Ако купим компјутер са Виндовс 8 и Сецуре Боот могу ли још увек инсталирати Линук?

Нови УЕФИ Сецуре Боот систем у Виндовсу 8 изазвао је више од своје забуне, посебно међу дуал боотерсима. Читајте даље док разјашњавамо заблуде о двоструком дизању са оперативним системима Виндовс 8 и Линук.

Данашња сесија питања и одговора долази нам захваљујући СуперУсер-у - подјела Стацк Екцханге-а, груписане од стране заједнице веб-локација за питања и одговоре.

Питање

Читач СуперУсер Харсха К је заинтересован за нови УЕФИ систем. Пише:

Чуо сам много о томе како Мицрософт имплементира УЕФИ Сецуре Боот у Виндовс 8. Очигледно то спречава да се неовлашћени боотлоадери покрену на рачунару, како би спречили малваре. Постоји кампања Фрее Софтваре Фоундатион-а против сигурног покретања система, и многи људи су рекли да је Мицрософт “моћан” да “елиминише слободне оперативне системе”.

Ако добијем рачунар који је претходно инсталиран на Виндовс 8 и Сецуре Боот, да ли ћу и даље моћи да инсталирам Линук (или неки други ОС) касније? Или рачунар са Сецуре Боотом ради само са Виндовс-ом?

Шта је онда договор? Да ли су двоструки боотери стварно без среће?

Одговор

Сурадник СуперУсер-а Натхан Хинкле нуди фантастичан преглед онога што је УЕФИ и није:

Пре свега, једноставан одговор на ваше питање:

• Ако имате АРМ таблету затим покрећем Виндовс РТ (као што је Сурфаце РТ или Асус Виво РТ) нећете моћи да онемогућите безбедно покретање или инсталирате друге оперативне системе. Као и многе друге АРМ таблете, ови уређаји ће само покрените оперативни систем који долазе.
• Ако имате рачунар који није АРМ Виндовс 8 (као што је Сурфаце Про или неколицина ултрабоок, десктоп и таблет рачунара са процесором к86-64), можете потпуно онемогућити Сецуре Боот, или можете инсталирати властите кључеве и потписати властити боотлоадер. У сваком случају, можете инсталирати ОС треће стране као Линук дистро или ФрееБСД или ДОС или шта год вам се свиђа.

Сада, на детаље о томе како ова цела ствар о Сецуре Боот-у заиста функционише: Постоји много дезинформација о Сецуре Боот-у, посебно из Фрее Софтваре Фоундатион и сличних група. Ово је отежало проналажење информација о томе шта Сецуре Боот заиста ради, па ћу покушати да објасним. Имајте на уму да немам лично искуство у развоју безбедних система за покретање или било чега сличног; ово је управо оно што сам научио из онлине читања.

Најпре, Сецуре Боот је не нешто што је Мицрософт изнио. Они су први који су је увелико применили, али га нису измислили. То је део УЕФИ спецификације, која је у суштини новија замена за стари БИОС на који сте вероватно навикли. УЕФИ је у основи софтвер који разговара између оперативног система и хардвера. УЕФИ стандарде креира група под називом “УЕФИ Форум”, коју чине представници рачунарске индустрије, укључујући Мицрософт, Аппле, Интел, АМД и неколико произвођача рачунара..

Друга најважнија тачка, ако је на рачунару омогућен Сецуре Боот не значи да рачунар никада не може покренути било који други оперативни систем. Заправо, Мицрософтови захтеви за цертификацију хардвера за Виндовс наводе да за не-АРМ системе морате бити у стању и да онемогућите Сецуре Боот и да промените тастере (да бисте омогућили друге оперативне системе). Више о томе касније.

Шта ради Сецуре Боот?

У суштини, спречава малициозни софтвер да нападне ваш рачунар помоћу секвенце за покретање система. Малвер који улази кроз боотлоадер може бити веома тешко детектовати и зауставити, јер може инфилтрирати функције ниског нивоа оперативног система, чувајући га невидљивим за антивирусни софтвер. Све што Сецуре Боот заиста ради је да верификује да је боотлоадер из поузданог извора, и да није био неовлашћен. Размислите о томе као о капсулама на бочицама које кажу да "не отварајте ако се поклопац искочи или ако је печат промијењен".

На највишем нивоу заштите, имате кључ платформе (ПК). На сваком систему постоји само једна ПК и она је инсталирана од стране ОЕМ током производње. Овај кључ се користи за заштиту базе података КЕК-а. КЕК база података садржи Кеи Екцханге Кеис, који се користи за модификацију других сигурних база података. Може бити више КЕК-ова. Постоји трећи ниво: ауторизована база података (дб) и забрањена база података (дбк). Оне садрже информације о ауторитетима сертификата, додатним криптографским кључевима и сликама УЕФИ уређаја које је потребно омогућити или блокирати. Да би се боотлоадеру дозволило да ради, он мора бити криптографски потписан кључем је у дб, и није у дбк.

^{Слика из зграде Виндовс 8: Заштита окружења пре-ОС помоћу УЕФИ}

Како то функционише на систему Виндовс 8 Цертифиед

ОЕМ производи сопствену ПК, а Мицрософт обезбеђује КЕК-у да је ОЕМ обавезан да унапред учита КЕК базу података. Мицрософт затим потписује Виндовс 8 Боотлоадер и користи њихов КЕК за стављање потписа у овлашћену базу података. Када УЕФИ покрене рачунар, он проверава ПК, верификује Мицрософтов КЕК, а затим проверава боотлоадер. Ако све изгледа добро, онда се ОС може покренути.

