UEFI — интерфейс, который должен был заменить BIOS
БИОС UEFI наделал много шуму во время выхода, а теперь на всех компьютерах и ноутбуках с новыми материнскими платами (Asus, Gigabyte, MSI и т.д.) используется именно этот интерфейс, который пришел на замену прежнему БИОС. Не очень звучная аббревиатура расшифровывается как Unified Extensible Firmware Interface (по-русски это будет «расширяемый интерфейс встроенного ПО»). Итак, что же такое UEFI и чем он так «насолил» многим пользователям?
BIOS против UEFI
BIOS — это система, которая отвечает за все операции ввода/вывода для Windows. Разработана она была в далеком 1981 году, т.е. существует уже 33 года. Самый первый вариант BIOS, который использовался на компьютерах IBM, естественно, сильно отличался от сегодняшнего варианта. Тот БИОС использовался лишь в качестве драйверов, т.е. связывал операционную систему со всеми подключенными периферийными устройствами. Но со временем компьютер и вся периферия постепенно совершенствовались, и BIOS уже не мог выполнять те задачи, которые ему приписывали изначально. Так появились драйверы и разные программы, которые взаимодействовали с операционной системой. С годами BIOS постоянно менялся, пытаясь адаптироваться под новую технику, и в начале 90-х годов он уже мог выполнять такие функции, как автоматическая настройка плат расширения, загрузка с DVD-привода и т.д.
А новый вариант BIOS UEFI начал разрабатываться 13 лет назад, с 2001 года. Разработкой занималась компания Intel, которая собиралась использовать такой BIOS только для серверного процессора Itanium. Дело в том, что на этом процессоре не работала никакая версия BIOS, и даже доработки данного интерфейса не помогали в этой ситуации. Именно это и послужило стимулом для разработки BIOS UEFI. Изначально этот интерфейс назывался EFI, а первой компанией, которая начала его использовать, стала Apple. Корпорация Apple с 2006 года начала собирать компьютеры и ноутбуки на базе процессоров Inter и BIOS EFI. А за год до этого к аббревиатуре EFI добавилась буква «U», под которой скрывалось слово «Unified». Данное слово обозначает, что разработкой UEFI BIOS занималось одновременно несколько компаний. К ним относятся IBM, Dell, HP, Phoenix Inside, а также, естественно, компания Microsoft, поскольку именно она является основным разработчиком операционных систем.
Краткий видео обзор UEFI BIOS
Изменения в UEFI
Итак, UEFI BIOS — это интерфейс между операционной системой и программами, которые управляют низкоуровневыми функциями оборудования. Его основные задачи: быстро протестировать все оборудование на работоспособность, провести инициализацию и передать управление другой программе, которая начнет загружать операционную систему. В общем, UEFI это лишь улучшенная версия привычного БИОСа.
UEFI BIOS — своего рода «прослойка» между ОС и низкоуровневыми подпрограммами для работы с оборудованием
Если БИОС — это неизменный по своему содержанию код микросхемы CMOS (прошивка БИОС — это уже другая тема), то UEFI — это гибко настраиваемый интерфейс, который расположен поверх всех аппаратных компонентов компьютера. Иногда UEFI называют «псевдооперационной системой», но тем не менее она сама способна получить доступ ко всему аппаратному обеспечению компьютера.
Внешний вид последней версии БИОС (до UEFI) — это знакомый всем синий экран с белыми надписями на английском языке (управление осуществлялось только с помощью клавиатуры). Сейчас же это уже новая графическая оболочка. Графический интерфейс, который установлен на новых материнских платах Asus, MSI, может использоваться и для выполнения других приложений UEFI: настройка, диагностика и т.д. Внешне данный интерфейс выглядит очень симпатично. Простым пользователям будет намного проще разобраться в таком БИОСе, к тому же интерфейс UEFI поддерживает управление не только с клавиатуры, но и с помощью мышки. Также есть поддержка русского языка, к примеру, на тех же материнских платах от Asus. Вызвав BIOS UEFI теперь можно наблюдать конфигурацию своего компьютера (процессор и оперативную память), текущую дату и время, рабочую температуру устройств и пр.
