Free Software Foundation і подібних груп. Це ускладнило пошук інформації про те, що робить Secure Boot, тому я постараюся пояснити. Зверніть увагу, що у мене немає особистого досвіду в розробці безпечних систем завантаження або щось подібне; це саме те, що я дізнався з читання в Інтернеті.

Поперше, Безпечне завантаження ні щось, що Microsoft придумала. Вони першими широко застосовують його, але вони її не придумали. Це частина специфікації UEFI, яка, в основному, є новою заміною для старого BIOS, на який ви, мабуть, звикли. UEFI - це в основному програмне забезпечення, яке обговорює операційну систему з апаратним забезпеченням. Стандарти UEFI створюються групою під назвою «UEFI Forum», яка складається з представників комп'ютерної індустрії, включаючи Microsoft, Apple, Intel, AMD і кілька виробників комп'ютерів.

Другий найважливіший момент, увімкнено безпечне завантаження на комп'ютері ні означає, що комп'ютер ніколи не може завантажувати будь-яку іншу операційну систему. Насправді, власні вимоги Microsoft щодо сертифікації обладнання для Windows свідчать, що для не-ARM-систем, ви повинні мати можливість як вимкнути Secure Boot, так і змінити ключі (щоб дозволити іншим операційним системам). Про це пізніше.

Що робить безпечне завантаження?

По суті, це запобігає нападу зловмисного програмного забезпечення на комп'ютер через послідовність завантаження. Шкідливе програмне забезпечення, яке надходить через завантажувач, дуже важко виявити і зупинити, оскільки воно може проникнути на низькорівневі функції операційної системи, зберігаючи її невидимою для антивірусного програмного забезпечення. Все, що дійсно робить Secure Boot, це перевірка того, що завантажувач з надійного джерела, і що він не був підроблений. Подумайте про це, як спливаючі ковпачки на пляшках, які кажуть, що «не відкривайте, якщо кришка вискочила, або ущільнення було змінено».

На найвищому рівні захисту у вас є ключ платформи (PK). На будь-якій системі є тільки одна ПК, і вона встановлюється OEM під час виробництва. Цей ключ використовується для захисту бази даних KEK. База даних KEK містить ключі ключів обміну, які використовуються для зміни інших безпечних баз даних завантаження. Може бути декілька КЕК. Існує третій рівень: авторизована база даних (db) і заборонена база даних (dbx). Вони містять інформацію про автори сертифікатів, додаткові криптографічні ключі та зображення пристроїв UEFI, що дозволяють або блокують відповідно. Для того, щоб завантажувач був дозволений до запуску, він повинен бути підписаний криптографічним ключем є в дб і не в dbx.

^{Зображення з Windows 8: Захист середовища попередньої ОС за допомогою UEFI}

Як це працює на реальній системі Windows 8 Certified

ОЕМ генерує власну ПК, і Microsoft надає КЕК, що OEM повинен попередньо завантажувати в базу даних KEK. Потім Microsoft підписує завантажувач Windows 8 і використовує їхні KEK для розміщення цього підпису в авторизованій базі даних. Коли UEFI завантажує комп'ютер, він перевіряє ПК, перевіряє KEK Microsoft, а потім перевіряє завантажувач. Якщо все виглядає добре, то ОС може завантажитися.

^{Зображення з Windows 8: Захист середовища попередньої ОС за допомогою UEFI}

Звідки беруть участь операційні системи третьої сторони, такі як Linux?

По-перше, будь-який дистрибутив Linux може обрати генерування KEK і попросити OEM-виробників включити його до бази даних KEK за замовчуванням. Тоді вони мали б такий же великий контроль над процесом завантаження, як і Microsoft. Проблеми з цим, як пояснює Метью Гарретт від Fedora, полягають у тому, що: a) було б важко залучити кожного виробника комп'ютера до включення ключа Fedora, і б) було б несправедливо до інших дистрибутивів Linux, оскільки їх ключ не буде включений , оскільки менші дистрибуції не мають стільки партнерських партнерських відносин.

