Uefi з «secure boot» безпечна завантаження пк, chip Україна
На нових комп'ютерах Microsoft вимагає використання UEFI з функцією «Secure Boot». Це ускладнює установку інших операційних систем.
Плата з блоком пам'яті NVRAm Популярність ОС Windows призвела до того, що до численних проблем додалася ще одна: «черв'яки», вірусне ПО і трояни змушують нас відчувати незвичайний страх за безпеку операційної системи. За твердженням Microsoft, інтерфейс UEFI з функцією «Secure Boot» - це спроба повернути користувачам впевненість у безпеці. Якщо завантаження ПК здійснюється UEFI в даному режимі, то такі шкідливі програми, як руткіти, виявляються не в змозі до старту системи проникнути в оперативну пам'ять. Вся справа в тому, що в режимі «Secure Boot» менеджер завантаження UEFI виконує тільки підписаний цифровим ключем код, який він звіряє з зашифрованою базою даних.
Настільки рішучу систему захисту Microsoft пропонує використовувати на всіх комп'ютерах, які реалізуються під логотипом «Certified for Windows 8». Іншими словами, все нові ПК, починаючи з десктопів і ноутбуків і закінчуючи Windows-планшетами, поставляються з активованим режимом «Secure Boot».
Але крім захисту від руткітів є одна неприємна обставина - неможливість виконання коду, що не має цифрового підпису. Це суперечить принципу вільної комп'ютерної платформи і з особливим обуренням було сприйнято спільнотою Linux. Якщо режим «Secure Boot» активований, ви не зможете ні встановити, ні тим більше запустити старі системи, включаючи Windows XP і 7. Детальне ознайомлення з технологією дозволить відповісти на питання «чому?».
Зручність і швидкий запуск завдяки UEFI
Unified Extensible Firmware Interface (уніфікований розширюваний інтерфейс прошивки), або коротко UEFI, покликаний замінити на всіх комп'ютерах, що минає в минуле інтерфейс BIOS, який пов'язує апаратні засоби з операційною системою і відповідає за запуск ПК. Розробники UEFI насамперед мали на меті усунути деякі обмеження, властиві традиційній BIOS, яка з'явилася більше 30 років тому і перестала відповідати сучасним вимогам.
Окремі етапи ініціалізації компонентів платформи в деякій мірі відповідають BIOS, однак вони виконуються набагато швидше. Після етапу ініціалізації запускається менеджер завантаження UEFI. Після перевірки всіх апаратних компонентів він активує вбудовані в UEFI додатки і драйвери - наприклад, оболонку для введення команд або функцію підтримки мережі. Додатки зберігаються або в NVRAM - пристрої, що запам'ятовує UEFI-сумісної материнської плати, або на жорсткому диску. На останньому етапі менеджер завантаження UEFI запускає завантажувач ОС, який відповідає за старт операційних систем.
«Secure Boot» перевіряє системні компоненти
Саме на цьому етапі активується «Secure Boot» і приймається рішення про дозвіл або заборону на завантаження операційної системи. Для захисту інформації в «Secure Boot» використовуються три ключа шифрування: в самому верху знаходиться ключ платформи (Platform Key), який створюється виробником апаратного забезпечення. Він потрібен для поновлення UEFI і завантаження нових ключів KEK (Key Enrollment Key). Відповідно до стандарту UEFI, ключі KEK повинні надавати розробники різних операційних систем, але все це чиста теорія. На практиці в кожному комп'ютері міститься лише KEK від Microsoft для Windows 8, так як сьогодні всі машини з «Secure Boot» поставляються з цією операційною системою - винятком є лише «хромобук» від Google. Ключ KEK займає центральну позицію в «Secure Boot», так як він відкриває доступ до бази даних з дозволеними підписами (Allow DB) і базі даних із забороненими підписами (Disallow DB). У першій з них містяться цифрові підписи додатків UEFI, а також підписи і / або хеші компонентів операційної системи - наприклад, менеджера завантаження, ядра і драйверів. Тільки при їх наявності завантажувач ОС запускає систему.
«Secure Boot» в поєднанні з продукції, що поставляється Windows 8 працює бездоганно, але для попередніх версій операційних систем Microsoft не надає підписів. В даному випадку користувачеві доведеться відключати «Secure Boot». Для операційних систем Linux доступні підписаний ключем завантажувач Shim і завантажувач від некомерційної організації The Linux Foundation.
Справедливості заради варто відзначити, що розробники Linux не відкидають ідею «Secure Boot». Однак вони вбачають в ній монополістської домагання Microsoft на апаратне забезпечення, які не виявлялися до появи «Secure Boot». З одного боку, в стандартах по сертифікації для Windows 8 компанія Microsoft чітко вказує, що користувач має можливість відключення «Secure Boot». З іншого - може статися так, що в документації до наступної операційної системи цієї примітки просто не виявиться.
Послідовність завантаження ПК на основі UEFI Прийшовши на зміну BIOS інтерфейс UEFI активує апаратне забезпечення, включаючи драйвери, і виконує власні додатки. Якщо задіюється режим «Secure Boot», UEFI перевіряє наявність у драйверів і програм дійсних цифрових підписів. У разі їх відсутності процес запуску буде перервано. Ту ж саму перевірку проходять менеджер завантаження і ядра встановлених операційних систем.
Активація апаратних засобів
На початковому етапі завантаження UEFI мало чим відрізняється від традиційної BIOS. Після перевірки того, чи подається на всі апаратні компоненти напруга, виконується запуск компонентів материнської плати, процесора і пам'яті, а потім завантажується код UEFI.
Виконання коду UEFI
Менеджер завантаження UEFI завантажує носій даних і додатковий код UEFI з пам'яті NVRAM, а також з розділу UEFI на жорсткому диску. При цьому драйвери і програми виконуються тільки в тому випадку, якщо їх цифрові підписи відповідають даним, внесеним у базу Allow DB. На завершення виконується запуск завантажувача ОС.
Завантаження операційної системи
Завантаження операційної системи завантажує операційні системи або безпосередньо, або за допомогою їх менеджерів завантаження. Код завантаження ОС і менеджер завантаження повинні володіти чинним сертифікатом безпеки, в іншому випадку процес буде перерваний. Те ж саме відноситься і до всіх компонентів ядра, які в подальшому завантажуються менеджером завантаження.
Перевірка «Secure Boot»
У «Secure Boot» всі основні файли операційної системи (ядро, драйвери) повинні володіти цифровим підписом. У таблиці сертифікатів файлу вказано відповідний сертифікат для «Secure Boot», створений відповідно до стандарту X.509, а також забезпечені цифровим підписом хеш-значення властивостей основних файлів. Вони повинні відповідати даним, що містяться в базі Allow DB.
