Pagrindinis » kaip » Jei aš nusipirksiu kompiuterį su „Windows 8“ ir „Secure Boot“ galiu įdiegti „Linux“?

    Jei aš nusipirksiu kompiuterį su „Windows 8“ ir „Secure Boot“ galiu įdiegti „Linux“?

    Nauja „UEFI Secure Boot“ sistema, sukurta „Windows 8“, sukėlė daugiau nei sąžiningą sumaištį, ypač tarp dvigubų įkroviklių. Skaitykite, nes išsiaiškiname klaidingus dvigubos paleidimo su „Windows 8“ ir „Linux“ vaizdus.

    Šiandienos „Klausimų ir atsakymų“ sesija mums suteikiama pagal „SuperUser“ - „Stack Exchange“ padalinį, bendruomenės sukurtą „Q&A“ svetainių grupavimą.

    Klausimas

    „SuperUser“ skaitytuvas „Harsha K“ smalsu apie naująją UEFI sistemą. Jis rašo:

    Girdėjau daug apie tai, kaip „Microsoft“ diegia „UEFI Secure Boot“ operacinėje sistemoje „Windows 8“. Matyt, tai neleidžia „neleistiniems“ įkrovos kompiuteriams paleisti kompiuteryje, kad būtų užkirstas kelias kenkėjiškoms programoms. Laisvosios programinės įrangos fondo kampanija yra nukreipta prieš saugų įkrovą, ir daugelis žmonių sako, kad „„ Microsoft “„ galios patraukimas “„ pašalinti laisvas operacines sistemas “.

    Jei iš anksto įdiegtas kompiuteris, kuriame įdiegta „Windows 8“ ir „Secure Boot“, ar vėliau galėsiu įdiegti „Linux“ (ar kitą OS)? Arba kompiuteris su „Secure Boot“ veikia tik su „Windows“?

    Taigi, kas yra sandoris? Ar dvigubi įkrovikliai tikrai pasisekė?

    Atsakymas

    „SuperUser“ autorius Nathan Hinkle siūlo fantastišką UEFI apžvalgą ir nėra:

    Visų pirma, paprastas atsakymas į jūsų klausimą:

    • Jei turite ARM tabletę tada veikia „Windows RT“ (pvz., „Surface RT“ arba „Asus Vivo RT“) negalėsite išjungti „Secure Boot“ arba neįdiegti kitų OS. Kaip ir daugelis kitų ARM tablečių, šie prietaisai bus tik paleiskite OS, su kuria jie yra.
    • Jei turite ne ARM kompiuterį „Windows 8“ (pvz., „Surface Pro“ ar bet kuri iš daugybės ultrabooks, stalinių kompiuterių ir tablečių su x86-64 procesoriumi), tada galite visiškai išjungti saugų įkrovą, arba galite įdiegti savo raktus ir pasirašyti savo „bootloader“. Bet kuriuo budu, galite įdiegti trečiosios šalies operacinę sistemą kaip Linux distro arba FreeBSD arba DOS arba bet kas jums patinka.

    Dabar, apie tai, kaip šis saugus įkrovos dalykas iš tikrųjų veikia: išsami informacija apie saugų įkrovą, ypač iš Free Software Foundation ir panašių grupių, yra daug. Dėl to sunku rasti informacijos apie tai, ką „Secure Boot“ iš tikrųjų daro, todėl aš stengsiuosi paaiškinti. Atkreipkite dėmesį, kad neturiu asmeninės patirties kuriant saugias įkrovimo sistemas ar panašius dalykus; tai yra tik tai, ką sužinojau skaitant internete.

    Pirmiausia, „Secure Boot“ yra saugus ne kažkas, ką „Microsoft“ pateikė. Jie yra pirmieji, kurie plačiai ją įgyvendina, tačiau jie jų neišrado. Tai yra UEFI specifikacijos dalis, kuri iš esmės yra naujesnė senų BIOS, kurią anksčiau naudojote, pakaitalas. „UEFI“ iš esmės yra programinė įranga, kuri kalba tarp OS ir aparatinės įrangos. UEFI standartus sukuria grupė „UEFI Forum“, kurią sudaro kompiuterių pramonės atstovai, įskaitant „Microsoft“, „Apple“, „Intel“, „AMD“ ir keli kompiuterių gamintojai..

    Antras svarbiausias dalykas, turintys saugų įkrovą kompiuteryje ne reiškia, kad kompiuteris niekada negali paleisti jokios kitos operacinės sistemos. Iš tikrųjų „Microsoft“ „Windows“ techninės įrangos sertifikavimo reikalavimai nurodo, kad ne ARM sistemoms turite turėti galimybę išjungti „Secure Boot“ ir pakeisti raktus (kad būtų galima naudoti kitas OS). Dar daugiau apie tai vėliau.

