โฮมเพจ » ทำอย่างไร » ถ้าฉันซื้อคอมพิวเตอร์ที่มี Windows 8 และ Boot ปลอดภัยฉันยังสามารถติดตั้ง Linux ได้หรือไม่

    ถ้าฉันซื้อคอมพิวเตอร์ที่มี Windows 8 และ Boot ปลอดภัยฉันยังสามารถติดตั้ง Linux ได้หรือไม่

    ระบบ UEFI Secure Boot ใหม่ใน Windows 8 ได้ก่อให้เกิดความสับสนมากกว่าโดยเฉพาะอย่างยิ่งในหมู่ผู้เริ่มระบบคู่ อ่านต่อไปเมื่อเราล้างความเข้าใจที่คลาดเคลื่อนเกี่ยวกับการบูทคู่กับ Windows 8 และ Linux.

    เซสชั่นคำถามและคำตอบในวันนี้มาถึงเราด้วยความอนุเคราะห์จาก SuperUser - แผนกย่อยของ Exchange Exchange ซึ่งเป็นกลุ่มที่ขับเคลื่อนด้วยชุมชนของเว็บไซต์ถาม - ตอบ.

    คำถาม

    ผู้อ่าน SuperUser Harsha K อยากรู้เกี่ยวกับระบบ UEFI ใหม่ เขาเขียน:

    ฉันได้ยินมามากมายเกี่ยวกับวิธีที่ Microsoft ใช้ UEFI Secure Boot ใน Windows 8 เห็นได้ชัดว่ามันป้องกัน bootloaders“ ไม่ได้รับอนุญาต” จากการทำงานบนคอมพิวเตอร์เพื่อป้องกันมัลแวร์ มีแคมเปญโดย Free Software Foundation ต่อต้านการบู๊ตอย่างปลอดภัยและผู้คนมากมายพูดออนไลน์ว่าเป็น "การจับพลัง" โดย Microsoft เพื่อ "กำจัดระบบปฏิบัติการฟรี".

    หากฉันได้รับคอมพิวเตอร์ที่มี Windows 8 และ Secure Boot ติดตั้งไว้ล่วงหน้าฉันจะยังสามารถติดตั้ง Linux (หรือระบบปฏิบัติการอื่น) ในภายหลังได้หรือไม่ หรือคอมพิวเตอร์ที่มี Secure Boot สามารถใช้งานได้กับ Windows เท่านั้น?

    ดังนั้นการจัดการคืออะไร? เป็นรองเท้าบูทคู่โชคไม่ดีจริงๆ?

    คำตอบ

    ผู้ให้การสนับสนุน SuperUser Nathan Hinkle นำเสนอภาพรวมที่ยอดเยี่ยมของสิ่งที่ UEFI คือและไม่ใช่:

    ก่อนอื่นคำตอบง่ายๆสำหรับคำถามของคุณ:

    • หากคุณมีแท็บเล็ต ARM ใช้ Windows RT (เช่น Surface RT หรือ Asus Vivo RT) จากนั้น คุณจะไม่สามารถปิดการใช้งาน Secure Boot หรือติดตั้งระบบปฏิบัติการอื่น ๆ. เช่นเดียวกับแท็บเล็ต ARM อื่น ๆ อุปกรณ์เหล่านี้จะ เท่านั้น เรียกใช้ระบบปฏิบัติการที่มาพร้อมกับ.
    • หากคุณมีคอมพิวเตอร์ที่ไม่ใช่ ARM ใช้งาน Windows 8 (เช่น Surface Pro หรือ Ultrabooks จำนวนมาก, เดสก์ท็อปและแท็บเล็ตที่มีโปรเซสเซอร์ x86-64) จากนั้น คุณสามารถปิดใช้งาน Secure Boot ได้อย่างสมบูรณ์, หรือคุณสามารถติดตั้งคีย์ของคุณเองและเซ็นชื่อ bootloader ของคุณเอง ทั้งสองทาง, คุณสามารถติดตั้งระบบปฏิบัติการของบุคคลที่สามเช่น Linux distro หรือ FreeBSD หรือ DOS หรืออะไรก็ตามที่คุณพอใจ.

    ทีนี้มาถึงรายละเอียดเกี่ยวกับวิธีการที่ Secure Boot ใช้งานได้จริง: มีข้อมูลที่ผิดมากมายเกี่ยวกับ Secure Boot โดยเฉพาะจาก Free Software Foundation และกลุ่มที่คล้ายคลึงกัน สิ่งนี้ทำให้ยากต่อการค้นหาข้อมูลเกี่ยวกับสิ่งที่ Secure Boot ทำจริงดังนั้นฉันจะพยายามอธิบายให้ดีที่สุด โปรดทราบว่าฉันไม่มีประสบการณ์ส่วนตัวในการพัฒนาระบบบูตที่ปลอดภัยหรืออะไรทำนองนั้น นี่เป็นสิ่งที่ฉันได้เรียนรู้จากการอ่านออนไลน์.

