Se acquisto un computer con Windows 8 e avvio protetto posso installare ancora Linux?
Il nuovo sistema UEFI Secure Boot in Windows 8 ha causato più della sua giusta dose di confusione, soprattutto tra i dual booter. Continua a leggere mentre chiariamo i malintesi sul dual boot con Windows 8 e Linux.
La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di siti Web di domande e risposte basato sulla comunità.
La domanda
Lettore SuperUser Harsha K è curioso del nuovo sistema UEFI. Lui scrive:
Ho sentito molto su come Microsoft sta implementando Secure Boot UEFI in Windows 8. Apparentemente impedisce ai bootloader "non autorizzati" di funzionare sul computer, per prevenire il malware. C'è una campagna della Free Software Foundation contro l'avvio sicuro, e un sacco di persone hanno detto online che è un "potere afferrare" di Microsoft per "eliminare i sistemi operativi liberi".
Se avrò un computer con Windows 8 e Secure Boot preinstallati, sarò ancora in grado di installare Linux (o qualche altro SO) in seguito? Oppure un computer con Secure Boot funziona sempre solo con Windows?
Allora, qual è l'accordo? I dual booter sono davvero sfortunati?
La risposta
Il collaboratore di SuperUser Nathan Hinkle offre una fantastica panoramica di ciò che UEFI è e non è:
Prima di tutto, la semplice risposta alla tua domanda:
- Se hai un tablet ARM in esecuzione Windows RT (come Surface RT o Asus Vivo RT), quindi non sarà possibile disabilitare Secure Boot o installare altri SO. Come molti altri tablet ARM, questi dispositivi lo faranno solo eseguire il sistema operativo che vengono con.
- Se hai un computer non-ARM con Windows 8 (come Surface Pro o una miriade di ultrabooks, desktop e tablet con un processore x86-64), quindi puoi disabilitare completamente Secure Boot, oppure puoi installare le tue chiavi e firmare il tuo bootloader. In entrambi i casi, puoi installare un SO di terze parti come una distribuzione Linux o FreeBSD o DOS o qualsiasi altra cosa ti piace.
Ora, sui dettagli di come funziona questa intera cosa del Secure Boot: C'è molta disinformazione su Secure Boot, specialmente dalla Free Software Foundation e gruppi simili. Ciò ha reso difficile trovare informazioni su ciò che Secure Boot effettivamente fa, quindi farò del mio meglio per spiegare. Nota che non ho esperienza personale con lo sviluppo di sistemi di avvio sicuri o qualcosa del genere; questo è proprio quello che ho imparato leggendo online.
Prima di tutto, L'avvio sicuro è non qualcosa che Microsoft ha inventato. Sono i primi a implementarlo ampiamente, ma non l'hanno inventato. Fa parte delle specifiche UEFI, che è fondamentalmente una sostituzione più recente per il vecchio BIOS a cui probabilmente sei abituato. UEFI è fondamentalmente il software che parla tra il sistema operativo e l'hardware. Gli standard UEFI sono creati da un gruppo chiamato "Forum UEFI", composto da rappresentanti del settore informatico tra cui Microsoft, Apple, Intel, AMD e una manciata di produttori di computer.
Secondo punto più importante, avere Avvio protetto abilitato su un computer non significa che il computer non può mai avviare nessun altro sistema operativo. In effetti, i requisiti di certificazione hardware di Windows di Microsoft affermano che per i sistemi non ARM, è necessario poter disabilitare Secure Boot e modificare le chiavi (per consentire altri SO). Ancora su questo più tardi però.
Cosa fa Secure Boot?
In sostanza, impedisce al malware di attaccare il tuo computer attraverso la sequenza di avvio. Il malware che entra attraverso il bootloader può essere molto difficile da rilevare e interrompere, perché può infiltrarsi nelle funzioni di basso livello del sistema operativo, mantenendolo invisibile ai software antivirus. Tutto quello che Secure Boot fa davvero è che verifica che il bootloader provenga da una fonte attendibile e che non sia stato manomesso. Pensalo come i tappi a scomparsa sui flaconi che dicono "non aprire se il coperchio è spuntato o il sigillo è stato manomesso".
Al livello più alto di protezione, hai la chiave di piattaforma (PK). Esiste solo un PK su qualsiasi sistema e viene installato dall'OEM durante la produzione. Questa chiave è utilizzata per proteggere il database KEK. Il database KEK contiene chiavi Key Exchange, che vengono utilizzate per modificare gli altri database di avvio protetti. Possono esserci più KEK. Esiste quindi un terzo livello: il database autorizzato (db) e il database di dati vietati (dbx). Questi contengono informazioni su Autorità di certificazione, chiavi crittografiche aggiuntive e immagini di dispositivi UEFI da consentire o bloccare, rispettivamente. Affinché un bootloader possa essere autorizzato a funzionare, deve essere firmato crittograficamente con una chiave è nel db, e non è nel dbx.
Immagine da Building Windows 8: protezione dell'ambiente pre-OS con UEFI
Come funziona su un sistema Windows 8 certificato reale
L'OEM genera il proprio PK e Microsoft fornisce un KEK che l'OEM è tenuto a precaricare nel database KEK. Microsoft firma quindi il Bootloader di Windows 8 e utilizza KEK per inserire questa firma nel database autorizzato. Quando UEFI avvia il computer, verifica il PK, verifica il KEK di Microsoft, quindi verifica il bootloader. Se tutto sembra a posto, il sistema operativo può essere avviato.
