Om jag köper en dator med Windows 8 och säkra boot kan jag fortfarande installera Linux?

Den nya UEFI Säkert Boot systemet i Windows 8 har orsakat mer än sin beskärda del av förvirring, särskilt bland dubbla booters. Läs vidare som vi rensa upp missuppfattningar om dubbel start med Windows 8 och Linux.

Dagens Frågor och svar session kommer till oss med tillstånd av Superuser-en uppdelning av Stack Exchange, en community-driven gruppering av Q & A webbsidor.

Superuser läsare Harsha K är nyfiken på nya UEFI systemet. Han skriver

Jag har hört en hel del om hur Microsoft genomför UEFI Säkert Boot i Windows 8. Tydligen förhindrar “obehöriga” starthanterare från körs på datorn, för att förhindra skadlig kod. Det finns en kampanj av Free Software Foundation mot säkra boot, och många människor har sagt på nätet att det är en “maktövertagande” av Microsoft för att “eliminera fria operativsystem”.

Om jag får en dator som har Windows 8 och Secure Boot förinstallerad, kommer jag fortfarande att kunna installera Linux (eller någon annan OS) senare? Eller en dator med Secure Boot alltid bara fungerar med Windows?

Så vad är problemet? Är dubbla booters verkligen ute på tur?

Superuser bidrags Nathan Hinkle erbjuder en fantastisk överblick över vad UEFI är och är inte

Först av allt, det enkla svaret på din fråga

Nu till detaljerna för hur detta hela Secure Boot sak faktiskt fungerar: Det finns en hel del desinformation om Secure Boot, särskilt från Free Software Foundation och liknande grupper. Detta har gjort det svårt att hitta information om vad Secure Boot faktiskt inte, så jag ska göra mitt bästa för att förklara. Observera att jag har ingen personlig erfarenhet av att utveckla säkra startsystem eller något liknande, det är precis vad jag har lärt mig från att läsa på nätet.

Först av allt, är säker Boot inte något som Microsoft kom med. De är den första att allmänt genomföra det, men de har inte uppfunnit det. Det är en del av UEFI specifikation, vilket egentligen är en nyare ersättning för den gamla BIOS som du förmodligen van vid. UEFI är i grunden programvara som talar mellan OS och hårdvara. UEFI standarder skapas av en grupp som kallas “UEFI Forum”, som består av datorbranschföreträdare, inklusive Microsoft, Apple, Intel, AMD, och en handfull av datortillverkare.

Näst viktigaste punkten, har Secure Boot aktiverat på en dator betyder inte att datorn kan aldrig starta något annat operativsystem. I själva verket, Microsofts egna Windows Hardware certifieringskraven uppger att för icke-ARM-system, måste du kunna både inaktivera Secure Boot och ändra nycklarna (att tillåta andra operativsystem). Mer om det senare ändå.

I huvudsak förhindrar skadlig kod från att attackera datorn via startsekvensen. Malware som kommer in genom starthanteraren kan vara mycket svåra att upptäcka och stoppa, eftersom det kan infiltrera låg nivå funktioner i operativsystemet, hålla den osynlig för antivirusprogram. Allt som Secure Boot verkligen är det verifierar att bootloader är från en betrodd källa, och att den inte har manipulerats med. Tänk på det som pop-up lock på flaskor som säger “inte öppna om locket är uppfälld eller sigill har manipulerats”.

På den översta nivån av skydd, har du plattformsknappen (PK). Det finns bara en PK på alla system, och det installeras av OEM under tillverkningen. Denna tangent används för att skydda den KEK databasen. KEK databas innehåller Key Exchange Keys, som används för att modifiera andra säkra start databaser. Det kan finnas flera keks. Det finns då en tredje nivå: Authorized Database (dB) och den Förbjudna museets arkiv (dbx). Dessa innehåller information om certifikatutfärdare ytterligare kryptografiska nycklar och UEFI anordningsbilderna för att tillåta eller blockera, respektive. För att en starthanterare att köras måste den kryptografiskt undertecknat med en nyckel som är i db, och är inte i dbx.

