A
Anonymous
UEFI SECURE BOOT
Kontrolowane uruchamianie
Dla nowych komputerów z windows 8 Microsoft zaleca migrację z BIOS do UEFI Secure Boot. A to utrudnia instalację innych systemów operacyjnych.
W skutek popularności windows do dziesięciu biblijnych plag trzeba jeszcze dodać jedenastą: robaki, wirusy i trojany w niczym nie ustępują starotestamentowej szarańczy i sprawiają, że boimy się o bezpieczeństwo systemu operacyjnego. Gdyby wszystko poszło po myśli Microsoftu, to UEFI z rozszerzeniem Secure Boot zagwarantuje bezpieczeństwo. Jeśli pecet uruchamia się z następcą BIOS-u, czyli UEFi, i ma aktywowany Secure Boot, to najgorsze szkodniki, jak np. rookity, nie mają szansy, aby jeszcze przed uruchomieniem systemu przedostać się do pamięci operacyjnej. Bo w trybie Secure Boot UEFI Boot Manager wykonuje tylko podpisany kod, który sprawdza za pomocą zaszyfrowanej bazy danych. Ten głęboko zakotwiczony mechanizm ochronny Microsoft zaleca stosować w przypadku wszystkich komputerów sprzedawanych z oznaczeniem „Certified for Windows 8”. Innymi słowy, wszystkie nowe komputery, począwszy od desktopów przez notebooki po tablety z windows, są sprzedawane z aktywowanym mechanizmem Secure Boot.
Ale oprócz ochrony przed rootkitami wprowadzenie UEFi Secure Boot ma
inny cel: ogranicza wykonywanie programów tylko do podpisanego kodu. Wstrząsnęło to zwłaszcza społecznością linuksową, ale doprowadzi do irytacji również niemałą liczbę użytkowników Windows, a mianowicie tych, którzy nie chcą rezygnować z nowego komputera, lecz wolą trzymać się z dala od Windows 8 i pozostać przy Win 7 albo wręcz XP. Jeśli Secure Boot jest aktywny, to starych systemów nie da się ani zainstalować, ani uruchomić.
Spojrzenie pod maskę wyjaśnia, dlaczego tak jest.
Komfort i szybkie uruchamianie dzięki UEFI
Unified Extensible Firmware Interface – w skrócie UEFI – na wszystkich nowych komputerach ma zastąpić przestarzały BIOS, interfejs pomiędzy sprzętem, a systemem operacyjnym odpowiedzialny za uruchamianie komputera. W UEFI chodzi przede wszystkim o to, aby znieść niektóre, nieodpowiadające współczesnym wymaganiom ograniczenia, których nie był pozbawiony wprowadzony przed 30 laty BIOS. UEFI oferuje na przykład obsługę 64 bitów, oraz wyższą rozdzielczość ekranu dla menu UEFI, które reaguje na polecenia wydawane za pomocą myszy i dotyku. Poszczególne kroki instalacji systemu odpowiadają wprawdzie tym z BIOS-u, jednak kolejne etapy przebiegają szybciej, ponieważ podczas startu systemowego firmware’u centralne komponenty sprzętowe, takie jak procesor, pamięć operacyjna i chipset, uruchamiane są równolegle, a nie po kolei jak dzieje się w BIOS – ie. Na końcu fazy instalacyjnej uruchamia się UEFI Boot Manager. Po dokładnym rozeznaniu w komponentach sprzętowych aktywuje on zaimplementowane w UEFI aplikacje na przykład powłokę wiersza poleceń lub połączenie sieciowe. Aplikacje zapisane są albo w NVRAM – pamięciowym komponencie UEFI na płycie głównej – albo na dysku twardym. W tym celu UEFI rezerwuje na własne potrzeby partycję, która może mieć do 200 MB. Na koniec Boot Manager uruchamia OS Loadera, który jest odpowiedzialny za ładowanie systemów operacyjnych.