Кроме того, в качестве бонуса к стандартной схеме разметки дисков MBR, UEFI имеет поддержку GBT (GUID Partition Table), которая свободна от ограничений, присущих MBR. Переход на платформу BIOS UEFI долгое время откладывался, но когда начали производить жесткие диски большого объема (более 2 Тб), стал неизбежным. Все дело в том, что стандартная версия БИОС может «видеть» только 2,2 Тб дискового пространства. Примерно так же, как и 32-разрядная операционная система может «видеть» только 3,25 Гб оперативной памяти. А UEFI может поддерживать на данный момент жесткие диски объемом до 9 млрд Тб (довольно космическое число на сегодняшний день, но, кто знает, может, через 10-20 лет это будет уже обычной вещью).
В качестве основных функций, которые имеются в BIOS UEFI еще стоит отметить:
- тестирование оперативной памяти;
- совместимость со старой версией BIOS;
- универсальный загрузчик;
- резервное копирование данных с винчестера (HDD Backup);
- возможность обновления UEFI через интернет (Live Update).
Преимущества BIOS UEFI
Главное достоинство UEFI — большее удобство
BIOS UEFI — это полностью переработанный механизм, который много чего взял от своего «отца» и предназначен для связи операционной системы и установленного оборудования на компьютере. Совсем скоро этот новый интерфейс полностью вытеснит старую версию BIOS.
Среди основных достоинств новой технологии можно отметить:
- Удобный интерфейс. UEFI имеет очень простой и понятный интерфейс практически для любого пользоваться с поддержкой мыши. Кроме того, есть поддержка русского языка (на материнских платах Asus и пр.).
- Поддержка GPT. Новый БИОС может работать с жесткими дисками, которые имеют таблицу разделов GUID (GPT). Такие HDD можно разбить на 128 первичных разделов (на дисках MBR можно было создать только 4 первичных раздела). Кроме того, жесткие диски с таблицей разделов GUID (GPT) работают с адресацией LBA, а старые HDD — с устаревшей адресацией CHS.
- Поддержка жестких дисков более 2 Тб. UEFI позволяет использовать любые существующие на данный момент , в то время как старая версия БИОС не видит более 2.2 Тб.
- Быстрая загрузка ОС. Загрузка операционной системы происходит намного быстрее. К примеру, установленная на GPT диск Windows 8 загружалась за 7-8 секунд. Такая разница во времени запуска ОС достигается за счет того, что больше не нужно выполнять поиск загрузчика на всех устройствах: загрузочный диск в UEFI назначается еще при установке операционной системы.
- Быстрое обновление. , чем старую версию БИОСа.
Особенность BIOS UEFI
Особенность интерфейса UEFI, которая доставляет много хлопот пользователям, это отсутствие возможности установить Windows 7 в качестве операционной системы. То есть все новые материнские платы (все равно Asus это или MSI), имеющие UEFI, «разрешают» пользователям установить только Windows 8. Кроме того, есть еще один довольно интересный протокол загрузки «Secure Boot», который тоже доставляет хлопот. Дело в том, что этот протокол основан на специальных ключах, которые принадлежат производителям компьютеров, ноутбуков и прочего оборудования. И у каждого производителя свои ключи: у Asus — одни, а у Gigabyte — уже совсем другие. Именно поэтому, если у вас стоит новая материнская плата от Asus или ноутбук Asus с БИОС UEFI, то никакую другую операционную систему поставить не получится.
Хотя есть одна настройка, с помощью которой все же можно установить, к примеру, Windows 7. Для этого нужно лишь отключить опцию «Secure Boot». Но такая настройка приведет к тому, что ОС придется ставить на диск MBR, а все преимущества работы с GPT оценить не получится. Но тут уж решать пользователю: нужна ему эта настройка или нет. На новом оборудовании от Asus, Gigabyte, MSI по-другому сделать не получится: либо Windows 7 и диск MBR, либо Windows 8 и диск GPT.
В общем, прогресс не стоит на месте, придется привыкать к новому. К тому же через некоторое время компания Microsoft прекратит поддержку Windows 7, так что BIOS UEFI и Windows 8 скоро станут довольно обычным явлением.
Большинство пользователей обновили свои компьютеры: приобрели новые системным блоки, материнские платы или ноутбуки в последние года четыре.
Примечательностью новых машин является то, что устаревшая система ввода-вывода больше не используется, её место заняла усовершенствованная прошивка под названием UEFI.
Она обладает огромными количеством преимуществ над BIOS, которые сегодня и рассмотрим.