Immagine da Building Windows 8: protezione dell'ambiente pre-OS con UEFIDove entrano i sistemi operativi di terze parti, come Linux?
In primo luogo, qualsiasi distro Linux potrebbe scegliere di generare un KEK e chiedere agli OEM di includerlo nel database KEK per impostazione predefinita. Avrebbero quindi tutto il controllo sul processo di avvio come fa Microsoft. I problemi con questo, come spiegato da Matthew Garrett di Fedora, sono che a) sarebbe difficile ottenere che ogni produttore di PC includesse la chiave di Fedora, e b) sarebbe ingiusto con altre distribuzioni Linux, perché la loro chiave non sarebbe inclusa , poiché le distribuzioni più piccole non hanno il numero di partnership OEM.
Ciò che Fedora ha scelto di fare (e altre distro seguono l'esempio) è usare i servizi di firma di Microsoft. Questo scenario richiede il pagamento di $ 99 a Verisign (l'autorità di certificazione utilizzata da Microsoft) e garantisce agli sviluppatori la possibilità di firmare il proprio bootloader utilizzando il KEK di Microsoft. Dato che il KEK di Microsoft sarà già presente nella maggior parte dei computer, ciò consente loro di firmare il proprio bootloader per utilizzare Secure Boot, senza richiedere il proprio KEK. Finisce per essere più compatibile con più computer e costa meno in generale che occuparsi della configurazione del proprio sistema di firma e distribuzione delle chiavi. Ci sono altri dettagli su come funzionerà (usando GRUB, moduli Kernel firmati e altre informazioni tecniche) nel post del blog di cui sopra, che consiglio di leggere se sei interessato a questo genere di cose.
Supponiamo che tu non voglia affrontare la seccatura di iscriversi al sistema di Microsoft, o non voler pagare $ 99, o semplicemente avere rancore nei confronti di grandi aziende che iniziano con M. C'è un'altra opzione per usare ancora Secure Boot ed eseguire un sistema operativo diverso da Windows. Certificazione hardware di Microsoft richiede gli OEM consentono agli utenti di immettere il proprio sistema nella modalità "personalizzata" UEFI, in cui possono modificare manualmente i database Secure Boot e il PK. Il sistema può essere inserito nella modalità di installazione UEFI, in cui l'utente può persino specificare il proprio PK e firmare autonomamente i bootloader.
Inoltre, i requisiti di certificazione di Microsoft rendono obbligatorio per gli OEM includere un metodo per disabilitare Secure Boot su sistemi non ARM. È possibile disattivare Secure Boot! Gli unici sistemi in cui non è possibile disabilitare Secure Boot sono i sistemi ARM che eseguono Windows RT, che funzionano in modo più simile all'iPad, dove non è possibile caricare sistemi operativi personalizzati. Anche se mi auguro che sarebbe possibile cambiare il sistema operativo sui dispositivi ARM, è giusto dire che Microsoft sta seguendo lo standard del settore per quanto riguarda i tablet qui.
Quindi l'avvio sicuro non è intrinsecamente malvagio?
Quindi, come puoi vedere, Secure Boot non è malvagio e non è limitato solo all'uso con Windows. Il motivo per cui la FSF e gli altri sono così arrabbiati è perché aggiunge ulteriori passaggi all'utilizzo di un sistema operativo di terze parti. Le distribuzioni Linux potrebbero non piacere pagare per usare la chiave di Microsoft, ma è il modo più semplice ed economico per far funzionare Secure Boot per Linux. Fortunatamente, è facile disattivare Secure Boot e aggiungere chiavi diverse, evitando così la necessità di gestire Microsoft.
Data la quantità di malware sempre più avanzato, Secure Boot sembra un'idea ragionevole. Non è pensato per essere una trama malvagia per conquistare il mondo, ed è molto meno spaventoso di quanto alcuni esperti del software libero possano farti credere.
Letture aggiuntive:
- Requisiti di certificazione hardware Microsoft
- Costruire Windows 8: proteggere l'ambiente pre-SO con UEFI
- Presentazione Microsoft sulla distribuzione Secure Boot e gestione delle chiavi
- Implementazione di UEFI Secure Boot in Fedora
- Panoramica di avvio sicuro TechNet
- Articolo di Wikipedia su UEFI
TL; DR: L'avvio sicuro impedisce al malware di infettare il sistema a un livello basso e non rilevabile durante l'avvio. Chiunque può creare le chiavi necessarie per farlo funzionare, ma è difficile convincere i produttori di computer a distribuire il tuo chiave per tutti, quindi puoi in alternativa scegliere di pagare Verisign per utilizzare la chiave di Microsoft per firmare i tuoi bootloader e farli funzionare. Puoi anche disabilitare Secure Boot qualunque computer non ARM.
Ultimo pensiero, per quanto riguarda la campagna della FSF contro l'avvio sicuro: alcune delle loro preoccupazioni (cioè lo rende Più forte per installare sistemi operativi liberi) sono validi ad un certo punto. Dire che le restrizioni "impediranno a chiunque di avviare qualsiasi cosa tranne Windows" è dimostrabilmente falso, per le ragioni illustrate sopra. Fare campagne contro UEFI / Secure Boot come una tecnologia miope, disinformata e improbabile che sia comunque efficace. È più importante garantire che i produttori in realtà seguano i requisiti di Microsoft per consentire agli utenti di disabilitare Secure Boot o modificare le chiavi se lo desiderano.
Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.