    ก่อนอื่นเลย, Secure Boot คือ ไม่ สิ่งที่ Microsoft มาพร้อมกับ. พวกเขาเป็นคนแรกที่นำไปใช้อย่างกว้างขวาง แต่พวกเขาไม่ได้ประดิษฐ์มันขึ้นมา เป็นส่วนหนึ่งของข้อกำหนดของ UEFI ซึ่งโดยทั่วไปแล้วจะเป็นการทดแทนรุ่นใหม่สำหรับ BIOS เก่าที่คุณอาจคุ้นเคย UEFI นั้นเป็นซอฟต์แวร์ที่พูดถึงระหว่าง OS และฮาร์ดแวร์ มาตรฐาน UEFI ถูกสร้างขึ้นโดยกลุ่มที่เรียกว่า“ UEFI Forum” ซึ่งประกอบด้วยตัวแทนอุตสาหกรรมคอมพิวเตอร์ ได้แก่ Microsoft, Apple, Intel, AMD และผู้ผลิตคอมพิวเตอร์จำนวนหนึ่ง.

    จุดที่สำคัญที่สุดที่สอง, การเปิดใช้งาน Secure Boot บนคอมพิวเตอร์จะทำอย่างไร ไม่ หมายความว่าคอมพิวเตอร์ไม่สามารถบู๊ตระบบปฏิบัติการอื่นได้. ในความเป็นจริงข้อกำหนดด้านการรับรองฮาร์ดแวร์ Windows ของ Microsoft ระบุไว้ว่าสำหรับระบบที่ไม่ใช่ ARM คุณจะต้องสามารถปิดใช้งาน Secure Boot และเปลี่ยนคีย์ (เพื่ออนุญาตระบบปฏิบัติการอื่น) เพิ่มเติมว่าภายหลัง.

    Secure Boot ทำอะไร?

    โดยพื้นฐานแล้วมันจะป้องกันมัลแวร์จากการโจมตีคอมพิวเตอร์ของคุณผ่านลำดับการบู๊ต มัลแวร์ที่เข้าสู่ bootloader นั้นสามารถตรวจจับและหยุดได้ยากมากเพราะมันสามารถแทรกซึมหน้าที่ระดับต่ำของระบบปฏิบัติการทำให้ไม่สามารถมองเห็นซอฟต์แวร์ป้องกันไวรัสได้ สิ่งที่ Secure Boot ทำจริงๆนั้นเป็นการตรวจสอบว่า bootloader นั้นมาจากแหล่งที่เชื่อถือได้และไม่ได้ถูกดัดแปลง คิดเหมือนฝาขวดป๊อปอัปบนขวดที่พูดว่า "ไม่เปิดถ้าฝาโผล่ขึ้นมาหรือปิดผนึกด้วย".

    ที่ระดับการป้องกันสูงสุดคุณมีรหัสแพลตฟอร์ม (PK) มีระบบ PK เพียงระบบเดียวเท่านั้นและติดตั้งโดย OEM ในระหว่างการผลิต คีย์นี้ใช้เพื่อป้องกันฐานข้อมูล KEK ฐานข้อมูล KEK เก็บคีย์การแลกเปลี่ยนคีย์ซึ่งใช้เพื่อแก้ไขฐานข้อมูลการบูตที่ปลอดภัยอื่น ๆ สามารถมีได้หลาย KEKs มีระดับที่สาม: ฐานข้อมูลที่ได้รับอนุญาต (db) และฐานข้อมูลที่ต้องห้าม (dbx) เหล่านี้มีข้อมูลเกี่ยวกับผู้ออกใบรับรองคีย์การเข้ารหัสลับเพิ่มเติมและรูปภาพอุปกรณ์ UEFI เพื่ออนุญาตหรือบล็อกตามลำดับ เพื่อให้ bootloader ได้รับอนุญาตให้ทำงานจะต้องมีการเซ็นชื่อแบบเข้ารหัสด้วยคีย์ คือ ใน db และ ไม่ใช่ ใน dbx.