Более подробно же остановимся на : узнаем, что это и почему его так не любят пользователи.
Эволюция системного программного обеспечения
Более двух десятилетий в качестве ПО низкого уровня, используемого при старте компьютера для тестирования его оборудования, передачи управления железом главной , которая выбирает и запускает загрузчик нужной операционной системы, использовался BIOS.
C его помощью пользователи могут управлять огромным количеством параметров аппаратных компонентов.
CMOS – электронный элемент с независимым питанием в виде батарейки, где и хранится вся текущая конфигурация компьютера.
BIOS появился еще в конце 80-х годов. Да, он регулярно усовершенствовался и обновлялся, модифицировался под потребности пользователей и разработчиков, давая им возможность управлять режимами работы оборудования и электропитанием, но всему когда-то приходит конец. Тем более, что система ввода/вывода – тот компонент, который меньше всего претерпел изменения за почти три десятка лет в области информационных технологий.
BIOS обладает массой недостатков:
- он не поддерживает загрузку из жестких дисков объёмом больше 2 ТБ – купили вы новый винчестер на 3 или 4 ТБ, а установить операционную систему на него не сможете, это технологическое ограничение главной загрузочной записи (никто в 80-х и не подумывал, что HDD могут быть столь неимоверного объема);
- BIOS функционирует в 16-ти битном режиме (при том, что фактически все современные процессоры являются 64 и 32-х битными) при использовании всего 1024 КБ памяти;
- процесс одновременной инициализации нескольких устройств поддерживается, но он весьма неотлажен и проблематичен, что снижает скорость запуска компьютера (каждый аппаратный компонент и интерфейс инициализируется отдельно);
- БИОС – рай для пиратов – он не имеет никаких защитных механизмов, что позволяет загружать любые операционные системы и драйверы, в том числе с изменённым кодом и неподписанные (нелицензионные).
Первая версия UEFI разработана корпорацией Intel для Itanium, но позже была портирована на IBM PC.
Это самостоятельная операционная система с графическим интерфейсом, состоящая из множества модулей и имеющая неограниченный доступ к ресурсам аппаратных компонентов.
Особенности новой EFI с графическим интерфейсом:
- её код написан полностью на , что позволяет увеличить производительность во время загрузки ПК посредством задействования возможностей 64-разрядных центральных процессоров;
- адресного пространства операционной системы хватает для поддержки 8*10 18 байт дискового пространства (такого запаса хватит на несколько десятилетий) при том, что весь объем цифровой информации на данный момент почти на три порядка ниже;
- адресация оперативной памяти – теоретические расчёты показывают, что UEFI позволит устанавливать до 16 эксабайт оперативной памяти (на 9 порядков больше, чем в мощных современных ПК);
- ускоренная загрузка ОС осуществляется благодаря параллельной инициализации аппаратных компонентов и загрузке драйверов;
- драйверы подгружаются в оперативную память ещё до запуска операционной системы, причём они не являются платформозависимыми;
- вместо старой схемы разметки разделов используется прогрессивная GPT, однако для её задействования придётся ;
- удобная и симпатичная графическая оболочка поддерживает управление посредством мыши;
- есть встроенные утилиты для диагностики, изменения конфигурации и обновления прошивок аппаратных компонентов;
- поддержка макросов в формате.nsh;
- модульная архитектура – позволяет загружать собственные драйверы или скачанные из интернета;
- одно из самых значимых и важнейших изменений (в частности для Microsoft), которые привнесла UEFI – наличие . Она вызвана оберегать Bootloader от выполнения вредоносного кода, защитить операционную систему от вирусов ещё до её запуска посредством эксплуатации цифровых подписей.
О последней функции поговорим подробнее.
Secure Boot
Название технологии переводится как «безопасная загрузка» и представляет собой протокол, который является составляющей спецификации графической EFI.
Рис.4 – Проверка режима работы Secure Boot через командную строку в Windows 10
Многие современные производители компонентов для персональных компьютеров и программ стараются обеспечить поддержку своими продуктами интерфейса UEFI. Это программное решение должно стать прекрасной альтернативой уже успевшей стать привычной системе BIOS.
В чем же заключается специфика рассматриваемого программного обеспечения? Какие варианты его использования возможны? И что представляет собой UEFI? Попробуем разобраться в этом вопросе.