^{Слика из зграде Виндовс 8: Заштита окружења пре-ОС помоћу УЕФИ}

Где долазе оперативни системи трећих страна, као што је Линук?

Прво, било који Линук дистро може изабрати генерирање КЕК-а и тражити од ОЕМ-а да га укључи у КЕК базу података по дефаулту. Тада би имали контролу над процесом подизања како то ради Мицрософт. Проблеми са овим, како објашњава Федоров Маттхев Гарретт, су: а) да би било тешко добити сваког произвођача рачунара да укључи Федорин кључ, иб) било би неправедно према другим Линук дистросима, јер њихов кључ не би био укључен , будући да мањи дистро ни немају толико ОЕМ партнерства.

Оно што је Федора одлучила да уради (и други дистроси следе) је да користи Мицрософтове услуге потписивања. Овај сценарио захтева да се Верисигну плати 99 долара (служба за сертификацију коју Мицрософт користи) и да програмерима омогући да потпишу свој боотлоадер користећи Мицрософтов КЕК. Пошто ће КЕК компаније Мицрософт већ бити у већини рачунара, то им омогућава да потпишу свој боотлоадер да користе Сецуре Боот, без потребе за сопственим КЕК-ом. На крају, он је компатибилнији са више компјутера и кошта мање него што се бави постављањем сопственог система за потписивање и дистрибуцију кључева. Постоји неколико детаља о томе како ће то функционисати (помоћу ГРУБ-а, потписаних кернел модула и других техничких информација) у поменутом посту на блогу, који препоручујем читање ако сте заинтересовани за ову врсту ствари.

Претпоставимо да не желите да се бавите проблемом пријављивања за Мицрософтов систем, или не желите да платите $ 99, или само да имате незадовољство против великих корпорација које почињу са М. Постоји још једна опција да се још увек користи Сецуре Боот и покренути ОС који није Виндовс. Мицрософтова цертификација хардвера захтева да ОЕМ-ови допуштају корисницима да унесу свој систем у УЕФИ “прилагођени” режим, где могу ручно да мењају Сецуре Боот базе података и ПК. Систем може бити стављен у УЕФИ Сетуп Моде, где корисник може чак да одреди сопствену ПК и да сам упише боотлоадере.

Штавише, Мицрософтови захтеви за сертификацију обавезују ОЕМ-ове да укључе методу за онемогућавање безбедног покретања на не-АРМ системима. Можете искључити Сецуре Боот! Једини системи у којима не можете да онемогућите Сецуре Боот су АРМ системи који покрећу Виндовс РТ, који функционишу сличније иПад-у, где не можете учитати прилагођене оперативне системе. Иако желим да је могуће промијенити ОС на АРМ уређајима, може се рећи да Мицрософт слиједи индустријски стандард у вези таблета овдје.

Тако сигурна боот није инхерентно зло?

Као што се надамо да ћете видети, Сецуре Боот није зло и није ограничен само на коришћење са Виндовс-ом. Разлог због којег су ФСФ и остали толико узнемирени је то што додаје додатне кораке коришћењу оперативног система треће стране. Линук дистрибуције можда не воле да плаћају за коришћење Мицрософтовог кључа, али то је најлакши и најисплативији начин да добијете Сецуре Боот који ради за Линук. На срећу, лако је искључити Сецуре Боот и омогућити додавање различитих кључева, чиме се избегава потреба да се ради са Мицрософтом.

С обзиром на количину све напреднијег малваре-а, Сецуре Боот изгледа као разумна идеја. Није замишљено да буде зли заплет да се преузме свет, и много је мање застрашујуће него што неки слободни софтверски стручњаци имају да верујете.

Додатно читање:

• Захтеви за сертификацију Мицрософт хардвера
• Изградња оперативног система Виндовс 8: Заштита окружења пре ОС-а помоћу УЕФИ-ја
• Мицрософтова презентација о примени безбедног покретања и управљања кључевима
• Имплементација УЕФИ Сецуре Боот-а у Федора-и
• ТецхНет Сецуре Боот Овервиев
• Википедиа чланак о УЕФИ-ју

ТЛ; ДР: Сигурно покретање спречава да малваре зарази ваш систем на ниском, неприметном нивоу током покретања. Свако може да креира неопходне кључеве да би могао да функционише, али тешко је убедити произвођаче рачунара да дистрибуирају иоур кључ за свакога, тако да можете алтернативно да платите Верисигн-у да користи Мицрософтов кључ за потписивање ваших боотлоадера и да раде. Такође можете да онемогућите безбедно покретање система било који не-АРМ компјутер.

Последња мисао, у вези са кампањом ФСФ-а против Сецуре Боот-а: Неке од њихових брига (тј. Она то чини теже да бисте инсталирали бесплатне оперативне системе) до тачке. Рекавши да ће ограничења "спречити било кога да подигне било шта осим Виндовса", очигледно је погрешно, из разлога који су горе наведени. Кампања против УЕФИ / Сецуре Боот као технологије је кратковидна, погрешно информисана и мало је вероватно да ће бити ефикасна. Важније је осигурати да произвођачи заиста поштују Мицрософтове захтјеве за омогућавање корисницима да онемогуће Сецуре Боот или промијене кључеве ако то желе.

Имате ли нешто да додате објашњењу? Звучи у коментарима. Желите ли прочитати више одговора од других технолошки паметних Стацк Екцханге корисника? Погледајте цео дискусију овде.