    ภาพจากการสร้าง Windows 8: การปกป้องสภาพแวดล้อม pre-OS ด้วย UEFI

    วิธีนี้ใช้ได้กับระบบ Windows 8 ที่ผ่านการรับรองจริง

    OEM สร้าง PK ของตัวเองและ Microsoft ให้ KEK ว่า OEM จำเป็นต้องมีการโหลดล่วงหน้าลงในฐานข้อมูล KEK Microsoft จะลงนาม Bootloader ของ Windows 8 และใช้ KEK เพื่อวางลายเซ็นนี้ในฐานข้อมูลที่ได้รับอนุญาต เมื่อ UEFI บู๊ตเครื่องคอมพิวเตอร์จะทำการตรวจสอบ PK ตรวจสอบ KEK ของ Microsoft แล้วตรวจสอบ bootloader หากทุกอย่างดูดีแล้วระบบปฏิบัติการก็สามารถบู๊ตได้.


    ภาพจากการสร้าง Windows 8: การปกป้องสภาพแวดล้อม pre-OS ด้วย UEFI

    ระบบปฏิบัติการของบุคคลที่สามเช่น Linux เข้ามา?

    อันดับแรก Linux distro ใด ๆ สามารถเลือกที่จะสร้าง KEK และขอให้ OEM รวมไว้ในฐานข้อมูล KEK โดยค่าเริ่มต้น จากนั้นพวกเขาจะสามารถควบคุมกระบวนการบู๊ตได้เช่นเดียวกับ Microsoft ปัญหาเกี่ยวกับสิ่งนี้ตามที่อธิบายไว้โดย Matthew Garrett ของ Fedora คือ a) มันยากที่จะทำให้ผู้ผลิตพีซีทุกรายรวมคีย์ของ Fedora และ b) มันจะไม่เป็นธรรมต่อ Linux distros อื่น ๆ เนื่องจาก distros ขนาดเล็กจึงไม่มีพันธมิตร OEM เป็นจำนวนมาก.

    สิ่งที่ Fedora ได้เลือกที่จะทำ (และสิ่งอื่นที่ตามมาคือชุดสูท) คือการใช้บริการลงนามของ Microsoft สถานการณ์นี้ต้องจ่าย $ 99 ให้แก่ Verisign (ผู้ออกใบรับรองที่ Microsoft ใช้) และมอบความสามารถให้นักพัฒนาในการลงนาม bootloader โดยใช้ KEK ของ Microsoft เนื่องจาก KEK ของ Microsoft จะอยู่ในคอมพิวเตอร์ส่วนใหญ่แล้วจึงอนุญาตให้พวกเขาลงชื่อเข้าใช้ bootloader เพื่อใช้ Secure Boot โดยไม่ต้องใช้ KEK ของตนเอง มันจบลงด้วยการเข้ากันได้กับคอมพิวเตอร์มากขึ้นและค่าใช้จ่ายโดยรวมน้อยกว่าการจัดการกับการตั้งค่าระบบการเซ็นชื่อและการกระจายคีย์ของตนเอง มีรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการทำงาน (ใช้ GRUB, โมดูลเคอร์เนลที่ลงนามและข้อมูลทางเทคนิคอื่น ๆ ) ในโพสต์บล็อกดังกล่าวข้างต้นซึ่งผมขอแนะนำให้อ่านหากคุณสนใจสิ่งนี้.

    สมมติว่าคุณไม่ต้องการจัดการกับความยุ่งยากในการลงทะเบียนสำหรับระบบของ Microsoft หรือไม่ต้องการจ่าย $ 99 หรือเพียงแค่มีความขุ่นเคืองกับองค์กรขนาดใหญ่ที่เริ่มต้นด้วย M. มีตัวเลือกอื่นให้ใช้ Secure Boot และเรียกใช้ระบบปฏิบัติการอื่นที่ไม่ใช่ Windows การรับรองฮาร์ดแวร์ของ Microsoft ต้องใช้ ที่ OEM อนุญาตให้ผู้ใช้เข้าสู่ระบบของพวกเขาในโหมด“ กำหนดเอง” UEFI ซึ่งพวกเขาสามารถแก้ไขฐานข้อมูล Secure Boot และ PK ได้ด้วยตนเอง ระบบสามารถใส่ในโหมดการตั้งค่า UEFI ซึ่งผู้ใช้สามารถระบุ PK ของตนเองและลงนาม bootloaders ด้วยตนเอง.