Что такое UEFI?
Под UEFI понимается особый интерфейс, который устанавливается между инсталлированной на компьютере операционной системой и программным обеспечением, обеспечивающим функционирование различных аппаратных компонентов компьютера. Некоторые именуют этот интерфейс BIOS Uefi. С одно стороны, даже в этом названии заключена ошибка. Ведь BIOS функционирует совершенно по другим принципам. UEFI является разработкой компании Intel, а BIOS представляет собой программное обеспечение, поддерживаемое различными брендами. Назначение BIOS и UEFI в принципе одно и тоже. Но формально сочетание BIOS UEFI является некорректным, но в то же время оно не противоречит логике программно-аппаратных алгоритмов управления ПК.
Отличия UEFI от BIOS
Прежде всего следует уделить внимание главному – отличиям между классическим UEFI и чистым BIOS. UEFI сегодня позиционируется как программное решение, являющееся неплохой альтернативой BIOS. Многие производители материнских плат для ПК пытаются обеспечить своим устройствам поддержку программного обеспечения, разработанного Intel. Отличия UEFI от BIOS можно легко обнаружить, рассмотрев минусы второй системы. Первый минус заключается в том, что BIOS не дает возможности обеспечить полноценное использование дискового пространства на больших жестких дисках, объем которых превышает 2 Тб.
Это связано с тем, что всего несколько лет назад такие объемы жестких дисков казались недостижимыми. Поэтому производители ПК не обращали особое внимание на соответствующий недостаток системы BIOS. Сегодня жесткий диск объемом от 2 Терабайт и более уже никого не удивит. Производители персональных компьютеров уже почувствовали необходимость перехода на UEFI. Учитывая современные технологические тренды, эту необходимость нельзя назвать необъективной.
Другая особенность BIOS заключается в поддержке ограниченного количества разделов на жестком диске. UEFI же имеет возможность работать со 128 разделами. В структуре новой разработки Intel создана таблица разделов GPT, с помощью которой можно задействовать все технологические преимущества UEFI. Несмотря на все рассмотренные отличия новой среды и традиционной системы BIOS, основные функции их совпадают. Фактических различий между этими системами, на самом деле, не так уж много. Исключение составляет разве что алгоритм обеспечения безопасности, реализованный в UEFI. Специалисты считают, что новая платформа дает возможность быстрее загружать операционные системы. Другие считают, что это актуально только для операционной системы Windows 8.
Рассмотрим более детально систему безопасности, использованную в UEFI.
Технология безопасности среды UEFI
Системы UEFI опережают BIOS с точки зрения безопасности. Сегодня существуют уникальные вирусы, которые обладают способностью внедрятся в саму микросхему, в которой прописаны алгоритмы BIOS. В результате становится возможной загрузка операционной системы с расширенными правами пользователя. Это открывает широкие возможности для несанкционированного доступа. В новом программном решении от Intel также реализован режим безопасной загрузки, который предусматривает алгоритм под названием Secure Boot.
Данный алгоритм основан на использовании ключей особого типа, которые сертифицированы самыми крупными брендами IT-индустрии. На самом деле сегодня не так много таких компаний. Если говорить о поддержке соответствующей опции производителями ОС, то на сегодняшний день ее обеспечивает только Microsoft в Windows 8. Также совместимость с данным алгоритмом безопасности на сегодняшний день реализована в некоторых версиях Linux.
Преимущества системы UEFI
Все перечисленные выше недостатки BIOS систем можно причислить и к достоинствам UEFI. Но есть у новой системы целый ряд важнейших преимуществ. Рассмотрим их подробнее. Во-первых, система обладает простым и интуитивно понятным интерфейсом. В UEFI реализована функция поддержки мыши, что для BIOS не свойственно. Кроме того, многие версии UEFI поддерживают русифицированный интерфейс. Алгоритмы, используемые в новом программном решении, дают возможность осуществлять загрузку ОС намного быстрее, чем при использовании BIOS. Так, например, операционная система Windows 8 на ПК с UEFI при адекватной производительности CPU и других ключевых компонентов загружается в течении 10 секунд.
К другим значимым преимуществам UEFI можно также отнести более простой и удобный, по сравнению с BIOS, механизм обновления. Еще одна полезная опция, реализованная в UEFI – это наличие собственного менеджера загрузки. Его можно задействовать в том случае, если на персональном компьютере установлено несколько операционных систем.
