În noul computerele Microsoft UEFI necesită utilizarea unei funcții «Boot Secure». Acest lucru complică instalarea altor sisteme de operare.
Placa cu blocul de popularitate memorie NVRAM de Windows a condus la faptul că numeroasele probleme adaugă alta: „viermi“, viruși și troieni să ne facă să se simtă frica mai puțin frecvente pentru siguranța sistemului de operare. Microsoft susține, interfața UEFI cu funcția «Secure Boot» - este o încercare de a restabili încrederea în siguranța utilizatorilor. Dacă descărcarea se efectuează UEFI PC-ul în acest mod, o astfel de malware cum ar fi rootkit, sunt în imposibilitatea de a porni sistemul pentru a intra în memorie. Lucru este că într-un mod «Secure Boot» boot manager UEFI efectuează semnat doar codul cheie digitala, pe care le compară cu baza de date criptată.
Un astfel de sistem puternic de protecție impune Microsoft să utilizeze pe toate computerele care sunt vândute sub sigla «Certificat pentru Windows 8" . Cu alte cuvinte, toate PC-urile noi pornind de la desktop-uri si laptop-uri la Windows-tablete, livrate cu modul activat «Secure Boot».
Dar, în plus față de protecție împotriva rootkit-urilor, există un fapt neplăcut - incapacitatea de a executa cod care nu are o semnătură digitală. Acest lucru este contrar principiului platformei de calculator liber și cu indignare special, a fost văzută de către comunitatea Linux. În cazul în care modul «Secure Boot» este activat, nu puteți instala sau rula sisteme mai vechi, inclusiv Windows XP și 7. Pentru o introducere mai detaliată la tehnologia va permite să răspundă la întrebarea „de ce?“.
Comoditatea și start rapid datorită UEFI
Unified Extensible Firmware Interface (Unified Extensible Firmware Interface), sau UEFI-scurt, este destinat să înlocuiască toate computerele care părăsesc în trecut interfața BIOS, care face legătura între hardware-ul pentru sistemul de operare și este responsabil pentru pornirea PC-ului. Dezvoltatorii UEFI urmărit în primul rând, în scopul de a elimina unele dintre limitările inerente ale tradiționale BIOS, care a apărut în urmă cu mai mult de 30 de ani și nu mai îndeplinesc cerințele moderne.
Etapele individuale ale unei initializare oarecum componentele platformei corespund BIOS-ul, dar au evoluat mult mai repede. După faza de inițializare începe UEFI Boot Manager. După verificarea tuturor componentelor hardware activeaza built-in drivere UEFI și aplicații - de exemplu, un shell pentru introducerea de comenzi sau în funcție de suportul rețelei. Aplicațiile sunt stocate fie în NVRAM - placa de baza de memorie-UEFI compatibil, fie pe hard disk. În ultima etapă UEFI Boot Manager de pornește dispozitivul de încărcare, care este responsabil pentru pornirea sistemului de operare.
Componentele «Boot Secure» sistem de verificare
Este în această etapă este activat «Secure Boot» și decizia dacă doriți să porniți sistemul de operare. Pentru a proteja informațiile din «Boot Secure» Există trei chei de criptare: în partea de sus este o platformă cheie (Platform Key), care este generat de către producătorul de hardware. El este necesar pentru a actualiza UEFI și încărcați noile chei KEK (cheie de înscriere cheie). Conform standardului UEFI, cheile KEK ar trebui să ofere dezvoltatorilor o varietate de sisteme de operare, dar acest lucru este pură teorie. În practică, fiecare computer conține un KEK de la Microsoft pentru Windows 8, pentru că astăzi toate mașinile cu «Boot Secure» vin cu sistemul de operare - singura excepție este de la Google «hromobuk“. cheie KEK ocupă poziția centrală în «Secure Boot», deoarece oferă acces la o bază de date cu semnături autorizate (Permite DB) și baza de date cu semnături restrânse (Disallow DB). Prima conține semnătura digitală a aplicațiilor UEFI, precum și o semnătură și / sau rosturi ale lemnului componente ale sistemului de operare - de exemplu, un manager de download, kernel-ul și drivere. Numai în cazul în care orice încărcător de boot rulează sistemul.
«Boot Secure» în legătură cu Windows 8 furnizat funcționează perfect, dar pentru versiunile anterioare ale sistemelor de operare Microsoft nu oferă semnături. În acest caz, utilizatorul va trebui să opri «Boot Secure». Pentru sistemele de operare Linux sunt disponibile prin intermediul încărcătorului cheie semnat Shim și încărcător de la o organizație non-profit, Fundația Linux.
În corectitudine trebuie remarcat faptul că dezvoltatorii Linux nu resping ideea de «Boot Secure». Cu toate acestea, ei o văd ca revendicările monopoliste de hardware Microsoft, care nu au prezentat până la «Boot Secure». Pe de o parte, certificarea pentru Windows 8, standardele Microsoft indică în mod clar faptul că utilizatorul are opțiunea de a dezactiva «Secure Boot». Pe de altă parte - se poate întâmpla ca documentația pentru sistemul de operare următoare a comentariilor pur și simplu nu va apărea.
secvența de boot PC pe UEFI bazate pe înlocuirea interfeței UEFI BIOS pentru a activa hardware-ul, inclusiv conducătorul auto, și efectuează aplicații personalizate. Daca este activat «Secure Boot» modul, UEFI verifică dacă driverele și software-ul semnătură digitală validă. În absența acestora, procesul de pornire este întreruptă. Aceleași verificări sunt manager de download și sisteme de operare de bază instalate.
hardware-ul de activare
La etapa inițială a UEFI de boot nu este cu mult diferit de BIOS-ul tradițional. După verificarea dacă apoi transmisă către toate componentele hardware ale tensiunii, lanseaza componentele placii de baza, CPU și RAM, și codul UEFI apoi încărcate.
executarea de cod UEFI
boot manager UEFI încarcă suportul de date și UEFI cod suplimentar din memorie NVRAM, precum și partiția UEFI de pe hard disk. În acest caz, drivere și aplicații sunt executate numai în cazul în care semnăturile lor digitale corespund datelor introduse în baza de date Permite DB. În cele din urmă lansează dispozitivul de încărcare.
Sistem de operare Se încarcă
OS încărcător încarcă sistemul de operare, fie direct, fie prin intermediul managerilor de descărcare. OS codul de boot și manager de boot trebuie să aibă un certificat de siguranță valabil, în caz contrar, procesul va fi întrerupt. Același lucru este valabil pentru toate componentele nucleului, care ulterior încărcat managerul de descărcare.
Verificați «Secure Boot»
Centrul «Boot Secure» toate fișierele de sistem de operare majore (kernel, drivere) trebuie să aibă o semnătură digitală. Tabelul arată fișierul certificat certificatul corespunzător pentru «Secure Boot», creat în conformitate cu standardul X.509, sau care conține un hash semnat digital de proprietățile de bază ale fișierului. Ele trebuie să corespundă datelor conținute în baza de date Permite DB.
