Startpagina » hoe » Als ik een computer koop met Windows 8 en Secure Boot, kan ik dan nog steeds Linux installeren?

    Als ik een computer koop met Windows 8 en Secure Boot, kan ik dan nog steeds Linux installeren?

    Het nieuwe UEFI Secure Boot-systeem in Windows 8 heeft meer dan voldoende verwarring veroorzaakt, vooral onder dual-booters. Lees verder terwijl we de misvattingen over dubbel opstarten met Windows 8 en Linux opruimen.

    De Question & Answer-sessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een gemeenschapsgedreven groep van Q & A-websites.

    De vraag

    SuperUser-lezer Harsha K is nieuwsgierig naar het nieuwe UEFI-systeem. Hij schrijft:

    Ik heb veel gehoord over hoe Microsoft UEFI Secure Boot implementeert in Windows 8. Blijkbaar voorkomt het dat "onbevoegde" bootloaders op de computer worden uitgevoerd om malware te voorkomen. Er is een campagne van de Free Software Foundation tegen veilig opstarten, en veel mensen hebben online gezegd dat het een "power grab" van Microsoft is om "gratis besturingssystemen te elimineren".

    Als ik een computer ontvang waarop Windows 8 en Secure Boot vooraf zijn geïnstalleerd, kan ik later Linux (of een ander besturingssysteem) nog steeds installeren? Of werkt een computer met Secure Boot alleen met Windows??

    Dus wat is de deal? Hebben dubbele booters echt geen geluk?

    Het antwoord

    SuperUser-bijdrager Nathan Hinkle biedt een fantastisch overzicht van wat UEFI wel en niet is:

    Allereerst het simpele antwoord op uw vraag:

    • Als u een ARM-tablet heeft met Windows RT (zoals de Surface RT of de Asus Vivo RT), dan u kunt Secure Boot niet uitschakelen of andere besturingssystemen installeren. Zoals veel andere ARM-tablets, zullen deze apparaten dat ook doen enkel en alleen voer het OS uit waarmee ze komen.
    • Als u een niet-ARM-computer hebt met Windows 8 (zoals de Surface Pro of een van de ontelbare ultrabooks, desktops en tablets met een x86-64-processor), dan u kunt Secure Boot volledig uitschakelen, of je kunt je eigen sleutels installeren en je eigen bootloader ondertekenen. Hoe dan ook, je kunt een OS van een derde partij installeren zoals een Linux distro of FreeBSD of DOS of wat je maar wilt.

    Nu, op de details van hoe dit hele Secure Boot-ding echt werkt: er is veel verkeerde informatie over Secure Boot, vooral van de Free Software Foundation en vergelijkbare groepen. Dit heeft het moeilijk gemaakt om informatie te vinden over wat Secure Boot eigenlijk doet, dus ik zal mijn best doen om het uit te leggen. Merk op dat ik geen persoonlijke ervaring heb met het ontwikkelen van veilige opstartsystemen of iets dergelijks; dit is precies wat ik heb geleerd van online lezen.

    Allereerst, Secure Boot is niet iets dat Microsoft bedacht. Zij zijn de eersten die het op grote schaal implementeren, maar ze hebben het niet uitgevonden. Het maakt deel uit van de UEFI-specificatie, die in feite een nieuwere vervanging is voor het oude BIOS dat u waarschijnlijk gewend bent. UEFI is eigenlijk de software die praat tussen het besturingssysteem en de hardware. UEFI-normen worden gecreëerd door een groep die het "UEFI-forum" wordt genoemd en dat bestaat uit vertegenwoordigers van de computerindustrie, waaronder Microsoft, Apple, Intel, AMD en een handvol computerfabrikanten..

    Het tweede belangrijkste punt, als Secure Boot is ingeschakeld op een computer niet betekent dat de computer nooit een ander besturingssysteem kan opstarten. Eigenlijk stellen de Windows Hardware Certification Requirements van Microsoft dat voor niet-ARM-systemen, u in staat moet zijn om Secure Boot zowel uit te schakelen als de sleutels te wijzigen (om andere besturingssystemen toe te staan). Daarover later meer.

