Πώς λειτουργεί η ασφαλής εκκίνηση στα Windows 8 και 10 και τι σημαίνει για Linux

Οι σύγχρονοι υπολογιστές αποστέλλονται με ενεργοποιημένη τη λειτουργία "Secure Boot". Αυτό είναι ένα χαρακτηριστικό πλατφόρμας στο UEFI, το οποίο αντικαθιστά το παραδοσιακό BIOS του υπολογιστή. Εάν ένας κατασκευαστής υπολογιστή θέλει να τοποθετήσει ένα αυτοκόλλητο λογότυπου "Windows 10" ή "Windows 8" στον υπολογιστή του, η Microsoft απαιτεί να ενεργοποιήσει το Secure Boot και να ακολουθήσει ορισμένες οδηγίες.

Δυστυχώς, σας εμποδίζει επίσης να εγκαταστήσετε ορισμένες διανομές Linux, κάτι που μπορεί να είναι πολύ ενοχλητικό.

Πώς ασφαλής εκκίνηση εξασφαλίζει τη διαδικασία εκκίνησης του υπολογιστή σας

Το Secure Boot δεν έχει σχεδιαστεί μόνο για να κάνει το Linux πιο δύσκολο. Υπάρχουν πραγματικά πλεονεκτήματα ασφάλειας για την ενεργοποίηση της ασφαλούς εκκίνησης και ακόμη και οι χρήστες Linux μπορούν να επωφεληθούν από αυτά.

Ένα παραδοσιακό BIOS θα εκκινήσει οποιοδήποτε λογισμικό. Κατά την εκκίνηση του υπολογιστή σας, ελέγχει τις συσκευές υλικού σύμφωνα με τη σειρά εκκίνησης που έχετε διαμορφώσει και προσπαθεί να εκκινήσει από αυτές. Οι τυπικοί υπολογιστές συνήθως βρίσκουν και εκκινούν τον φορτωτή εκκίνησης των Windows, ο οποίος συνεχίζει την εκκίνηση του πλήρους λειτουργικού συστήματος των Windows. Εάν χρησιμοποιείτε Linux, το BIOS θα βρει και θα εκκινήσει το GRUB boot loader, το οποίο χρησιμοποιούν οι περισσότερες διανομές Linux.

Ωστόσο, είναι πιθανό για κακόβουλο λογισμικό, όπως ένα rootkit, να αντικαταστήσει το boot loader. Το rootkit θα μπορούσε να φορτώσει το κανονικό λειτουργικό σας σύστημα χωρίς καμία ένδειξη ότι κάτι δεν πάει καλά, παραμένοντας εντελώς αόρατο και μη ανιχνεύσιμο στο σύστημά σας. Το BIOS δεν γνωρίζει τη διαφορά μεταξύ κακόβουλου λογισμικού και ενός αξιόπιστου φορτωτή εκκίνησης - απλώς εκκινεί ό, τι βρίσκει.

Το Secure Boot έχει σχεδιαστεί για να το σταματήσει. Οι υπολογιστές με Windows 8 και 10 αποστέλλονται με το πιστοποιητικό της Microsoft που είναι αποθηκευμένο στο UEFI. Το UEFI θα ελέγξει τον φορτωτή εκκίνησης πριν το ξεκινήσει και θα βεβαιωθεί ότι έχει υπογραφεί από τη Microsoft. Εάν ένα rootkit ή ένα άλλο κακόβουλο λογισμικό αντικαθιστά το boot loader ή το παραβιάζει, το UEFI δεν θα το επιτρέψει να εκκινήσει. Αυτό εμποδίζει το κακόβουλο λογισμικό να παραβιάζει τη διαδικασία εκκίνησης και να κρύβεται από το λειτουργικό σας σύστημα.

Πώς επιτρέπει η Microsoft τις διανομές Linux για εκκίνηση με ασφαλή εκκίνηση

Αυτή η δυνατότητα, θεωρητικά, έχει σχεδιαστεί μόνο για προστασία από κακόβουλο λογισμικό. Έτσι, η Microsoft προσφέρει έναν τρόπο για να βοηθήσει τις διανομές Linux να εκκινήσουν ούτως ή άλλως. Αυτός είναι ο λόγος για τον οποίο ορισμένες σύγχρονες διανομές Linux –όπως το Ubuntu και το Fedora– «λειτουργούν» σε μοντέρνους υπολογιστές, ακόμη και με ενεργοποιημένη την ασφαλή εκκίνηση. Οι διανομές Linux μπορούν να πληρώσουν μια εφάπαξ χρέωση 99 $ για πρόσβαση στην πύλη Microsoft Sysdev, όπου μπορούν να υποβάλουν αίτηση για υπογραφή των φορτωτών εκκίνησης.