Secure Boot sprawdza komponenty systemowe
Najpóźniej do gry wchodzi Secure Boot, który decyduje, czy system operacyjny może się uruchomić czy nie. Secure Boot składa się z trzech poziomów szyfrowania. Na samej górze znajduje się Platform Key (PK) wytwarzany przez producenta sprzętu. Jest on potrzebny do przeprowadzenia procesu aktualizacji UEFi i wgrywania nowych Key Enrollmant Keys (KEK). W założeniu UEFi KEK ma pochodzić od programistów różnych systemów operacyjnych, jednak to tylko teoria. W praktyce każdy komputer zawiera jedynie KEK Microsoftu dla Windows 8, ponieważ – z wyjątkiem Google Chromebooka – wszystkie komputery z Secure Boot są sprzedawane z tym systemem. KEK zajmuje centralną pozycję w Secure Boot, gdyż zawiera dwa klucze otwierające bazę danych z dozwolonymi sygnaturami (Allow DB) oraz z zabronionymi sygnaturami (Dissalow DB). Wyłączenie KEK może modyfikować wpisy do tych baz danych. W Allow AB z jednej strony zapisana jest lista sygnatur aplikacji UEFI, z drugiej strony są tam także sygnatury i/albo wartości hash komponentów systemowych, takich jak bootmenager, kernel i sterowniki. Tylko gdy one będą, UEFI OS Loader uruchomi system. Jeśli ich nie ma, użytkownik przeczyta komunikat o „Secure Boot Volation”, a system operacyjny ogóle się nie uruchomi.
Przy fabrycznych ustawieniach komputera Secure Boot działa bez zarzutu z windows 8, ale Microsoft nie dostarcza sygnatur dla starszych systemów operacyjnych. Tutaj użytkownik wyłączyć Secure Boot. Dla dystrybucji linuksa dostępny jest sygnowany Boot Loader Shim i Loader Linux Foundation. Oba uruchamiają się z linuksowego boot managera, na przykład Grub. W przypadku wszystkich innych komponentów linuksowych ochrona przez Secure Boot z zasady kończy się na boot loaderach, ale te z kolei mają zintegrowaną własną kontrolę sygnatur. Ogolnie rzecz biorąc wielu programistów linuksa nie odrzuca idei Secure Boot. Dostrzegają oni jednak monopolistyczną postawę Microsoftu w kwestiach sprzętowych, czego przed pojawieniem się Secure Boot nie było.
Microsoft w dyrektywach certyfikacyjnych dla Windows 8 umieszcza wprawdzie wyraźny zapis, że użytkownik musi mieć możliwość wyłączenia Secure Boot, ale co się stanie jeśli w następnym systemie operacyjnym wykreśli ten passus?
Źródło:
Roman Wolański (2013, SIERPIEŃ). UEFI SECURE BOOT - kontrolowane uruchamianie, CHIP.
Przepisałam Wam ten artykuł gdyż myślę, że informacje przydadzą się wielu osobom
Kontrolowane uruchamianie
Dla nowych komputerów z windows 8 Microsoft zaleca migrację z BIOS do UEFI Secure Boot. A to utrudnia instalację innych systemów operacyjnych.
W skutek popularności windows do dziesięciu biblijnych plag trzeba jeszcze dodać jedenastą: robaki, wirusy i trojany w niczym nie ustępują starotestamentowej szarańczy i sprawiają, że boimy się o bezpieczeństwo systemu operacyjnego. Gdyby wszystko poszło po myśli Microsoftu, to UEFI z rozszerzeniem Secure Boot zagwarantuje bezpieczeństwo. Jeśli pecet uruchamia się z następcą BIOS-u, czyli UEFi, i ma aktywowany Secure Boot, to najgorsze szkodniki, jak np. rookity, nie mają szansy, aby jeszcze przed uruchomieniem systemu przedostać się do pamięci operacyjnej. Bo w trybie Secure Boot UEFI Boot Manager wykonuje tylko podpisany kod, który sprawdza za pomocą zaszyfrowanej bazy danych. Ten głęboko zakotwiczony mechanizm ochronny Microsoft zaleca stosować w przypadku wszystkich komputerów sprzedawanych z oznaczeniem „Certified for Windows 8”. Innymi słowy, wszystkie nowe komputery, począwszy od desktopów przez notebooki po tablety z windows, są sprzedawane z aktywowanym mechanizmem Secure Boot.
Ale oprócz ochrony przed rootkitami wprowadzenie UEFi Secure Boot ma
inny cel: ogranicza wykonywanie programów tylko do podpisanego kodu. Wstrząsnęło to zwłaszcza społecznością linuksową, ale doprowadzi do irytacji również niemałą liczbę użytkowników Windows, a mianowicie tych, którzy nie chcą rezygnować z nowego komputera, lecz wolą trzymać się z dala od Windows 8 i pozostać przy Win 7 albo wręcz XP. Jeśli Secure Boot jest aktywny, to starych systemów nie da się ani zainstalować, ani uruchomić.
Spojrzenie pod maskę wyjaśnia, dlaczego tak jest.