    Wat doet Secure Boot?

    In wezen voorkomt dit dat malware uw computer aanvalt via de opstartvolgorde. Malware die via de bootloader binnenkomt, kan erg moeilijk te detecteren en te stoppen zijn, omdat het de low-levelfuncties van het besturingssysteem kan infiltreren en het onzichtbaar voor antivirussoftware kan houden. Alles wat Secure Boot echt doet, is dat het verifieert dat de bootloader van een vertrouwde bron is en dat er niet mee is geknoeid. Zie het als de pop-up caps op flessen die zeggen "open niet als er een deksel is opgetrokken of er is geknoeid met".

    Op het hoogste beveiligingsniveau hebt u de platformsleutel (PK). Er is slechts één PK op een systeem en het wordt tijdens de productie door de OEM geïnstalleerd. Deze sleutel wordt gebruikt om de KEK-database te beschermen. De KEK-database bevat Key Exchange Keys, die worden gebruikt om de andere beveiligde opstartdatabases aan te passen. Er kunnen meerdere KEKs zijn. Er is dan een derde niveau: de Authorized Database (db) en de Forbidden Datbase (dbx). Deze bevatten informatie over respectievelijk certificaatautoriteiten, extra cryptografische sleutels en UEFI-apparaatafbeeldingen om toe te staan ​​of te blokkeren. Om een ​​bootloader te kunnen laten uitvoeren, moet deze cryptografisch ondertekend zijn met een sleutel die is in de db, en is niet in de dbx.

    Afbeelding van Building Windows 8: de pre-OS-omgeving beschermen met UEFI

    Hoe dit werkt op een echt Windows 8 Certified-systeem

    De OEM genereert zijn eigen PK en Microsoft biedt een KEK die de OEM moet laden in de KEK-database. Microsoft ondertekent vervolgens de Windows 8 Bootloader en gebruikt hun KEK om deze handtekening in de geautoriseerde database te zetten. Wanneer UEFI de computer opstart, wordt de PK geverifieerd, wordt KEK van Microsoft geverifieerd en wordt vervolgens de bootloader gecontroleerd. Als alles er goed uitziet, kan het besturingssysteem opstarten.


    Afbeelding van Building Windows 8: de pre-OS-omgeving beschermen met UEFI

    Waar komen besturingssystemen van derden, zoals Linux, binnen??

    Ten eerste kan elke Linux-distro ervoor kiezen om een ​​KEK te genereren en OEM's te vragen deze standaard op te nemen in de KEK-database. Ze zouden dan net zo veel controle over het opstartproces hebben als Microsoft. De problemen hiermee, zoals uitgelegd door Matthew Garrett van Fedora, zijn dat a) het moeilijk zou zijn om elke pc-fabrikant de sleutel van Fedora te laten opnemen, en b) het zou oneerlijk zijn voor andere Linux-distro's, omdat hun sleutel niet zou worden opgenomen , omdat kleinere distributeurs niet zoveel OEM-partnerschappen hebben.

    Wat Fedora heeft gekozen om te doen (en andere distro's volgen), is het gebruik van de signeerservices van Microsoft. In dit scenario moet $ 99 worden betaald aan Verisign (de certificeringsinstantie die Microsoft gebruikt) en kunnen ontwikkelaars hun bootloader ondertekenen met KEK van Microsoft. Omdat Microsoft's KEK al op de meeste computers aanwezig is, kunnen ze hun bootloader ondertekenen om Secure Boot te gebruiken, zonder dat ze hun eigen KEK nodig hebben. Het wordt uiteindelijk meer compatibel met meer computers en kost minder in het algemeen dan het opzetten van een eigen systeem voor het ondertekenen en distribueren van sleutels. Er zijn wat meer details over hoe dit werkt (met behulp van GRUB, gesigneerde Kernel-modules en andere technische informatie) in de bovengenoemde blogpost, die ik aanraad om te lezen als je geïnteresseerd bent in dit soort dingen.

