Windows 8 ve Güvenli Önyükleme ile Bir Bilgisayar Satın Alırsam Hala Linux Yükleyebilir miyim?
Windows 8'deki yeni UEFI Güvenli Önyükleme sistemi, özellikle ikili önyükleyiciler arasında, kafa karışıklığından daha fazla bir pay aldı. Windows 8 ve Linux'ta çift önyüklemeyle ilgili yanılgıları giderirken okumaya devam edin.
Bugünün Soru ve Cevap oturumu bize topluluk tarafından yönlendirilen bir soru-cevap web sitesi grubu olan Stack Exchange'in bir alt birimi olan SuperUser'ın izniyle geliyor..
Soru
SuperUser okuyucu Harsha K, yeni UEFI sistemi hakkında merak ediyor. O yazıyor:
Microsoft'un Windows 8'de UEFI Secure Boot uygulamasını nasıl uyguladığı hakkında çok şey duydum. Görünüşe göre kötü amaçlı yazılımları önlemek için "yetkisiz" önyükleyicilerin bilgisayarda çalışmasını önlüyor. Özgür Yazılım Vakfı tarafından güvenli önyüklemeye karşı bir kampanya var ve birçok insan çevrimiçi olarak Microsoft'un “ücretsiz işletim sistemlerini ortadan kaldırmak” için “güç kapanı” olduğunu söylüyor.
Önceden yüklenmiş Windows 8 ve Secure Boot özellikli bir bilgisayar alırsam, daha sonra Linux (veya başka bir işletim sistemi) kurabilir miyim? Veya Güvenli Önyükleme özellikli bir bilgisayar yalnızca Windows ile çalışır mı??
Peki anlaşma nedir? Dual booter gerçekten şanssız mı?
Cevap
SuperUser yazarı Nathan Hinkle, UEFI'nin ne olduğu ve ne olmadığı konusunda harika bir genel bakış sunuyor:
Her şeyden önce, sorunuza basit cevap:
- Bir ARM tabletiniz varsa Windows RT çalıştırarak (Surface RT veya Asus Vivo RT gibi), sonra Güvenli Önyüklemeyi devre dışı bırakamazsınız veya diğer işletim sistemlerini kuramazsınız. Diğer birçok ARM tablet gibi, bu aygıtlar sadece birlikte geldikleri işletim sistemini yönetin.
- ARM olmayan bir bilgisayarınız varsa Windows 8'i (Surface Pro veya sayısız ultrabook, masaüstü ve tablet x86-64 işlemciden herhangi biri gibi) çalıştırdıktan sonra, Güvenli Önyükleme'yi tamamen devre dışı bırakabilirsiniz., veya kendi anahtarlarınızı yükleyebilir ve kendi önyükleyicinizi imzalayabilirsiniz. Öyle ya da böyle, Linux dağıtıcısı gibi bir üçüncü taraf işletim sistemi kurabilirsiniz veya FreeBSD veya DOS veya sizi ne olursa olsun.
Şimdi, bu Güvenli Önyükleme olayının gerçekte nasıl çalıştığının ayrıntılarına gelince: Güvenli Önyükleme hakkında, özellikle Özgür Yazılım Vakfı ve benzer gruplardan kaynaklanan birçok yanlış bilgi var. Bu, Güvenli Önyükleme'nin gerçekte ne yaptığı hakkında bilgi bulmayı zorlaştırdı, bu yüzden açıklamak için elimden geleni yapacağım. Güvenli önyükleme sistemleri veya bunun gibi bir şey geliştirme konusunda kişisel deneyimim olmadığını unutmayın; bu sadece çevrimiçi okumayı öğrendiğim şeydi.
Her şeyden önce, Güvenli Önyükleme değil Microsoft'un geldiği bir şey. Yaygın olarak uygulayan ilk kişiler onlardı ama icat etmediler. Temelde alışkın olduğunuz eski BIOS için yeni bir alternatif olan UEFI spesifikasyonunun bir parçası. UEFI temel olarak işletim sistemi ve donanım arasında konuşan yazılımdır. UEFI standartları, Microsoft, Apple, Intel, AMD ve bir avuç bilgisayar üreticisini içeren bilgisayar endüstrisi temsilcilerinden oluşan “UEFI Forumu” adlı bir grup tarafından oluşturulmaktadır..
İkinci en önemli nokta, Güvenli Önyüklemeyi bir bilgisayarda etkinleştirmek değil bu bilgisayarın hiçbir zaman başka bir işletim sistemini başlatamayacağı anlamına gelir. Aslında, Microsoft'un kendi Windows Donanım Sertifika Gereksinimleri, ARM olmayan sistemler için Güvenli Önyüklemeyi devre dışı bırakmanız ve anahtarları değiştirebilmeniz gerektiğini (diğer işletim sistemlerine izin vermek için) belirtmektedir. Daha sonra olsa daha fazlası.