Komfort i szybkie uruchamianie dzięki UEFI
Unified Extensible Firmware Interface – w skrócie UEFI – na wszystkich nowych komputerach ma zastąpić przestarzały BIOS, interfejs pomiędzy sprzętem, a systemem operacyjnym odpowiedzialny za uruchamianie komputera. W UEFI chodzi przede wszystkim o to, aby znieść niektóre, nieodpowiadające współczesnym wymaganiom ograniczenia, których nie był pozbawiony wprowadzony przed 30 laty BIOS. UEFI oferuje na przykład obsługę 64 bitów, oraz wyższą rozdzielczość ekranu dla menu UEFI, które reaguje na polecenia wydawane za pomocą myszy i dotyku. Poszczególne kroki instalacji systemu odpowiadają wprawdzie tym z BIOS-u, jednak kolejne etapy przebiegają szybciej, ponieważ podczas startu systemowego firmware’u centralne komponenty sprzętowe, takie jak procesor, pamięć operacyjna i chipset, uruchamiane są równolegle, a nie po kolei jak dzieje się w BIOS – ie. Na końcu fazy instalacyjnej uruchamia się UEFI Boot Manager. Po dokładnym rozeznaniu w komponentach sprzętowych aktywuje on zaimplementowane w UEFI aplikacje na przykład powłokę wiersza poleceń lub połączenie sieciowe. Aplikacje zapisane są albo w NVRAM – pamięciowym komponencie UEFI na płycie głównej – albo na dysku twardym. W tym celu UEFI rezerwuje na własne potrzeby partycję, która może mieć do 200 MB. Na koniec Boot Manager uruchamia OS Loadera, który jest odpowiedzialny za ładowanie systemów operacyjnych.
Secure Boot sprawdza komponenty systemowe
Najpóźniej do gry wchodzi Secure Boot, który decyduje, czy system operacyjny może się uruchomić czy nie. Secure Boot składa się z trzech poziomów szyfrowania. Na samej górze znajduje się Platform Key (PK) wytwarzany przez producenta sprzętu. Jest on potrzebny do przeprowadzenia procesu aktualizacji UEFi i wgrywania nowych Key Enrollmant Keys (KEK). W założeniu UEFi KEK ma pochodzić od programistów różnych systemów operacyjnych, jednak to tylko teoria. W praktyce każdy komputer zawiera jedynie KEK Microsoftu dla Windows 8, ponieważ – z wyjątkiem Google Chromebooka – wszystkie komputery z Secure Boot są sprzedawane z tym systemem. KEK zajmuje centralną pozycję w Secure Boot, gdyż zawiera dwa klucze otwierające bazę danych z dozwolonymi sygnaturami (Allow DB) oraz z zabronionymi sygnaturami (Dissalow DB). Wyłączenie KEK może modyfikować wpisy do tych baz danych. W Allow AB z jednej strony zapisana jest lista sygnatur aplikacji UEFI, z drugiej strony są tam także sygnatury i/albo wartości hash komponentów systemowych, takich jak bootmenager, kernel i sterowniki. Tylko gdy one będą, UEFI OS Loader uruchomi system. Jeśli ich nie ma, użytkownik przeczyta komunikat o „Secure Boot Volation”, a system operacyjny ogóle się nie uruchomi.
Przy fabrycznych ustawieniach komputera Secure Boot działa bez zarzutu z windows 8, ale Microsoft nie dostarcza sygnatur dla starszych systemów operacyjnych. Tutaj użytkownik wyłączyć Secure Boot. Dla dystrybucji linuksa dostępny jest sygnowany Boot Loader Shim i Loader Linux Foundation. Oba uruchamiają się z linuksowego boot managera, na przykład Grub. W przypadku wszystkich innych komponentów linuksowych ochrona przez Secure Boot z zasady kończy się na boot loaderach, ale te z kolei mają zintegrowaną własną kontrolę sygnatur. Ogolnie rzecz biorąc wielu programistów linuksa nie odrzuca idei Secure Boot. Dostrzegają oni jednak monopolistyczną postawę Microsoftu w kwestiach sprzętowych, czego przed pojawieniem się Secure Boot nie było.
Microsoft w dyrektywach certyfikacyjnych dla Windows 8 umieszcza wprawdzie wyraźny zapis, że użytkownik musi mieć możliwość wyłączenia Secure Boot, ale co się stanie jeśli w następnym systemie operacyjnym wykreśli ten passus?
Źródło:
Roman Wolański (2013, SIERPIEŃ). UEFI SECURE BOOT - kontrolowane uruchamianie, CHIP.
Przepisałam Wam ten artykuł gdyż myślę, że informacje przydadzą się wielu osobom