Теперь технологические преимущества программного интерфейса UEFI ясны. Сегодня наиболее популярные производители аппаратных компонентов для персональных компьютеров стараются обеспечить совместимость «железа» с системой UEFI. Как полагают эксперты в сфере IT, переход на новую систему может привести к новому технологическому тренду. Для ведущих производителей программного обеспечения и аппаратных компонентов возможности, предлагаемые разработчиком UEFI компанией Intel кажутся весьма привлекательными. Кроме того, технологические опции UEFI сегодня полностью поддерживаются крупнейшим брендом на рынке ОС.
Secure Boot
Проведем более детальное рассмотрением преимуществ Secure Boot – технологии безопасности, поддерживаемой системой UEFI. В чем заключается основная концепция?
Secure Boot представляет собой протокол безопасной загрузки, предназначением которого является защита системы от проникновения вредоносных программ и вирусов. Ключи, используемые в этой технологии, для полноценного задействования должны быть сертифицированы. Сегодня этому критерию удовлетворяет лишь малая часть всех брендов, выпускающих ПО.
К ним относится компания Microsoft, которая и реализовала поддержку таких алгоритмов в операционной системе Windows 8. В ряде случаев это обстоятельство может значительно осложнить процесс инсталляции иных операционных систем на персональных компьютерах, работающих под управлением системы UEFI. В случае переустановки Windows, UEFI возможно еще будет проявлять некую лояльность, но только в том случае, если версия устанавливаемой операционной системы максимально приближена к инсталлированной производителем.
Следует также отметить, что с функцией Secure Boot совместимы и некоторые дистрибутивы Linux. Даже в том случае, если загрузка новой операционной системы будет запрещена, в структуре UEFI прописана возможность отключения алгоритма Secure Boot. Конечно, в этом случае загрузку операционной системы уже нельзя будет считать безопасной. Но тем не менее соответствующую опцию можно активировать в любой момент.
Операционные системы, совместимые с UEFI
В редких случаях возможна установка альтернативных операционных систем с поддержкой Secure Boot. Так, например, теоретически можно установить операционную систему Windows 7 на ноутбук с поддержкой UEFI BIOS. В общем же случае вероятность удачной установки альтернативных операционных систем невысока. Как уже было отмечено выше, некоторые дистрибутивы Linux совместимы с UEFI.
Особенности настройки
Далее рассмотрим нюансы настройки нового программного решения. К интересным опциям можно отнести эмуляцию BIOS. Для чего это нужно? В некоторых версиях UEFI реализованы алгоритмы, обеспечивающие управление ПК в соответствии с механизмами, которые задействовал исторический предшественник UEFI. Данный режим в зависимости от используемого ПК может именоваться по-разному. Как правило, он называется Launch CSM или Legacy. С установкой UEFI в стандартном режиме загрузки не должно возникнуть никаких сложностей.
Особенности доступа к UEFI
Еще один примечательный факт, который нельзя оставить без внимания – это огромное количество версий UEFI. В персональных компьютерах, выпущенных разными брендами, они могут существенно отличаться. Уровень доступности отдельных функций на разных компьютерах также может отличаться. Например, часто бывает так, что при загрузке ПК не выводится меню, с помощью которого пользователь может попасть в настройки UEFI. В этом случае в Windows предусмотрена возможность загрузки необходимых опций. Во вкладке «Параметры» необходимо активизировать «Особые варианты загрузки». После этого необходимо перезагрузить компьютер. На экране появятся варианты загрузки.
Существует также альтернативный способ для обеспечения доступа к опциям UEFI. Он работает на многих персональных компьютерах. В самом начале загрузки необходимо нажать Esc. После этого откроется меню, о котором шла речь выше.
Особенности работы в разных режимах
Обратите внимание, при изменении режима работы UEFI с обычного на Legacy желательно при первой же возможности вновь включать интерфейс UEFI со всеми опциями. Иначе операционная система может не запуститься. На многих персональных компьютерах подобной проблемы не возникает. Это связано с тем, что производители внедряют в структуру управления особые алгоритмы, которые позволяют автоматически активировать режим UEFI. На некоторых моделях реализован гибридный режим, при помощи которого запускается модуляция BIOS. Отличия в версиях UEFI предполагают также невозможность отключения Secure Boot в режиме штатной работы.