Οι διανομές Linux έχουν γενικά ένα "shim". Το shim είναι ένας μικρός φορτωτής εκκίνησης που απλώς εκκινεί τον κύριο φορτωτή εκκίνησης GRUB διανομών. Το υπογεγραμμένο Microsoft shim ελέγχει για να βεβαιωθεί ότι εκκινεί ένα boot loader υπογεγραμμένο από τη διανομή Linux και, στη συνέχεια, η διανομή Linux ξεκινά κανονικά.

Τα Ubuntu, Fedora, Red Hat Enterprise Linux και openSUSE υποστηρίζουν το Secure Boot και θα λειτουργήσουν χωρίς τροποποιήσεις στο σύγχρονο υλικό. Μπορεί να υπάρχουν και άλλοι, αλλά αυτοί γνωρίζουμε. Ορισμένες διανομές Linux αντιτίθενται φιλοσοφικά στο να υπογραφούν από τη Microsoft

Πώς μπορείτε να απενεργοποιήσετε ή να ελέγξετε την ασφαλή εκκίνηση

Εάν αυτό ήταν όλο το Secure Boot, δεν θα μπορούσατε να εκτελέσετε κανένα εγκεκριμένο από τη Microsoft λειτουργικό σύστημα στον υπολογιστή σας. Αλλά πιθανότατα μπορείτε να ελέγξετε το Secure Boot από το υλικολογισμικό UEFI του υπολογιστή σας, το οποίο μοιάζει με το BIOS σε παλαιότερους υπολογιστές.

Υπάρχουν δύο τρόποι ελέγχου του Secure Boot. Η ευκολότερη μέθοδος είναι να κατευθυνθείτε στο υλικολογισμικό UEFI και να το απενεργοποιήσετε εντελώς. Το υλικολογισμικό UEFI δεν θα ελέγξει για να βεβαιωθείτε ότι εκτελείτε έναν υπογεγραμμένο φορτωτή εκκίνησης και ότι θα ξεκινήσει οτιδήποτε. Μπορείτε να εκκινήσετε οποιαδήποτε διανομή Linux ή ακόμη και να εγκαταστήσετε τα Windows 7, τα οποία δεν υποστηρίζουν την ασφαλή εκκίνηση. Τα Windows 8 και 10 θα λειτουργήσουν καλά, απλώς θα χάσετε τα πλεονεκτήματα ασφάλειας που έχει το Secure Boot να προστατεύσει τη διαδικασία εκκίνησης.

Μπορείτε επίσης να προσαρμόσετε περαιτέρω το Secure Boot. Μπορείτε να ελέγξετε ποια πιστοποιητικά υπογραφής προσφέρει η Secure Boot. Είστε ελεύθεροι να εγκαταστήσετε νέα πιστοποιητικά και να καταργήσετε τα υπάρχοντα πιστοποιητικά. Ένας οργανισμός που εκτελούσε Linux στους υπολογιστές του, για παράδειγμα, θα μπορούσε να επιλέξει να αφαιρέσει τα πιστοποιητικά της Microsoft και να εγκαταστήσει το δικό του πιστοποιητικό του οργανισμού στη θέση του. Αυτοί οι υπολογιστές θα μπορούσαν τότε να εκκινήσουν μόνο φορτωτές εκκίνησης που έχουν εγκριθεί και υπογραφεί από τον συγκεκριμένο οργανισμό.

Ένα άτομο θα μπορούσε επίσης να το κάνει αυτό - θα μπορούσατε να υπογράψετε το δικό σας φορτωτή εκκίνησης Linux και να διασφαλίσετε ότι ο υπολογιστής σας θα μπορούσε να εκκινήσει μόνο φορτωτές εκκίνησης που έχετε συντάξει και υπογράψει προσωπικά. Αυτό είναι το είδος ελέγχου και ισχύος που προσφέρει η Secure Boot.

Τι απαιτεί η Microsoft από κατασκευαστές υπολογιστών

Η Microsoft δεν απαιτεί απλώς από τους προμηθευτές υπολογιστών να ενεργοποιήσουν το Secure Boot εάν θέλουν αυτό το ωραίο αυτοκόλλητο πιστοποίησης "Windows 10" ή "Windows 8" στους υπολογιστές τους. Η Microsoft απαιτεί από τους κατασκευαστές υπολογιστών να το εφαρμόσουν με συγκεκριμένο τρόπο.

