Как сигурен Boot работи на Windows 8 и 10, и какво означава това за Linux

Модерните компютри се доставят с функцията, наречена “Secure Boot”. Това е платформа за UEFI, която замества традиционния PC BIOS. Ако производител на компютър иска да постави стикер с лого на Windows 10 или Windows 8, Microsoft изисква те да активират Secure Boot и да следват някои указания.

За съжаление, това също ви пречи да инсталирате някои дистрибуции на Linux, което може да бъде доста трудна задача.

Как Secure Boot осигурява защитния процес на вашия компютър

Secure Boot не е просто предназначен да направи работата с Linux по-трудна. Съществуват реални предимства за сигурността при включването на Secure Boot и дори потребителите на Linux могат да се възползват от тях.

Традиционният BIOS ще стартира всеки софтуер. Когато стартирате компютъра си, той проверява хардуерните устройства според подреждането, което сте конфигурирали, и се опитва да стартира от тях. Обикновено персоналните компютри обикновено ще намерят и стартират зареждащата програма на Windows, която продължава да зарежда пълната операционна система Windows. Ако използвате Linux, BIOS ще намери и стартира стартиращия GRUB, който повечето Linux дистрибуции използват.

Възможно е обаче зловреден софтуер, като например rootkit, да замени зареждащия ви софтуер. Руткитът може да зареди вашата нормална операционна система без никаква индикация, че нещо не е наред. BIOS не познава разликата между зловреден софтуер и надежден зареждащ драйвер - той само зарежда каквото намери.

Secure Boot е предназначен да спре това. Windows 8 и 10 PC се доставят с сертификат на Microsoft, съхраняван в UEFI. UEFI ще провери зареждащото устройство преди да го стартира и ще се увери, че е подписано от Microsoft. Ако rootkit или друга част от зловреден софтуер замени зареждащия ви драйвер или се намеси в него, UEFI няма да му позволи да зареди. Това предотвратява отвличането на злонамерен софтуер от процеса на стартиране и се прикрива от операционната система.

Как Microsoft разрешава на Linux дистрибуции да стартират с защитено зареждане

На теория тази функция е просто предназначена да предпазва от злонамерен софтуер. Така Microsoft предлага начин да се помогне на Linux дистрибуциите да се заредят. Ето защо някои модерни Linux дистрибуции - като Ubuntu и Fedora - ще "работят" само на съвременните компютри, дори и с активиран Secure Boot. Линукс дистрибуциите могат да платят еднократна такса от $ 99 за достъп до портала Microsoft Sysdev, където могат да кандидатстват за подписване на техните зареждащи устройства.

Линукс дистрибуциите обикновено са подписани. Прозорецът е малък зареждащ механизъм, който просто зарежда Linux дистрибуциите на главния зареждащ файл на GRUB. Подписаните от Microsoft шими проверяват дали е стартирал зареждащия софтуер, подписан от Linux дистрибуцията, а след това дистрибуцията на Linux се зарежда нормално.

Ubuntu, Fedora, Red Hat Enterprise Linux и openSUSE в момента поддържат Secure Boot и ще работят без никакви настройки на съвременния хардуер. Може да има и други, но това са онези, за които сме наясно. Някои дистрибуции на Linux философски се противопоставят на кандидатурата да бъде подписана от Microsoft.

Как можете да деактивирате или контролирате защитеното зареждане

Ако това е всичко Secure Boot, вие няма да можете да пуснете операционна система, която не е одобрена от Microsoft, на вашия компютър. Но вероятно можете да контролирате Secure Boot от фърмуера на UEFI на вашия компютър, който е като BIOS в по-старите компютри.

Има два начина за контролиране на защитеното зареждане. Най-лесният метод е да се насочите към фърмуера на UEFI и да го деактивирате изцяло. Фърмуерът на UEFI няма да провери дали сте стартирали подписан зареждащ драйвер и всичко ще се стартира. Можете да стартирате всяка дистрибуция на Linux или дори да инсталирате Windows 7, който не поддържа Secure Boot. Windows 8 и 10 ще работят добре, просто ще загубите предимствата на сигурността, свързани със защитата на защитния процес.

Можете също така да персонализирате още по-сигурен Boot. Можете да контролирате кои сертификати за подпис предлага Secure Boot. Вие сте свободни да инсталирате нови сертификати и да премахвате съществуващи сертификати. Организация, която управлява Linux на своите компютри, например, може да избере да премахне сертификатите на Microsoft и да инсталира на мястото си сертификата на организацията. След това тези компютри само ще стартират зареждащи устройства, одобрени и подписани от тази конкретна организация.

Един човек може да направи това, също - можете да подпишете своя собствен Linux boot loader и да се уверите, че вашият компютър може само да стартира зареждащи устройства, които лично сте компилирали и подписвали. Това е контролът и мощността, която Secure Boot предлага.

Какво Microsoft изисква от производителите на компютри

Microsoft не само изисква от производителите на персонални компютри да осигурят Secure Boot, ако искат хубав стикер за Windows 10 или Windows 8 на компютрите си. Microsoft изисква производителите на персонални компютри да го прилагат по определен начин.

За компютри с Windows 8 производителите трябваше да ви дадат начин да изключите защитната система. Microsoft изисква от производителите на персонални компютри да поставят ключ за убиване на защитено зареждане в ръцете на потребителите.

За компютри с Windows 10 това вече не е задължително. Производителите на компютри могат да изберат да активират Secure Boot и да не дават възможност на потребителите да го изключват. Ние обаче не сме наясно с производителите на компютри, които правят това.

По същия начин, докато производителите на компютри трябва да включат основния ключ на Microsoft “Microsoft Windows Production PCA”, така че Windows да може да се зареди, те не трябва да включват ключа “Microsoft Corporation UEFI CA”. Този втори ключ се препоръчва само. Това е вторият, незадължителен ключ, който Microsoft използва за подписване на Linux зареждащи устройства. Документацията на Ubuntu обяснява това.

С други думи, не всички компютри непременно ще стартират подписани дистрибуции на Linux с включен Secure Boot. Отново на практика не сме виждали никакви персонални компютри, които са направили това. Може би нито един производител на компютри не иска да прави единствената линия от лаптопи, на които не можете да инсталирате Linux.

Засега поне основните компютри на Windows трябва да ви позволяват да деактивирате Secure Boot, ако желаете, и те трябва да зареждат Linux дистрибуции, които са били подписани от Microsoft, дори ако не деактивирате Secure Boot..

Secure Boot не може да бъде деактивиран в Windows RT, но Windows RT е мъртъв

Всичко това се отнася за стандартните Windows 8 и 10 операционни системи на стандартния Intel x86 хардуер. Това е различно за ARM.

На Windows RT - версията на Windows 8 за хардуер ARM, която се доставя на Microsoft Surface RT и Surface 2, наред с други устройства, Secure Boot не може да бъде деактивирана. Днес Secure Boot все още не може да бъде деактивиран в Windows 10 Mobile хардуер - с други думи, телефони, които работят под Windows 10.

Това е така, защото Microsoft искаше да мислите за ARM-базирани Windows RT системи като “устройства”, а не за персонални компютри. Както Microsoft каза на Mozilla, Windows RT вече не е Windows.

Windows RT вече е мъртъв. Няма версия на операционната система Windows 10 за хардуер за ARM, така че това вече не е нещо, за което трябва да се тревожите. Но ако Microsoft върне Windows RT 10 хардуера, вероятно няма да можете да деактивирате Secure Boot на него.

Автор на снимката: Посланик База, Джон Бристоу