Загрузочные флэшки UEFI
В некоторых ситуациях может возникнуть необходимость загрузить операционную систему с флэшки. Главная трудность здесь состоит в том, что флэшки, формат которых отличен от FAT32, не распознаются. У этой проблемы есть решение. Все загрузочные флэшки Windows по умолчанию форматируются в файловой системе NTFS. UEFI эту файловую систему не распознает. Поэтому основная задача состоит в том, чтобы обеспечить соответствующему аппаратному компоненту форматирование в системе FAT32. Многие IT –специалисты считают эту файловую систему устаревшей. Однако актуальность соответствующего стандарта можно оценить по его применению в UEFI.
Флэшка для загрузки в UEFI
Что необходимо сделать, чтобы загрузочная флэшка без проблем распознавалась UEFI? Во-первых, желательно, чтобы емкость носителя составляла не менее 4 Гб. Во-вторых, необходимо удалить с флэшки всю информацию. Необходимым компонентом для создания загрузочной флэшки является дистрибутив операционной системы Windows.
Подготовка флэшки
Если все вышеперечисленные элементы присутствуют, можно приступать. Флэшку необходимо вставить в USB-порт компьютера. После этого в интерфейсе Windows открываем командную строку. Пользователь должен обладать правами администратора. Далее через командную строку запускаем программу DISKPART. Затем необходимо ввести команду list disk.
Отобразиться список дисков, присутствующих в вашей системе. Найдите в нем свою флэшку. Выберете диск командой select disc x, где x – порядковый номер. Чтобы отформатировать выбранный носитель, достаточно выполнить команду Clean. Далее на диске необходимо сделать первичный раздел. Сделать это можно при помощи команды create partition primary. Путем ввода команды active данный раздел необходимо сделать активным. После этого перечень разделов можно вывести на экран путем ввода команды list volume.
Выбираем нужный нам раздел командой select volume x, где x – порядковый номер раздела. Чтобы отформатировать его в системе FAT32, вводим команду format fs=fat 32. Теперь флэшке нужно назначить букву. Делается это при помощи команды assign. После этого можно выйти из командной строки.
Запись дистрибутива
После проведения всех выше описанных действий можно скопировать на флэшку дистрибутив Windows.
UEFI (Unified Extensible Firmware Interface) - замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.Основные отличия UEFI от BIOS:
- Поддержка GPT (GUID Partition Table)
- Поддержка сервисов
- Модульная архитектура
Еще UEFI поддерживает сеть, так что если найдете UEFI-драйвер к своей сетевой карте, или если он включен производителем материнской платы, то можете попинговать 8.8.8.8 из Shell.
Вообще, спецификация UEFI предусматривает взаимодействия драйверов UEFI из ОС, т.е. если у вас в ОС нет драйвера на сетевую карту, а в UEFI он загружен, то ОС сможет использовать сетевую карту через UEFI, однако таких реализаций я не встречал.
- Встроенный менеджер загрузки
Как происходит загрузка в UEFI?
С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл \efi\boot\boot[название архитектуры].efi, например \efi\boot\bootx64.efiТ.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.
Secure Boot
Я видел много вопросов в интернете, вроде:«Я слышал, что Microsoft реализовывает Secure Boot в Windows 8. Эта технология не позволяет неавторизированному коду выполняться, например, бутлоадерам, чтобы защитить пользователя от malware. И есть кампания от Free Software Foundation против Secure Boot, и многие люди были против него. Если я куплю компьютер с Windows 8, смогу ли я установить Linux или другую ОС? Или эта технология позволяет запускать только Windows?»
Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!
Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру , т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.
В Secure Boot есть 2 режима: Setup и User. Первый режим служит для настройки, из него вы можете заменить PK (Platform Key, по умолчанию стоит от OEM), KEK (Key Exchange Keys), db (база разрешенных ключей) и dbx (база отозванных ключей). KEK может и не быть, и все может быть подписано PK, но так никто не делает, вроде как. PK - это главный ключ, которым подписан KEK, в свою очередь ключами из KEK (их может быть несколько) подписываются db и dbx. Чтобы можно было запустить какой-то подписанный.efi-файл из-под User-режима, он должен быть подписан ключом, который в db, и не в dbx.
Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.
Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
Спасибо за внимание!