Güvenli Önyükleme ne yapar?
Temel olarak, kötü amaçlı yazılımların bilgisayarınıza önyükleme sırasına saldırmasını önler. Önyükleyiciden giren kötü amaçlı yazılımların tespit edilmesi ve durdurulması çok zor olabilir, çünkü işletim sisteminin düşük düzeyli işlevlerine sızarak antivirüs yazılımı tarafından görülmez. Güvenli Önyükleme'nin gerçekte yaptığı tek şey, önyükleyicinin güvenilir bir kaynaktan olduğunu ve tahrifat edilmediğini doğrulamasıdır. “Kapak açılırsa ya da conta değiştirilmişse açmayın” diyen şişelerdeki açılır kapaklar gibi düşünün.
En üst seviyede koruma için platform anahtarına (PK) sahipsiniz. Herhangi bir sistemde yalnızca bir PK var ve OEM tarafından üretim sırasında kuruluyor. Bu anahtar KEK veritabanını korumak için kullanılır. KEK veritabanı, diğer güvenli önyükleme veritabanlarını değiştirmek için kullanılan Anahtar Değişim Anahtarlarına sahiptir. Birden fazla KEK olabilir. Daha sonra üçüncü bir seviye vardır: Yetkili Veritabanı (db) ve Yasaklı Datbase (dbx). Bunlar, sırasıyla Sertifika Yetkilileri, ek şifreleme anahtarları ve sırasıyla izin verilecek veya engellenecek UEFI aygıt görüntüleri hakkında bilgiler içerir. Bir önyükleyicinin çalışmasına izin verilebilmesi için, bir anahtarla şifreli olarak imzalanması gerekir. olduğu db’de ve değil dbx içinde.
Bina Windows 8'den Görüntü: İşletim Sistemi Öncesi Ortamın UEFI ile Korunması
Gerçek dünyadaki bir Windows 8 Certified sistemde bu nasıl sonuçlanır?
OEM kendi PK'sini oluşturur ve Microsoft, OEM'in KEK veritabanına önceden yüklenmesi için gerekli olan bir KEK sağlar. Microsoft daha sonra Windows 8 Bootloader'ı imzalar ve bu imzayı Yetkili Veri Tabanına koymak için KEK'lerini kullanır. UEFI bilgisayarı önyüklediğinde, PK'yi doğrular, Microsoft'un KEK'ini doğrular ve ardından önyükleyiciyi doğrular. Her şey iyi görünüyorsa, işletim sistemi önyüklenebilir.
Bina Windows 8'den Görüntü: İşletim Sistemi Öncesi Ortamın UEFI ile KorunmasıLinux gibi üçüncü parti işletim sistemleri nereden geliyor??
İlk olarak, herhangi bir Linux dağıtımı bir KEK oluşturmayı seçebilir ve OEM'lerden varsayılan olarak KEK veritabanına eklemesini isteyebilir. Öyleyse, Microsoft’un yaptığı kadar önyükleme işlemi üzerinde de bir miktar kontrol sahibi olacaklar. Fedora’nın Matthew Garrett’ı tarafından açıklandığı gibi, bununla ilgili problemler şudur: a) her PC üreticisinin Fedora’nın anahtarını dahil etmesini zorlaştırmak, ve b) diğer Linux dağıtımlarına haksızlık etmek; , çünkü daha küçük dağıtımlar, OEM ortaklıkları kadar fazla değildir..
Fedora'nın yapmayı seçtiği şey (ve diğer dağıtımlar da şu şekildedir) Microsoft'un imza hizmetlerini kullanmaktır. Bu senaryo, Verisign'a (Microsoft'un kullandığı Sertifika Yetkilisi) 99 ABD doları ödeyerek gerektirir ve geliştiricilere Microsoft'un KEK'sini kullanarak önyükleyicilerini imzalama olanağı verir. Microsoft'un KEK'i zaten çoğu bilgisayarda olacağından, bu, kendi KEK'leri gerekmeksizin, bootloader'larının Secure Boot kullanmak için imzalamalarını sağlar. Daha fazla bilgisayarla daha uyumlu olmasıyla sona erer ve kendi anahtar imzalama ve dağıtım sistemlerini kurmaktan daha genel maliyeti daha düşüktür. Söz konusu blog yazısında, bunun nasıl çalışacağı (GRUB, imzalı Kernel modülleri ve diğer teknik bilgiler kullanılarak) nasıl kullanılacağı hakkında daha fazla ayrıntı var..