Те, що Fedora вирішила зробити (і інші дистрибутиви є наступними), це використання сервісів підписування Microsoft. Цей сценарій вимагає сплатити 99 доларів Verisign (сертифікат, який використовує корпорація Майкрософт) і надає розробникам можливість підписати свій завантажувач за допомогою KEK від Microsoft. Оскільки KEK корпорації Майкрософт вже буде в більшості комп'ютерів, це дозволяє їм підписати свій завантажувач, щоб використовувати Secure Boot, не вимагаючи власного KEK. Це закінчується тим, що більш сумісні з більшою кількістю комп'ютерів, і коштує менше загального, ніж робота зі створенням власної системи підпису ключів і розподілу. Є кілька деталей про те, як це буде працювати (за допомогою GRUB, підписаних модулів ядра та іншої технічної інформації) у вищезгаданому повідомленні блогу, який я рекомендую прочитати, якщо ви зацікавлені в цьому.

Припустимо, ви не хочете мати справу з клопотами щодо реєстрації в системі Microsoft, або не хочете платити $ 99, або просто мати напад на великі корпорації, які починаються з M. Існує ще один варіант, щоб використовувати Secure Boot і запускати ОС, окрім Windows. Сертифікація обладнання Microsoft вимагає що OEM-виробники дозволяють користувачам вводити свою систему в «користувальницький» режим UEFI, де вони можуть вручну модифікувати бази даних Secure Boot і PK. Система може бути введена в режим налаштування UEFI, де користувач може навіть вказати свій власний ПК і підписати сам завантажувач.

Крім того, власні вимоги до сертифікації корпорації Майкрософт змушують OEM-виробників включати метод відключення захищеного завантаження на системах без ARM. Ви можете вимкнути безпечне завантаження! Єдиними системами, де ви не можете відключити Secure Boot, є системи ARM під керуванням Windows RT, які більш подібні до iPad, де ви не можете завантажувати власні операційні системи. Хоча я бажаю, щоб можна було змінити ОС на пристрої ARM, справедливо сказати, що Microsoft слідує галузевим стандартам щодо планшетів тут.

Так що безпечна завантаження не є по суті зло?

Таким чином, як ви можете сподіватися, Secure Boot не є злим, і не обмежується лише використанням Windows. Причина того, що FSF та інші настільки засмучені тим, що він додає додаткові кроки до використання сторонньої операційної системи. Дистрибутиви Linux можуть не любити платити за використання ключа Microsoft, але це найпростіший і економічно ефективний спосіб отримати Secure Boot для Linux. На щастя, вимкнути безпечне завантаження легко, і можна додавати різні ключі, уникаючи необхідності мати справу з Microsoft.

Враховуючи кількість все більш розвинених шкідливих програм, Secure Boot здається розумною ідеєю. Це не означає, що це буде злий сюжет, щоб захопити весь світ, і це набагато менше страшно, ніж деякі експерти з вільного програмного забезпечення, у яких ви вірите.

Додаткове читання:

• Вимоги до сертифікації обладнання Microsoft
• Будівництво Windows 8: Захист середовища попередньої ОС за допомогою UEFI
• Презентація корпорації Майкрософт щодо розгортання системи безпеки та керування ключами
• Реалізація UEFI Secure Boot у Fedora
• Огляд TechNet Secure Boot
• Стаття Вікіпедії про UEFI

TL; DR: Безпечне завантаження запобігає інфікуванню зловмисного програмного забезпечення на низькому, невизначеному рівні під час завантаження. Кожен може створити необхідні ключі, щоб він працював, але важко переконати виробників комп'ютерів у поширенні ваш Ви можете обрати платню Verisign, щоб використовувати ключ Microsoft, щоб підписати завантажувачі та зробити їх робочими. Ви також можете вимкнути безпечне завантаження будь-який Комп'ютер не ARM.

Остання думка, що стосується кампанії FSF проти безпечного завантаження: деякі з їхніх проблем (тобто це робить це складніше для встановлення вільних операційних систем) до точки. Стверджуючи, що обмеження “заважатимуть будь-кому завантажувати що-небудь, окрім Windows”, це очевидно невірно, хоча з наведених вище причин. Агітація проти UEFI / Secure Boot як технології є недалекоглядною, дезінформованою і навряд чи буде ефективною. Більш важливо забезпечити, щоб виробники фактично дотримувалися вимог корпорації Майкрософт для того, щоб дозволити користувачам вимкнути безпечне завантаження або змінити ключі, якщо вони цього бажають.

Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.