Hjemmeside » hvordan » Hvis jeg kjøper en datamaskin med Windows 8 og Secure Boot, kan jeg fortsatt installere Linux?

    Hvis jeg kjøper en datamaskin med Windows 8 og Secure Boot, kan jeg fortsatt installere Linux?

    Det nye UEFI Secure Boot-systemet i Windows 8 har forårsaket mer enn sin rettferdige andel av forvirring, særlig blant dual booters. Les videre når vi rydder opp misforståelsene om dobbelt oppstart med Windows 8 og Linux.

    Dagens Spørsmål & Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrevet gruppering av Q & A-nettsteder.

    Spørsmålet

    SuperUser leser Harsha K er nysgjerrig på det nye UEFI-systemet. Han skriver:

    Jeg har hørt mye om hvordan Microsoft implementerer UEFI Secure Boot i Windows 8. Tilsynelatende forhindrer det at "uautoriserte" bootloaders kjører på datamaskinen for å forhindre skadelig programvare. Det er en kampanje fra Free Software Foundation mot sikker oppstart, og mange har nettopp sagt at det er en "power grip" av Microsoft for å "eliminere gratis operativsystemer".

    Hvis jeg får en datamaskin som har Windows 8 og Secure Boot forhåndsinstallert, vil jeg fortsatt kunne installere Linux (eller noe annet OS) senere? Eller jobber en datamaskin med Secure Boot bare noen gang med Windows?

    Så hva er avtalen? Er dual booters virkelig uheldig?

    Svaret

    SuperUser-bidragsyter Nathan Hinkle tilbyr en fantastisk oversikt over hva UEFI er og ikke er:

    Først av alt, det enkle svaret på spørsmålet ditt:

    • Hvis du har en ARM-tablett kjører Windows RT (som Surface RT eller Asus Vivo RT), da Du vil ikke kunne deaktivere sikker oppstart eller installere andre operativsystemer. Som mange andre ARM-tabletter vil disse enhetene bare Kjør operativsystemet de følger med.
    • Hvis du har en ikke-ARM-datamaskin kjører Windows 8 (som Surface Pro eller noen av de myriade ultrabooks, desktops og tabletter med en x86-64 prosessor), da Du kan deaktivere Secure Boot helt, eller du kan installere dine egne nøkler og signere din egen bootloader. Uansett, du kan installere et tredjeparts operativsystem som en Linux distro eller FreeBSD eller DOS eller hva du behager.

    Nå, videre til detaljene om hvordan denne hele Secure Boot-funksjonen egentlig virker: Det er mye feilinformasjon om Secure Boot, spesielt fra Free Software Foundation og lignende grupper. Dette har gjort det vanskelig å finne informasjon om hva Secure Boot faktisk gjør, så jeg vil prøve mitt beste for å forklare. Legg merke til at jeg ikke har noen personlig erfaring med å utvikle sikre oppstartssystemer eller noe sånt; Dette er bare det jeg har lært av å lese online.

    Først av alt, Secure Boot er ikke noe som Microsoft kom opp med. De er de første til å implementere det mye, men de fant ikke på det. Det er en del av UEFI-spesifikasjonen, som egentlig er en nyere erstatning for det gamle BIOS som du sannsynligvis pleide å. UEFI er i utgangspunktet programvaren som snakker mellom operativsystemet og maskinvaren. UEFI-standarder er opprettet av en gruppe kalt "UEFI Forum", som består av databehandlingsrepresentanter, inkludert Microsoft, Apple, Intel, AMD, og ​​en håndfull dataprodusenter..

    Andre viktigste punktet, å ha Secure Boot aktivert på en datamaskin gjør ikke mener at datamaskinen aldri kan starte opp et annet operativsystem. Faktisk oppgir Microsofts egen Windows-maskinvare sertifiseringskrav at for ikke-ARM-systemer må du både deaktivere sikker oppstart og endre tastene (for å tillate andre operativsystemer). Mer om det senere skjønt.

    Hva gjør Secure Boot?

    I hovedsak forhindrer det at skadelig programvare støter på datamaskinen din gjennom oppstartssekvensen. Malware som går gjennom oppstartslasteren, kan være svært vanskelig å oppdage og stoppe, fordi det kan infiltrere lavnivåfunksjoner i operativsystemet, slik at den blir usynlig for antivirusprogramvare. Alt som Secure Boot virkelig gjør, er det verifiserer at opplastingsprogrammet er fra en klarert kilde, og at den ikke har blitt manipulert. Tenk på det som popup-kappene på flasker som sier "ikke åpne hvis lokket er poppet opp eller tetningen har blitt manipulert med".

    På toppnivået av beskyttelse har du plattformstasten (PK). Det er bare ett PK på hvilket som helst system, og det er installert av OEM under produksjon. Denne nøkkelen brukes til å beskytte KEK-databasen. KEK-databasen inneholder nøkkelutvekslingstaster, som brukes til å modifisere de andre sikre oppstartsdatabaser. Det kan være flere KEKs. Det er da et tredje nivå: Den autoriserte databasen (db) og den forbudte databasen (dbx). Disse inneholder informasjon om sertifikatmyndigheter, ekstra kryptografiske nøkler og UEFI-enhetsbilder for å tillate eller blokkere, henholdsvis. For at en bootloader skal ha lov til å kjøre, må den bli kryptografisk signert med en nøkkel som er i db og er ikke i dbx.