Bild från Building Windows 8: Skydd av pre-OS miljö med UEFI

OEM genererar sin egen PK, och Microsoft tillhandahåller en KEK som OEM krävs för att pre-load i KEK databasen. Microsoft skriver sedan Windows 8 laddaren, och använder deras KEK att sätta denna signatur i den auktoriserade databasen. När UEFI stövlar datorn verifierar det PK, verifierar Microsofts KEK, och sedan verifierar bootloader. Om allt ser bra ut, då OS kan starta.

Bild från Building Windows 8: Skydd av pre-OS miljö med UEFI

För det första kan alla Linux-distributioner väljer att generera en KEK och be OEM att inkludera den i KEK databasen som standard. De skulle då ha precis lika mycket kontroll över uppstartsprocessen som Microsoft gör. Problemen med detta, såsom förklaras av Fedora Matthew Garrett, är att a) det skulle vara svårt att få alla datortillverkaren för att inkludera Fedora nyckel, och b) det skulle vara orättvist att andra Linux distributioner, eftersom deras nyckel inte skulle ingå behöver eftersom mindre distributioner inte har så många OEM-samarbeten.

Vad Fedora har valt att göra (och andra distributioner följer efter) är att använda Microsofts signeringstjänster. Detta scenario kräver att betala $ 99 till Verisign (certifikatutfärdaren som används av Microsoft), och beviljar utvecklare möjligheten att signera sin starthanterare med hjälp av Microsofts KEK. Eftersom Microsofts KEK kommer redan i de flesta datorer, ger detta dem att skriva sin starthanterare att använda Secure Boot, utan att kräva sin egen KEK. Det slutar upp att vara mer kompatibel med flera datorer, och kostar mindre övergripande än att hantera att sätta upp sin egen nyckelsignering och distributionssystem. Det finns några fler detaljer om hur detta kommer att fungera (med GRUB, undertecknat kärnmoduler och annan teknisk information) i nämnda blogginlägg, som jag rekommenderar att läsa om du är intresserad av den här sortens saker.

Anta att du inte vill ta itu med besväret med att registrera dig för Microsofts system eller inte vill betala $ 99, eller bara har en ovilja mot stora företag som börjar med ett M. Det finns ett annat alternativ att fortfarande använda Secure Boot och köra en annan än Windows OS. Microsofts hårdvara certifiering kräver att OEM låter användare anger sina system i UEFI “anpassad” -läge, där de manuellt kan ändra Secure Boot databaser och PK. Systemet kan sättas i UEFI inställningsläget, där användaren ens kunde specificera sin egen PK och logga starthanterare sig.

Dessutom Microsofts egna certifieringskrav gör det obligatoriskt för OEM att inkludera en metod för att inaktivera Secure Boot på icke-ARM-system. Du kan stänga Secure Boot off! De enda system där du inte kan inaktivera Secure Boot är ARM system som kör Windows RT, som fungerar mer i likhet med iPad, där du inte kan ladda anpassade operativsystem. Även om jag önskar att det skulle vara möjligt att ändra OS på ARM-enheter, är det rimligt att säga att Microsoft följer branschstandard när det gäller tabletter här.

Så som ni kan förhoppningsvis se, är säker Boot inte ont, och inte bara begränsad till användning med Windows. Anledningen till att FSF och andra är så upprörd över det beror på att det lägger till några extra steg för att med hjälp av ett operativsystem från tredje part. Linux distributioner kanske inte gillar att betala för att använda Microsofts nyckel, men det är det enklaste och mest kostnadseffektiva sättet att få Secure Boot arbetar för Linux. Lyckligtvis är det lätt att vända Secure Boot av, och möjligt att lägga till olika nycklar, så att man undviker behovet av att ta itu med Microsoft.

Med tanke på mängden alltmer avancerad skadlig kod, verkar Secure Boot som en rimlig idé. Det är inte tänkt att vara en ond plan att ta över världen, och är en mycket mindre skrämmande än vissa fri programvara förståsigpåare kommer få er att tro.