    Ką daro „Secure Boot“?

    Iš esmės tai neleidžia kenkėjiškoms programoms atakuoti kompiuterį per įkrovos seką. Kenkėjišką programinę įrangą, kuri patenka į „bootloader“, gali būti labai sunku aptikti ir sustabdyti, nes ji gali įsiskverbti į žemo lygio operacinės sistemos funkcijas, nes antivirusinei programinei įrangai ji nepastebima. Visa tai „Secure Boot“ tikrai tikrina, ar įkrovos paleidėjas yra iš patikimo šaltinio ir kad jis nebuvo sugadintas. Pagalvokite apie tai, kaip pop-up dangteliai buteliuose, kuriuose sakoma: „neatidarykite, jei dangtis užsidarė arba antspaudas buvo sugadintas“.

    Aukščiausiu apsaugos lygiu turite platformos raktą (PK). Bet kurioje sistemoje yra tik vienas PK, o gamintojas ją įdiegia gamybos metu. Šis raktas naudojamas KEK duomenų bazei apsaugoti. KEK duomenų bazėje yra raktų mainų raktai, kurie naudojami kitoms saugioms įkrovos duomenų bazėms modifikuoti. Gali būti keli KEK. Tada yra trečiasis lygis: autorizuota duomenų bazė (db) ir draudžiama duomenų bazė (dbx). Juose pateikiama informacija apie sertifikavimo institucijas, papildomus kriptografinius raktus ir leistinus arba blokuojamus UEFI įrenginio vaizdus. Kad paleisti įkroviklį būtų galima paleisti, jis turi būti pasirašytas kriptografiškai su raktu yra į db ir nėra į DBX.

    Vaizdas iš „Windows 8“ pastato: išankstinės OS aplinkos apsauga su „UEFI“

    Kaip tai veikia realiame „Windows 8“ sertifikuotoje sistemoje

    OEM generuoja savo PK, o „Microsoft“ pateikia KEK, kurią OEM privalo iš anksto įkelti į KEK duomenų bazę. Tada „Microsoft“ pasirašo „Windows 8 Bootloader“ ir naudoja savo KEK šį parašą Įgaliotoje duomenų bazėje. Kai „UEFI“ paleidžia kompiuterį, jis patikrina PK, patikrina „Microsoft“ KEK ir patikrina įkrovos paleidiklį. Jei viskas atrodo gerai, OS gali paleisti.


    Vaizdas iš „Windows 8“ pastato: išankstinės OS aplinkos apsauga su „UEFI“

    Kur įeina trečiųjų šalių OS, pvz., „Linux“?

    Pirma, bet kuris „Linux“ dislokavimas galėtų pasirinkti KEK generavimą ir paprašyti originalių gamintojų įtraukti jį į KEK duomenų bazę pagal nutylėjimą. Tada jie turėtų kiek daugiau kontroliuoti įkrovos procesą, kaip ir „Microsoft“. Su tuo susijusios problemos, kaip paaiškino Fedoros Matthew Garrett, yra tai, kad a) būtų sunku kiekvienam kompiuterio gamintojui įtraukti „Fedora“ raktą, ir b) tai būtų nesąžininga kitiems „Linux“ adresams, nes jų raktas nebūtų įtrauktas į , nes mažesni „distros“ neturi daug OEM partnerių.

    „Fedora“ nusprendė daryti „Microsoft“ pasirašymo paslaugas. Šiam scenarijui reikia sumokėti $ 99 Verisign (sertifikavimo institucija, kurią naudoja Microsoft), ir suteikia kūrėjams galimybę pasirašyti savo įkrovos programą naudodamas „Microsoft“ KEK. Kadangi „Microsoft“ KEK jau bus daugelyje kompiuterių, tai leidžia pasirašyti savo įkrovos programą, kad galėtų naudoti „Secure Boot“, nereikalaujant savo KEK. Jis tampa labiau suderinamas su daugiau kompiuterių ir kainuoja mažiau bendrai nei sprendžiant savo raktų pasirašymo ir platinimo sistemos sukūrimą. Daugiau informacijos apie tai, kaip tai veiks (naudojant GRUB, pasirašytus branduolio modulius ir kitą techninę informaciją) pirmiau minėtame dienoraštyje, kurį rekomenduoju skaityti, jei domitės tokiu dalyku.