    นอกจากนี้ข้อกำหนดการรับรองของ Microsoft เองทำให้ผู้ผลิต OEM จำเป็นต้องรวมวิธีปิดใช้งาน Secure Boot ในระบบที่ไม่ใช่ ARM. คุณสามารถปิด Secure Boot ได้! ระบบเดียวที่คุณไม่สามารถปิดใช้งาน Secure Boot คือระบบ ARM ที่ใช้ Windows RT ซึ่งทำงานคล้ายกับ iPad มากกว่าซึ่งคุณไม่สามารถโหลด OS แบบกำหนดเองได้ แม้ว่าฉันหวังว่ามันจะเป็นไปได้ที่จะเปลี่ยนระบบปฏิบัติการบนอุปกรณ์ ARM มันเป็นธรรมที่จะบอกว่าไมโครซอฟท์จะปฏิบัติตามมาตรฐานอุตสาหกรรมเกี่ยวกับแท็บเล็ตที่นี่.

    การบูตที่ปลอดภัยจึงไม่ใช่ความชั่วโดยเนื้อแท้?

    ดังนั้นอย่างที่คุณสามารถเห็นได้ว่า Secure Boot ไม่ใช่ความชั่วร้ายและไม่ได้ถูก จำกัด ให้ใช้กับ Windows เท่านั้น เหตุผลที่ FSF และคนอื่น ๆ รู้สึกไม่ดีเกี่ยวกับมันเพราะมันเพิ่มขั้นตอนพิเศษในการใช้ระบบปฏิบัติการของบุคคลที่สาม Linux distros อาจไม่ชอบการจ่ายเงินเพื่อใช้คีย์ของ Microsoft แต่เป็นวิธีที่ง่ายและประหยัดที่สุดในการทำให้ Secure Boot ทำงานได้กับ Linux โชคดีที่มันเป็นเรื่องง่ายที่จะปิด Secure Boot และสามารถเพิ่มคีย์ที่แตกต่างกันได้ดังนั้นจึงไม่จำเป็นต้องจัดการกับ Microsoft.

    เมื่อพิจารณาจำนวนมัลแวร์ขั้นสูงที่เพิ่มขึ้น Secure Boot ดูเหมือนเป็นแนวคิดที่สมเหตุสมผล มันไม่ได้หมายความว่าจะเป็นแผนการชั่วร้ายที่จะยึดครองโลกและเป็นสิ่งที่น่ากลัวน้อยกว่าผู้ที่มีซอฟต์แวร์ฟรีบางคนจะเชื่อ.

    อ่านเพิ่มเติม:

    • ข้อกำหนดการรับรองฮาร์ดแวร์ของ Microsoft
    • การสร้าง Windows 8: การปกป้องสภาพแวดล้อม pre-OS ด้วย UEFI
    • การนำเสนอของ Microsoft เกี่ยวกับการปรับใช้ Secure Boot และการจัดการคีย์
    • การใช้ UEFI Secure Boot ใน Fedora
    • TechNet Secure Boot ภาพรวม
    • บทความ Wikipedia เกี่ยวกับ UEFI

    TL; DR: Secure boot ป้องกันมัลแวร์ไม่ให้ติดไวรัสในระบบในระดับต่ำและตรวจจับไม่ได้ในระหว่างการบู๊ต ทุกคนสามารถสร้างคีย์ที่จำเป็นเพื่อให้ทำงานได้ แต่ก็ยากที่จะโน้มน้าวให้ผู้ผลิตคอมพิวเตอร์ทำการแจกจ่าย ของคุณ กุญแจสำหรับทุกคนดังนั้นคุณสามารถเลือกชำระ Verisign เพื่อใช้รหัสของ Microsoft เพื่อลงนาม bootloaders ของคุณและทำให้มันทำงานได้. คุณยังสามารถปิดใช้งาน Secure Boot ได้ ใด คอมพิวเตอร์ที่ไม่ใช่แขน.

    ความคิดล่าสุดเกี่ยวกับการรณรงค์ของ FSF ในการป้องกันการบูทอย่างปลอดภัย: ข้อกังวลบางอย่างของพวกเขา (เช่นทำให้เกิด ยาก เพื่อติดตั้งระบบปฏิบัติการฟรี) ถูกต้อง ถึงจุดหนึ่ง. การกล่าวว่าข้อ จำกัด จะ“ ป้องกันไม่ให้ใครก็ตามที่บูตเครื่อง แต่ Windows” เป็นสิ่งที่พิสูจน์ได้ว่าผิดด้วยเหตุผลที่แสดงไว้ข้างต้น การรณรงค์ต่อต้าน UEFI / Secure Boot ในฐานะที่เป็นเทคโนโลยีที่มีสายตาสั้นผิด ๆ และไม่น่าจะมีประสิทธิภาพต่อไป สิ่งสำคัญคือต้องมั่นใจว่าผู้ผลิตปฏิบัติตามข้อกำหนดของ Microsoft เพื่อให้ผู้ใช้ปิดการใช้งาน Secure Boot หรือเปลี่ยนคีย์หากต้องการ.


    มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่.