23 Ноября, 2011

Secure boot хорошо или плохо?

Вася Иванов
Интернет общественность была взбудоражена новостью о внедрении компанией Microsoft функции "secure boot" которая якобы мешает установке альтернативных ОС.Если кратко то в интернете было описано,что "secure boot' позволяет зашивать в железо ключи для проверки сигнатур загрузочного кода,и отказываться от выполнения тех загрузок которые не проходят проверку подписи.Эта технология призвана бороться с руткитами.Но как писали различные интернет-специалисты эта же технология позволит Microsoft блокировать загрузку других операционных систем отличных от Windows8.Посмотрим реально на функции "secure boot"
1)UEFI-(Unified Extensible Firmware Interface )-является интерфейсом, который отвечает за предзагрузочное окружение операционной системы.Если точнее то UEFI это интерфейс между операционной системой и микропрограммами,управляющими низкоуровневыми функциями оборудования.Его конкретное предназначение корректно инициализировать оборудование при включении системы и передать управление загрузчику ОС.
2)secure boot это версия протокола загрузки,а не функция Windows8
3)UEFI secure boot является частью обеспечения загрузки Windows8
4)Windows 8 использует secure boot,чтоб убедиться в безопасности загрузочной среды для ОС.
5)Oem-производители имеют право сами настраивать свои прошивки с микрокодом,настраивать уровни сертификатов и управлять политикой на своих платформах.
6) Microsoft не в праве контролировать или указывать требуемые настройки железа ПК производителям.
Как это работает? Питание на КОМПЬЮТЕРЕ включает процесс исполнения кода, который настраивает процессор, память и периферийные устройства в рамках подготовки к загрузки операционной системы на выполнение. Этот процесс является единым для всех платформ, независимо от лежащих в основе (x86, ARM и т.д.).
Вскоре после включения питания и перед передачей в загрузку операционной системы специальная зашитая в ПЗУ прошивка будет проверять цифровую подпись микрокодов который существует на периферийных устройствах таких как сетевые карты,жесткие диски,видеокарта.Прошивка будет сравнивать цифровые подписи с базой данных зашитых в ПЗУ ,списки разделены на две категории "Можно" и "Запрещено"
Далее на вопрос кто кем управляет? В Microsoft ответили так.
"Покупатель ПК в состоянии полностью контролировать свое железо ,для тех кто хочет загружать другие ОС отличные от Windows8 функцию "Secure boot" можно будет отключить,но в этом случае Windows8 загружаться не будет.
Все вроде бы не плохо,НО Метью Гарет из компании RedHat пообщался с производителями железа и раскрыл кое какие дели этого общения.
1)Win-8 сертификация требует от от производителей поставлять оборудование со включенной Secure Boot.
2)Win-8 сертификация не требует от производителя предусматривать возможность отключения Secure Boot.
3)Win-8 сертификация не требует наличия в системе ключей, отличных от ключей MS.
и MS будет поощрять поставщиков, если они будут соблюдать требования Win-8 Secure Boot по-минимуму (то есть, ключи только от MS без возможности отключить).
Так что смотрите что берете своими глазками,чтоб потом не было на кого пенять кроме себя!
UEFIUEFI -Secure boot-загрузкаБИОС-загрузкаОтключение Secure Boot
comments powered by Disqus