    Tarkime, jūs nenorite susidoroti su „Microsoft“ sistemos registravimu, ar nenorite mokėti 99 JAV dolerių, ar tiesiog pasipriešinti didelėms korporacijoms, kurios pradeda veikti „M“. Yra dar viena galimybė naudoti „Secure Boot“ ir paleiskite kitą operacinę sistemą nei „Windows“. „Microsoft“ aparatinės įrangos sertifikavimas reikalauja kad originalūs gamintojai leistų vartotojams įvesti savo sistemą į „UEFI“ „individualų“ režimą, kur jie gali rankiniu būdu keisti „Secure Boot“ duomenų bazes ir PK. Sistema gali būti perkelta į UEFI sąrankos režimą, kur vartotojas gali net nurodyti savo PK ir pasirašyti pačių įkrovos įrenginių.

    Be to, „Microsoft“ sertifikavimo reikalavimai reikalauja, kad originalios įrangos gamintojai įtrauktų metodą, kuriuo būtų galima išjungti saugų įkrovą ne ARM sistemose. Galite išjungti saugų įkrovą! Vienintelės sistemos, kuriose negalite išjungti „Secure Boot“, yra „ARM“ sistemos, kuriose veikia „Windows RT“, kurios veikia panašiau kaip „iPad“, kur negalite įkelti individualių OS. Nors norėčiau, kad būtų galima pakeisti OS ARM įrenginiuose, teisinga pasakyti, kad „Microsoft“ laikosi pramonės standarto, susijusio su tabletėmis čia.

    Taigi saugi bagažinė nėra savaime bloga?

    Taigi, kaip galite tikėtis, saugus įkrovimas nėra blogas, o ne tik „Windows“. Priežastis, kodėl FSF ir kiti yra tokie nusiminę dėl to, yra tai, kad ji prideda papildomų veiksmų trečiųjų šalių operacinės sistemos naudojimui. Linux „distros“ gali nepatikti mokėti naudoti „Microsoft“ raktą, tačiau tai yra paprasčiausias ir ekonomiškiausias būdas „Secure Boot“ dirbti Linux. Laimei, „Secure Boot“ yra lengva išjungti ir galima pridėti skirtingus raktus, taip išvengiant poreikio susidoroti su „Microsoft“.

    Atsižvelgiant į vis labiau pažangių kenkėjiškų programų kiekį, „Secure Boot“ atrodo kaip protinga idėja. Tai nereiškia, kad bus blogas sklypas perimti pasaulį, ir yra daug mažiau baisu nei kai kurie nemokami programinės įrangos kūrėjai bus tikėti.

    Papildomas skaitymas:

    • „Microsoft“ techninės įrangos sertifikavimo reikalavimai
    • „Windows 8“ kūrimas: prieš OS operacinės sistemos apsaugą su „UEFI“
    • „Microsoft“ pristatymas apie „Secure Boot“ diegimą ir raktų valdymą
    • „UEFI Secure Boot“ diegimas „Fedora“
    • „TechNet Secure Boot“ apžvalga
    • Wikipedia straipsnis apie UEFI

    TL; DR: Saugi įkrovos programa neleidžia kenkėjiškų programų užkrėsti jūsų sistemai mažu, neaptinkamu paleidimo metu. Kiekvienas gali sukurti reikiamus raktus, kad jis veiktų, tačiau sunku įtikinti kompiuterių kūrėjus platinti tavo raktas visiems, taigi galite pasirinkti „Verisign“ mokėti naudoti „Microsoft“ raktą, kad pasirašytumėte „bootloaders“ ir kad jie veiktų. Taip pat galite išjungti saugų įkrovą bet ne ARM kompiuteris.

    Paskutinė mintis, susijusi su FSF kampanija prieš „saugų įkrovą“: kai kurios jų problemos (t. Y. Tai daro jį) sunkiau įdiegti nemokamas operacines sistemas) iki taško. Sakydamas, kad apribojimai „neleis kam nors paleisti nieko, bet„ Windows “, yra akivaizdžiai klaidinga, dėl pirmiau nurodytų priežasčių. Kampanijos prieš „UEFI / Secure Boot“ kaip technologija yra trumparegiškos, neteisingai informuotos ir, tikėtina, nebus veiksmingos. Svarbu užtikrinti, kad gamintojai iš tikrųjų laikytųsi „Microsoft“ reikalavimų, leidžiančių vartotojams išjungti „Secure Boot“ arba pakeisti raktus, jei jie to nori.


    Ar ką nors papildyti paaiškinimu? Garsas išjungtas komentaruose. Norite perskaityti daugiau atsakymų iš kitų „tech-savvy Stack Exchange“ vartotojų? Čia rasite visą diskusijų temą.