Για υπολογιστές με Windows 8, οι κατασκευαστές έπρεπε να σας δώσουν έναν τρόπο να απενεργοποιήσετε το Secure Boot. Η Microsoft ζήτησε από τους κατασκευαστές υπολογιστών να θέσουν έναν διακόπτη Secure Boot kill στα χέρια των χρηστών.

Για υπολογιστές με Windows 10, αυτό δεν είναι πλέον υποχρεωτικό. Οι κατασκευαστές υπολογιστών μπορούν να επιλέξουν να ενεργοποιήσουν το Secure Boot και να μην δώσουν στους χρήστες έναν τρόπο να το απενεργοποιήσουν. Ωστόσο, δεν γνωρίζουμε πραγματικά κανέναν κατασκευαστή υπολογιστών που το κάνουν αυτό.

Παρομοίως, ενώ οι κατασκευαστές υπολογιστών πρέπει να περιλαμβάνουν το κύριο κλειδί της Microsoft "Microsoft Windows Production PCA" ώστε να μπορούν να εκκινήσουν τα Windows, δεν χρειάζεται να περιλαμβάνουν το κλειδί "Microsoft Corporation UEFI CA". Αυτό το δεύτερο κλειδί συνιστάται μόνο. Είναι το δεύτερο, προαιρετικό κλειδί που χρησιμοποιεί η Microsoft για την υπογραφή φορτωτών εκκίνησης Linux. Η τεκμηρίωση του Ubuntu το εξηγεί αυτό.

Με άλλα λόγια, δεν θα εκκινήσουν απαραίτητα όλοι οι υπολογιστές διανομές Linux με υπογραφή με ενεργοποιημένη την ασφαλή εκκίνηση. Και πάλι, στην πράξη, δεν έχουμε δει υπολογιστές που το έκαναν αυτό. Ίσως κανένας κατασκευαστής υπολογιστών δεν θέλει να κάνει τη μόνη σειρά φορητών υπολογιστών στους οποίους δεν μπορείτε να εγκαταστήσετε το Linux.

Προς το παρόν, τουλάχιστον, οι mainstream υπολογιστές με Windows θα σας επιτρέψουν να απενεργοποιήσετε το Secure Boot αν θέλετε, και θα πρέπει να εκκινήσουν διανομές Linux που έχουν υπογραφεί από τη Microsoft, ακόμη και αν δεν απενεργοποιήσετε το Secure Boot.

Δεν ήταν δυνατή η απενεργοποίηση της ασφαλούς εκκίνησης σε Windows RT, αλλά τα Windows RT είναι νεκρά

ΣΧΕΤΙΚΟΙ: Τι είναι τα Windows RT και πώς διαφέρει από τα Windows 8;

Όλα τα παραπάνω ισχύουν για τα τυπικά λειτουργικά συστήματα Windows 8 και 10 στο τυπικό υλικό Intel x86. Είναι διαφορετικό για το ARM.

Στα Windows RT - η έκδοση των Windows 8 για υλικό ARM, το οποίο στάλθηκε μεταξύ των Surface RT και Surface 2 της Microsoft, μεταξύ άλλων συσκευών - το Secure Boot δεν μπορούσε να απενεργοποιηθεί. Σήμερα, η Ασφαλής εκκίνηση δεν μπορεί να απενεργοποιηθεί σε υλικό Windows 10 Mobile – με άλλα λόγια, τηλέφωνα που εκτελούν Windows 10.

Αυτό οφείλεται στο γεγονός ότι η Microsoft ήθελε να σκεφτείτε τα συστήματα Windows RT που βασίζονται σε ARM ως «συσκευές» και όχι υπολογιστές. Όπως είπε η Microsoft στη Mozilla, τα Windows RT «δεν είναι πια Windows».

Ωστόσο, το Windows RT είναι πλέον νεκρό. Δεν υπάρχει έκδοση του λειτουργικού συστήματος επιφάνειας εργασίας των Windows 10 για υλικό ARM, επομένως αυτό δεν είναι κάτι που πρέπει να ανησυχείτε πια. Ωστόσο, εάν η Microsoft φέρνει πίσω το υλικό των Windows RT 10, πιθανότατα δεν θα μπορείτε να απενεργοποιήσετε το Secure Boot σε αυτό.

Πιστωτική εικόνα: Πρέσβης Βάσης, Τζον Μπρίστοου