    Stel dat je niet wilt omgaan met het gedoe van je aanmelden voor het systeem van Microsoft, of geen $ 99 wilt betalen, of gewoon een wrok koestert tegen grote bedrijven die beginnen met een M. Er is nog een andere optie om Secure Boot nog steeds te gebruiken en voer een ander besturingssysteem uit dan Windows. Hardware-certificering van Microsoft vereist dat OEM's gebruikers hun systeem in de "aangepaste" modus van UEFI laten invoeren, waar ze handmatig de Secure Boot-databases en de PK kunnen wijzigen. Het systeem kan in de UEFI-installatiemodus worden geplaatst, waarbij de gebruiker zelfs zijn eigen PK kan specificeren en bootloaders zelf kan ondertekenen.

    Bovendien verplichten de eigen certificeringvereisten van Microsoft OEM's om een ​​methode op te nemen om Secure Boot op niet-ARM-systemen uit te schakelen. U kunt Secure Boot uitschakelen! De enige systemen waar u Secure Boot niet kunt uitschakelen, zijn ARM-systemen met Windows RT, die meer op dezelfde manier werken als de iPad, waar u aangepaste besturingssystemen niet kunt laden. Hoewel ik zou willen dat het mogelijk zou zijn om het OS op ARM-apparaten te wijzigen, is het redelijk om te zeggen dat Microsoft de industriestandaard met betrekking tot tablets hier volgt.

    Dus veilige opstart is niet inherent slecht?

    Dus zoals je hopelijk kunt zien, is Secure Boot niet slecht, en is het niet beperkt tot alleen gebruik met Windows. De reden waarom de FSF en anderen er zo overstuur over zijn, is omdat het extra stappen toevoegt aan het gebruik van een besturingssysteem van derden. Linux distributies betalen misschien niet graag om de sleutel van Microsoft te gebruiken, maar het is de eenvoudigste en meest kosteneffectieve manier om Secure Boot voor Linux te laten werken. Gelukkig is het eenvoudig om Secure Boot uit te schakelen en mogelijk andere sleutels toe te voegen, waardoor het niet nodig is om met Microsoft om te gaan.

    Gezien de hoeveelheid steeds geavanceerdere malware lijkt Secure Boot een redelijk idee. Het is niet bedoeld als een slecht complot om de wereld over te nemen, en het is een stuk minder eng dan sommige gratis software experts je laten geloven.

    Extra lezen:

    • Microsoft Hardware Certification-vereisten
    • Windows 8 bouwen: de pre-OS-omgeving beschermen met UEFI
    • Microsoft-presentatie over Secure Boot-implementatie en sleutelbeheer
    • Implementatie van UEFI Secure Boot in Fedora
    • TechNet Secure Boot Overview
    • Wikipedia-artikel over UEFI

    TL; DR: Secure boot voorkomt dat malware uw systeem infecteert op een laag, niet detecteerbaar niveau tijdens het opstarten. Iedereen kan de benodigde sleutels maken om het te laten werken, maar het is moeilijk om computerfabrikanten ervan te overtuigen om te distribueren jouw sleutel voor iedereen, dus u kunt ook kiezen om Verisign te betalen om de sleutel van Microsoft te gebruiken om uw bootloaders te ondertekenen en ze te laten werken. U kunt Secure Boot ook inschakelen ieder niet-ARM-computer.

    Laatste gedachte, met betrekking tot de campagne van FSF tegen Secure boot: enkele van hun zorgen (dat wil zeggen, het haalt het harder om gratis besturingssystemen te installeren) zijn geldig naar een punt. Zeggen dat de beperkingen "voorkomen dat iemand iets anders dan Windows opstart", is echter aantoonbaar onjuist, om de hierboven geïllustreerde redenen. Campagne voeren tegen UEFI / Secure Boot als een technologie is kortzichtig, slecht geïnformeerd en is waarschijnlijk niet effectief. Het is belangrijker om ervoor te zorgen dat fabrikanten daadwerkelijk voldoen aan de vereisten van Microsoft om gebruikers Secure Boot te laten uitschakelen of de sleutels te wijzigen als ze dat willen.


    Heb je iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk hier de volledige discussiethread.