Microsoft'un sistemine kaydolma zorluğuyla uğraşmak istemediğinizi veya 99 $ ödemek istemediğinizi veya yalnızca M ile başlayan büyük şirketlere karşı kin duymak istemediğinizi varsayalım. Hala Secure Boot kullanmak için başka bir seçenek var. ve Windows dışında bir işletim sistemi çalıştırın. Microsoft'un donanım sertifikası gerektirir OEM'lerin kullanıcıların sistemlerine Güvenli Önyükleme veritabanlarını ve PK'yi manuel olarak değiştirebilecekleri UEFI “özel” moduna girmelerine izin verdiğini. Sistem, kullanıcının kendi PK'sini bile belirleyebildiği ve önyükleyicileri kendileri imzalayabildiği UEFI Kurulum Modu'na yerleştirilebilir..
Ayrıca, Microsoft'un kendi sertifikalandırma gereksinimleri, OEM'lerin ARM olmayan sistemlerde Güvenli Önyüklemeyi devre dışı bırakma yöntemi eklemesini zorunlu kılar. Güvenli Önyükleme'yi kapatabilirsiniz! Güvenli Önyüklemeyi devre dışı bırakamadığınız sistemler, özel işletim sistemi yükleyemediğiniz iPad'e daha benzer çalışan Windows RT çalıştıran ARM sistemleridir. Her ne kadar işletim sistemi ARM cihazlarında değiştirilebilseydi de, Microsoft'un buradaki tabletlerle ilgili endüstri standardını takip ettiğini söylemek doğru olur..
Yani güvenli önyükleme doğal olarak kötü değildir?
Umarım görebileceğiniz gibi, Güvenli Önyükleme kötü değildir ve yalnızca Windows ile kullanımla sınırlı değildir. FSF ve diğerlerinin bu kadar üzülmesinin nedeni, üçüncü taraf bir işletim sistemi kullanmak için ilave adımlar atmasıdır. Linux dağıtımları, Microsoft'un anahtarını kullanmak için ödeme yapmaktan hoşlanmayabilir, ancak Secure Boot'un Linux için çalışmasını sağlamak için en kolay ve en uygun maliyetli yoldur. Neyse ki, Güvenli Önyükleme özelliğini kapatmak kolaydır ve farklı anahtarlar eklemek mümkündür, böylece Microsoft ile başa çıkma gereği kalmaz.
Giderek daha gelişmiş kötü amaçlı yazılımların miktarı göz önüne alındığında, Secure Boot makul bir fikir gibi görünüyor. Dünyayı ele geçirmek için kötü bir komplo olmak değildir ve bazı özgür yazılım uzmanlarının inanacağından çok daha az korkutucu.
Ek okuma:
- Microsoft Donanım Sertifika Gereksinimleri
- Windows 8 Kurma: İşletim sistemi öncesi ortamı UEFI ile koruma
- Güvenli Önyükleme dağıtımı ve anahtar yönetimi hakkında Microsoft sunumu
- Fedora'da UEFI Secure Boot Uygulaması
- TechNet Güvenli Önyüklemeye Genel Bakış
- UEFI hakkındaki Wikipedia makalesi
TL; DR: Güvenli önyükleme, kötü amaçlı yazılımların sisteminize önyükleme sırasında düşük ve algılanamayan bir düzeyde virüs bulaştırmasını önler. Herkes çalışması için gerekli anahtarları oluşturabilir, ancak bilgisayar üreticilerini dağıtmaya ikna etmek zordur sizin Herkese anahtar olduğundan, alternatif olarak Microsoft’un anahtarını kullanarak önyükleyicilerinizi imzalayıp kullanmaları için Verisign’e ödeme yapmayı seçebilirsiniz.. Ayrıca Güvenli Önyükleme özelliğini devre dışı bırakabilirsiniz. herhangi ARM olmayan bilgisayar.
FSF'nin Güvenli önyükleme karşıtı kampanyasına ilişkin olarak son düşünce: Endişelerinin bir kısmı (yani, Daha güçlü ücretsiz işletim sistemleri yüklemek için) geçerlidir Bir noktaya. Kısıtlamaların, yukarıda belirtilen sebeplerden ötürü, “herhangi birinin Windows'tan başka bir şeyi önyüklemesini önleyeceğini” söyleyeceği söylenebilir. Bir teknoloji olarak UEFI / Secure Boot'a karşı kampanya kısa görüşlü, yanlış biçimlendirilmiş ve yine de etkili olması muhtemel değil. Üreticilerin, kullanıcıların Güvenli Önyükleme'yi devre dışı bırakmalarına ya da istenirse anahtarları değiştirmelerine izin vermek için Microsoft'un gereksinimlerini takip etmelerini sağlamak daha önemlidir.
Açıklamaya eklemek için bir şey var mı? Yorumlarda ses kesiliyor. Diğer teknoloji meraklısı Stack Exchange kullanıcılarından daha fazla cevap okumak ister misiniz? Burada tüm tartışma konusuna göz atın.