als ik koop een computer met Windows 8 en veilig boot kan ik Linux installeren nog?

De nieuwe UEFI Secure Boot-systeem in Windows 8 heeft meer dan zijn deel van de verwarring veroorzaakt, met name onder dual booters. Lees verder zoals we het opruimen van de misvattingen over dual booting met Windows 8 en Linux.

Today’s Vraag & antwoord-sessie tot ons komt beleefdheid van SuperUser-een onderverdeling van Stack Exchange, een community-gedreven groepering van Q & A websites.

SuperUser reader Harsha K is nieuwsgierig naar het nieuwe UEFI-systeem. Hij schrijft

Ik heb veel gehoord over de manier waarop Microsoft is de uitvoering van UEFI Secure Boot in Windows 8. Blijkbaar voorkomt “onbevoegden” bootloaders uitgevoerd op de computer, om malware te voorkomen. Er is een campagne van de Free Software Foundation tegen veilige boot, en een heleboel mensen hebben gezegd online dat het een “machtsgreep” door Microsoft om “te elimineren vrije besturingssystemen”.

Als ik een computer waarop Windows 8 en Secure Boot voorgeïnstalleerd te krijgen, zal ik nog steeds in staat zijn om Linux (of een ander OS) te installeren later? Of is een computer met Secure Boot alleen werken met Windows?

Dus wat is de deal? Zijn dual booters echt pech?

SuperUser inzender Nathan Hinkle biedt een fantastisch overzicht van wat UEFI is en wat niet

Allereerst, het simpele antwoord op uw vraag

Nu, op de details van hoe dit hele Secure Boot ding echt werkt: Er is veel verkeerde informatie over de Secure Boot, vooral van de Free Software Foundation en soortgelijke groepen. Dit maakte het moeilijk om informatie over wat Secure Boot doet eigenlijk, dus ik zal mijn best doen om uit te leggen te vinden. Merk op dat ik heb geen persoonlijke ervaring met het ontwikkelen van veilige boot systemen of iets dergelijks, dit is precies wat ik heb geleerd van online lezen.

Allereerst, Secure Boot is niet iets dat Microsoft kwam met. Ze zijn de eerste op grote schaal uit te voeren, maar ze niet uitgevonden. Het maakt deel uit van de UEFI specificatie, die in feite een nieuwe vervanger voor de oude BIOS die je waarschijnlijk gewend bent. UEFI is eigenlijk de software dat de besprekingen tussen het besturingssysteem en de hardware. UEFI normen worden gemaakt door een groep genaamd de “UEFI Forum”, die bestaat uit het berekenen van vertegenwoordigers van de industrie, waaronder Microsoft, Apple, Intel, AMD, en een handvol van computerfabrikanten.

Tweede belangrijkste punt, met Secure Boot ingeschakeld op een computer, betekent niet dat de computer kan nooit een ander besturingssysteem op te starten. In feite zijn eigen Windows Hardware Certification Requirements Microsoft’s stellen dat voor niet-ARM-systemen, moet je in staat zijn om zowel Secure Boot uit te schakelen en veranderen de toetsen (naar andere besturingssystemen mogelijk te maken). Meer daarover later wel.

In wezen, het voorkomt dat malware van uw computer te vallen door middel van de opstartvolgorde. Malware die via de bootloader komt kan erg moeilijk te detecteren en te stoppen, omdat het kan infiltreren low-level functies van het besturingssysteem, waardoor het onzichtbaar voor antivirussoftware. Alles wat Secure Boot is echt is het ook controleert of de bootloader is van een betrouwbare bron, en dat het niet is geknoeid. Denk aan het als de pop-up caps op flessen die zeggen “niet openen als deksel is opgedoken of verzegeling is geknoeid”.

Op het hoogste niveau van bescherming, je hebt het platform sleutel (PK). Er is slechts één PK op elk systeem, en het is geïnstalleerd door de OEM tijdens de fabricage. Deze toets wordt gebruikt om de KEK-database te beschermen. De database bevat KEK Key Exchange toetsen, die worden gebruikt om de andere beveiligde boot databases wijzigen. Er kunnen meerdere keks. Er is dan een derde niveau: de Authorized Database (db) en de Verboden datbase (dbx). Deze bevatten informatie over Certificate Authorities, extra cryptografische sleutels, en UEFI apparaat afbeeldingen toestaan ​​of blokkeren, respectievelijk. Om een ​​bootloader te mogen uitvoeren, moet het cryptografisch worden ondertekend met een sleutel die in de db, en is niet in de dbx.