TL; DR: Säker boot förhindrar skadlig kod från att infektera datorn på en låg, odetekterbar nivå under uppstart. Vem som helst kan skapa de nödvändiga knapparna för att få det att fungera, men det är svårt att övertyga datortillverkare att distribuera din nyckel till alla, så kan du alternativt välja att betala Verisign att använda Microsofts nyckel att signera din starthanterare och få dem att fungera. Du kan också inaktivera Secure Boot på alla icke-ARM dator.

Sista tanke, med avseende på FSF: s kampanj mot Secure boot: En del av deras oro (dvs det gör det svårare att installera fria operativsystem) är giltiga till en punkt. Att säga att de begränsningar som kommer att “hindra någon från att starta något annat än Windows” är bevisligen falskt men av de skäl som illustrerats ovan. Kampanj mot UEFI / Secure Boot som en teknik är kortsiktigt, felinformerad och det är osannolikt att vara effektiv ändå. Det är viktigare att se till att tillverkarna faktiskt följa Microsofts krav för att låta användarna inaktivera Secure Boot eller ändra nycklarna om de så önskar.

Har något att tillägga till förklaringen? Ljud av i kommentarerna. Vill du läsa fler svar från andra tekniskt kunniga Stack Exchange-användare? Kolla in hela diskussionstråd här.

Jag tror att problemet är att 3: e parts operativsystem blir i händerna på Microsofts hårdvara certifierings ideologi. De har blivit bränd av att förlora tillgång till ARM, och detta är verkligen ett problem!

du ska installera Linux, det faktiskt fungerar.

Jag woudn’t köpa en dator om jag inte kunde installera Linux på den. Jag väldigt gärna köra Linux Mint på en och Ubuntu Gnome på other.I fortfarande ha Windows 7, men bara använda det nu att kontrollera det är fortfarande där.

börjar med 12.10.2 Ubuntu installeras i efi läge på UEFI-baserade system. Se Ubuntu dokumentation för särskilda förfaranden.

Om du vill använda en Linux-distributioner alltid gå med i deras gemenskap. Det är det enklaste sättet att lära sig.

Jag tror den verkliga frågan kan du dual boot Linux på M $ Windows 8 eller M $ Windows 8 på Linux.

Svaret är ett rungande JA! Men återigen säger jag hänvisa till Ubuntu dokumentation för korrekta förfaranden för att installera en dual boot via EFI

https://help.ubuntu.com/community/UEFI

Tack Robert. Jag var ganska säker på att var svaret, men det verkade för mig att detta bör göras mycket klart för alla.

Mitt problem med den nya EFI Secure Boot är Windows 8 vägrade att starta med den avstängd. Återigen MS spelar far-vet-bäst med våra operativsystem. Under mina många år att använda datorer, aldrig en gång har jag haft en virusmängd under uppstart, bör det vara mitt val om jag använder Secure Boot.

Jag hoppas att jag saknar något och man kan starta åtta utan säker boot men från en viss begränsad erfarenhet det inte fungerade för mig.

Under mina många år att använda datorer, aldrig en gång har jag haft en virusmängd under uppstart

Ja exakt. De är “fastställande” en icke-befintliga problem. Medan BIOS blir för gammal, är detta bara dumt för en ersättare. Jag tänker inte oroa sig för det men så länge det kan stängas av. Jag tänker inte använda Windows.

Jag skulle väldigt gärna vilja se en kopia av detta avtal Microsoft har med OEM.

Jag har 2 nya moderkort, från två av de ledande mboard tillverkare (Gigabyte och ASRock) och ingen av dem kan SecureBoot vara inaktiverad. (Gigabyte ombord tillåter UEFI boot vara inaktiverad, vilket inte är samma sak).

Dessutom, hur hjälper det säkerhet om disken är låst till en enda moderkort? Jag kan inte klona en Linux-enhet, flytta den till ett annat system, och starta det därifrån, även om jag har laglig rätt att göra så. Detta är bara drakoniska DRM under täckmantel av “säkerhet”.

Tack vare J.K. Rowling specifikationer, var Harry Potter-filmerna alla filmade i Storbritannien med brittiska aktörer.