    Bilde fra Building Windows 8: Beskyttelse av pre-OS-miljøet med UEFI

    Slik fungerer dette på et ekte Windows 8-sertifisert system

    OEM genererer sin egen PK, og Microsoft gir en KEK at OEM er pålagt å forhåndsinnlasting i KEK-databasen. Microsoft signerer deretter Windows 8 Bootloader, og bruker KEK til å sette denne signaturen i den autoriserte databasen. Når UEFI støtter datamaskinen, verifiserer den PK, verifiserer Microsofts KEK, og verifiserer deretter opplastingsprogrammet. Hvis alt ser bra ut, kan operativsystemet starte.


    Bilde fra Building Windows 8: Beskyttelse av pre-OS-miljøet med UEFI

    Hvor kommer tredjeparts operativsystemer, som Linux, inn?

    For det første kan enhver Linux distro velge å generere en KEK og spør OEMer å inkludere den i KEK-databasen som standard. De ville da ha så mye kontroll over oppstartsprosessen som Microsoft gjør. Problemene med dette, som forklart av Fedora's Matthew Garrett, er at a) det ville være vanskelig å få alle PC-produsenter til å inkludere Fedora-nøkkelen, og b) det ville være urettferdig mot andre Linux-distroer fordi deres nøkkel ikke ville bli inkludert , siden mindre distroer ikke har så mange OEM-partnerskap.

    Hva Fedora har valgt å gjøre (og andre distroer følger etter farge) er å bruke Microsofts signeringstjenester. Dette scenariet krever at du betaler $ 99 til Verisign (sertifikatmyndigheten som Microsoft bruker), og gir utviklere muligheten til å signere sin opplastingsprogramvare ved hjelp av Microsofts KEK. Siden Microsofts KEK allerede finnes i de fleste datamaskiner, gjør dette det mulig for dem å signere oppstartslederen for å bruke Secure Boot, uten å kreve sin egen KEK. Det ender med å være mer kompatibel med flere datamaskiner, og koster mindre samlet enn å håndtere å sette opp sitt eget viktige signerings- og distribusjonssystem. Det er noen flere detaljer om hvordan dette vil fungere (ved hjelp av GRUB, signerte Kernel-moduler og annen teknisk info) i det nevnte blogginnlegget, som jeg anbefaler å lese om du er interessert i denne typen ting.

    Anta at du ikke vil takle bryet med å registrere deg for Microsofts system, eller ikke vil betale $ 99, eller bare ha et motvilje mot store selskaper som starter med en M. Det er et annet alternativ å fortsatt bruke Secure Boot og kjør et annet operativsystem enn Windows. Microsofts maskinvare sertifisering krever at OEM-ene lar brukerne legge inn systemet i UEFI "Custom" -modus, der de kan manuelt endre Secure Boot-databasene og PK. Systemet kan settes inn i UEFI Setup Mode, hvor brukeren selv kunne spesifisere sin egen PK, og signere opplastingsprogrammer selv.

    Videre krever Microsofts egne sertifiseringskrav at OEMer må inkludere en metode for å deaktivere Secure Boot på ikke-ARM-systemer. Du kan slå Sikkert oppstart av! De eneste systemene der du ikke kan deaktivere Secure Boot, er ARM-systemer som kjører Windows RT, som fungerer mer på samme måte som iPad, hvor du ikke kan laste tilpassede OSer. Selv om jeg ønsker at det ville være mulig å endre operativsystemet på ARM-enheter, er det rettferdig å si at Microsoft følger industristandarden med hensyn til tabletter her.

    Så sikker oppstart er ikke iboende ond?

    Så som du forhåpentligvis kan se, er Sikker Boot ikke ond, og er ikke begrenset bare til bruk med Windows. Grunnen til at FSF og andre er så opprørt over det, er fordi det legger til ekstra skritt for å bruke et tredjeparts operativsystem. Linux distros kan ikke like å betale for å bruke Microsofts nøkkel, men det er den enkleste og mest kostnadseffektive måten å få Secure Boot på for Linux. Heldigvis er det enkelt å slå Secure Boot av, og mulig å legge til forskjellige nøkler, og dermed unngå behovet for å håndtere Microsoft.

    Gitt mengden av stadig mer avansert malware, virker Secure Boot som en rimelig ide. Det er ikke ment å være et ondt plott å ta over hele verden, og det er mye mindre skummelt enn noen frie software pundits vil ha deg til å tro.

    Ekstra lesing:

    • Microsoft-maskinvare sertifiseringskrav
    • Bygg Windows 8: Beskytt pre-OS-miljøet med UEFI
    • Microsoft presentasjon om sikker oppstart og sikkerhetsoppdatering
    • Implementere UEFI Secure Boot i Fedora
    • TechNet Sikker Boot Oversikt
    • Wikipedia artikkel om UEFI

    TL; DR: Sikker oppstart forhindrer at skadelig programvare infiserer systemet ditt på et lavt, uoppdagbart nivå under oppstart. Hvem som helst kan lage de nødvendige nøklene for å få det til å fungere, men det er vanskelig å overbevise dataprodusenter om å distribuere din nøkkelen til alle, så du kan alternativt velge å betale Verisign for å bruke Microsofts nøkkel til å signere bootloaders og få dem til å fungere. Du kan også deaktivere sikker oppstart på noen ikke-ARM-datamaskin.

    Sist tenkt, med hensyn til FSFs kampanje mot Sikker oppstart: Noen av deres bekymringer (det vil si det gjør det hardere å installere gratis operativsystemer) er gyldige til et punkt. Å si at restriksjonene vil "hindre at noen starter fra annet enn Windows", er beviselig falsk skjønt, av de grunner som er illustrert ovenfor. Kampanjer mot UEFI / Secure Boot som teknologi er kortsynt, misinformert og usannsynlig å være effektiv uansett. Det er viktigere å sikre at produsenter faktisk følger Microsofts krav til at brukerne deaktiverer Secure Boot, eller endrer nøklene hvis de ønsker det.


    Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.