Afbeelding van Building Windows 8: Bescherming van de pre-OS-omgeving met UEFI

De OEM-genereert zijn eigen PK en Microsoft biedt een KEK dat de OEM nodig is om pre-load in de KEK database. Microsoft tekent dan is de Windows 8 bootloader, en maakt gebruik van hun KEK om deze handtekening in de Authorized Database zetten. Wanneer UEFI laarzen de computer, verifieert de PK, verifieert Microsoft KEK, en vervolgens controleert de bootloader. Als alles er goed uitziet, dan is het besturingssysteem kan opstarten.

Afbeelding van Building Windows 8: Bescherming van de pre-OS-omgeving met UEFI

In de eerste plaats kon geen Linux distro kiezen om een ​​KEK genereren en vragen OEM’s op te nemen in de KEK databank standaard. Ze zouden dan net zo veel controle over het opstartproces als Microsoft doet. De problemen met deze, zoals door Fedora Matthew Garrett zijn dat a) het moeilijk zou zijn om elke PC fabrikant om belangrijke Fedora omvatten krijgen, en b) het zou oneerlijk zijn om andere Linux distributies, omdat de sleutel niet wordt opgenomen , omdat kleinere distro’s hebben niet zo veel OEM partnerships.

Wat Fedora heeft ervoor gekozen om te doen (en andere distributies volgen dit voorbeeld) is om Microsoft’s ondertekening diensten te gebruiken. Dit scenario vereist het betalen van $ 99 tot Verisign (de Certificate Authority die Microsoft gebruikt), en subsidies ontwikkelaars de mogelijkheid om hun bootloader met behulp van Microsoft’s KEK ondertekenen. Sinds Microsoft’s KEK al zal in de meeste computers, dit hen in staat stelt om hun bootloader te melden bij Secure Boot te gebruiken, zonder dat hun eigen KEK. Het eindigt in meer compatibel met meer computers, en de kosten minder dan de totale omgaan met het opzetten van hun eigen sleutel ondertekening en distributiesysteem. Er zijn wat meer details over hoe dit zal werken (met behulp van GRUB, ondertekend Kernel modules, en andere technische info) in de eerder genoemde blog post, die ik beveel het lezen als je geïnteresseerd bent in dit soort dingen bent.

Stel dat u niet wilt om te gaan met het gedoe van het aanmelden voor Microsoft’s systeem, of niet willen $ 99 betalen, of gewoon een wrok tegen grote bedrijven die beginnen met een M. Er is nog een optie om nog te gebruiken Secure Boot en uitvoeren van een andere dan de Windows-besturingssysteem. Microsoft’s hardware-certificering vereist dat OEM’s laten gebruikers voeren hun systeem in UEFI “custom” modus, waarin ze handmatig de Secure Boot databases en de PK kunt wijzigen. Het systeem kan in UEFI Setup-modus, waarbij de gebruiker zelfs hun eigen PK kon opgeven en ondertekenen bootloaders zelf worden gezet.

Verder eigen certificatie-eisen van Microsoft maakt het verplicht voor OEM’s om een ​​methode om Secure Boot op niet-ARM-systemen uit te schakelen omvatten. U kunt Secure Boot uit te schakelen! De enige systemen waar je Secure Boot niet kunt uitschakelen zijn ARM-systemen met Windows RT, die meer op dezelfde manier werken aan de iPad, waar je niet aangepaste besturingssystemen kan laden. Hoewel ik wou dat het mogelijk is om de OS op ARM-apparaten te veranderen zou zijn, het is eerlijk om te zeggen dat Microsoft volgt de industriële standaard met betrekking tot tabletten hier.

Dus zoals je hopelijk kunt zien, Secure Boot is niet slecht, en het is niet alleen beperkt tot het gebruik met Windows. De reden dat de FSF en anderen zijn zo boos over het is omdat het extra stappen toe te voegen aan het gebruik van een derde partij besturingssysteem. Linux distributies kunnen niet zoals het betalen van Microsoft sleutel te gebruiken, maar het is de makkelijkste en meest kosteneffectieve manier om de Secure Boot werkend te krijgen voor Linux. Gelukkig is het gemakkelijk om Secure Boot uitschakelen en mogelijk verschillende sleutels toe, waardoor de noodzaak om te gaan met Microsoft vermijden.

Gezien de hoeveelheid steeds geavanceerdere malware, Secure Boot lijkt een redelijk idee. Het is niet bedoeld om een ​​kwade plot over de wereld over te nemen, en is een stuk minder eng dan sommige gratis software experts zal doen geloven.

TL; DR: Secure boot voorkomt dat malware infecties van uw systeem op een laag, niet op te sporen niveau tijdens het opstarten. Iedereen kan de nodige sleutels aan te maken om het te laten werken, maar het is moeilijk om de computer makers ervan te overtuigen om uw sleutel voor iedereen te verspreiden, zodat u kunt ook kiezen om Verisign betalen aan Microsoft’s toets gebruiken om uw bootloaders ondertekenen en ze te laten werken. U kunt ook Secure Boot uit te schakelen op een niet-ARM computer.

Laatste gedachte, met betrekking tot de campagne van de FSF tegen Secure boot: Sommige van hun zorgen (dat wil zeggen dat maakt het moeilijker om vrije besturingssystemen te installeren) zijn geldig tot een punt. Zeggen dat de beperkingen “voorkomen dat iemand van iets, maar Windows opstarten” is aantoonbaar onjuist hoewel, om de redenen die hierboven afgebeeld. Campagne tegen UEFI / Secure Boot als een technologie is kortzichtig, geïnformeerd, en waarschijnlijk niet anyways effectief zijn. Het is belangrijker om ervoor te zorgen dat de fabrikanten daadwerkelijk volgen eisen van Microsoft voor het laten van gebruikers Secure Boot uit te schakelen of te wijzigen van de sleutels, indien zij dit wensen.

Hebben iets toe te voegen aan de verklaring? Geluid uit in de commentaren. Wil je meer antwoorden van andere tech-savvy Stack Exchange-gebruikers te lezen? Bekijk de volledige bespreking draad hier.

Ik denk dat het probleem is dat 3rd party OS geworden bij de genade van Microsoft’s hardware-certificering ideologie. Zij hebben gekregen verbrand door het verlies van toegang tot de ARM, en dit is zeker een probleem!

moet je linux installeren, het echt werkt.

Ik zouden nergens anders koop een PC als ik niet op Linux zou kunnen installeren. Ik heel graag draaien Linux Mint op een en Ubuntu Gnome op het other.I nog steeds Windows 7, maar gebruik het nu pas te controleren is het er nog steeds.

te beginnen met 12.10.2 Ubuntu installeert in efi-modus op UEFI-gebaseerde systemen. Raadpleeg de Ubuntu-documentatie voor specifieke procedures.

als je wilt een linux distro join altijd hun gemeenschap. Het is de makkelijkste manier om te leren.

Ik denk dat de echte vraag kunt u dual boot Linux op M $ Windows 8 of M $ Windows 8 op Linux.

Het antwoord is een volmondig JA! Maar nogmaals, ik zeg Raadpleeg de documentatie van Ubuntu voor de juiste procedures om een ​​dual boot via EFI installeren

https://help.ubuntu.com/community/UEFI

Bedankt Robert. Ik was er vrij zeker van dat het antwoord was, maar het leek me dat dit heel duidelijk voor iedereen moet worden gemaakt.

Mijn probleem met de nieuwe EFI Secure Boot is Windows 8 weigerde op te starten met haar uitgeschakeld. Nogmaals MS speelt vader-weet-het beste met onze besturingssystemen. In mijn vele jaren van het gebruik van pc’s, nooit heb ik een virus belasting tijdens het opstarten, moet het mijn keuze wel of niet gebruik ik Secure Boot.

Ik hoop dat ik mis iets en je kunt 8 opstarten zonder veilige boot, maar van enkele beperkte ervaring het werkte niet voor mij.

In mijn vele jaren van het gebruik van pc’s, nooit heb ik een virus belasting tijdens het opstarten

Ja precies. Ze zijn ‘vaststelling’ een niet-bestaand probleem. Overwegende dat de BIOS is te oud, dit is gewoon dom voor een vervanging. Ik ga niet zorgen te maken over het al zo lang als het kan worden uitgeschakeld. Ik ben niet van plan om Windows te gebruiken.

Ik zou heel graag een kopie van deze overeenkomst Microsoft heeft met OEM’s te zien.

Ik heb 2 nieuwe moederborden, uit 2 van de toonaangevende fabrikanten mboard (Gigabyte en ASRock) en geen van hen in staat SecureBoot te zijn uitgeschakeld. (De Gigabyte board laat UEFI boot te zijn uitgeschakeld, wat niet hetzelfde is).

Ook, hoe helpt het de veiligheid als de schijf is vergrendeld op een enkel moederbord? Ik kan geen kloon van een linux-station, verplaatsen naar een ander systeem, en start het van daar, ook al ben ik wettelijk recht om dat te doen. Dit is gewoon draconische DRM onder het mom van “veiligheid”.

Dankzij J.K. Rowlings specificaties, werden de Harry Potter-films allemaal gefilmd in Groot-Brittannië met de Britse acteurs.