Secure Boot ทำงานอย่างไรบน Windows 8 และ 10 และความหมายสำหรับ Linux
พีซีสมัยใหม่มาพร้อมกับคุณสมบัติที่เรียกว่า“ Secure Boot” ที่เปิดใช้งาน นี่คือคุณสมบัติของแพลตฟอร์มใน UEFI ซึ่งมาแทนที่ BIOS ของพีซีแบบเดิม หากผู้ผลิตพีซีต้องการติดสติกเกอร์โลโก้“ Windows 10” หรือ“ Windows 8” ลงในพีซี Microsoft กำหนดให้ผู้ผลิตเปิดใช้ Secure Boot และปฏิบัติตามคำแนะนำบางประการ
น่าเสียดายที่มันยังป้องกันไม่ให้คุณติดตั้งลีนุกซ์บางรุ่นซึ่งอาจเป็นเรื่องยุ่งยาก
Secure Boot ช่วยรักษาความปลอดภัยของกระบวนการบูตพีซีของคุณอย่างไร
Secure Boot ไม่ได้ออกแบบมาเพื่อให้การรัน Linux ยากขึ้นเท่านั้น มีข้อดีด้านความปลอดภัยที่แท้จริงในการเปิดใช้ Secure Boot และแม้แต่ผู้ใช้ Linux ก็สามารถได้รับประโยชน์จากสิ่งเหล่านี้
BIOS แบบดั้งเดิมจะบูตซอฟต์แวร์ใด ๆ เมื่อคุณบูตพีซีของคุณจะตรวจสอบอุปกรณ์ฮาร์ดแวร์ตามลำดับการบูตที่คุณกำหนดค่าไว้และพยายามบูตจากอุปกรณ์เหล่านั้น โดยปกติพีซีทั่วไปจะค้นหาและบูต Windows boot loader ซึ่งจะบูตระบบปฏิบัติการ Windows แบบเต็ม หากคุณใช้ Linux BIOS จะค้นหาและบูต GRUB boot loader ซึ่งลีนุกซ์ส่วนใหญ่ใช้
อย่างไรก็ตามเป็นไปได้ที่มัลแวร์เช่นรูทคิตจะเข้ามาแทนที่บูตโหลดเดอร์ของคุณ รูทคิทสามารถโหลดระบบปฏิบัติการปกติของคุณได้โดยไม่มีข้อบ่งชี้ว่ามีอะไรผิดปกติโดยจะมองไม่เห็นอย่างสมบูรณ์และตรวจไม่พบในระบบของคุณ BIOS ไม่ทราบความแตกต่างระหว่างมัลแวร์และบูตโหลดเดอร์ที่เชื่อถือได้เพียงแค่บูตทุกอย่างที่พบ
Secure Boot ออกแบบมาเพื่อหยุดสิ่งนี้ พีซี Windows 8 และ 10 มาพร้อมกับใบรับรองของ Microsoft ที่เก็บไว้ใน UEFI UEFI จะตรวจสอบบูตโหลดเดอร์ก่อนเปิดใช้งานและตรวจสอบให้แน่ใจว่าได้ลงนามโดย Microsoft หากรูทคิทหรือมัลแวร์ชิ้นอื่นมาแทนที่บูตโหลดเดอร์ของคุณหรือยุ่งเกี่ยวกับมัน UEFI จะไม่อนุญาตให้บูต ซึ่งจะป้องกันไม่ให้มัลแวร์ขโมยกระบวนการบูตของคุณและปกปิดตัวเองจากระบบปฏิบัติการของคุณ
Microsoft อนุญาตให้ Linux Distributions บูตด้วย Secure Boot ได้อย่างไร
ตามทฤษฎีแล้วคุณลักษณะนี้ออกแบบมาเพื่อป้องกันมัลแวร์เท่านั้น ดังนั้น Microsoft จึงเสนอวิธีช่วยให้ Linux สามารถบูตได้ นั่นเป็นเหตุผลที่ลีนุกซ์รุ่นใหม่บางรุ่นเช่น Ubuntu และ Fedora "ใช้งานได้" บนพีซียุคใหม่แม้จะเปิดใช้ Secure Boot ก็ตาม ลินุกซ์ดิสทริบิวชันสามารถจ่ายค่าธรรมเนียมเพียงครั้งเดียว 99 ดอลลาร์เพื่อเข้าถึงพอร์ทัล Microsoft Sysdev ซึ่งสามารถสมัครเพื่อลงชื่อบูตตัวโหลดได้
โดยทั่วไปแล้วลีนุกซ์ดิสทริบิวชันจะมีเครื่องหมาย "shim" shim เป็นบูตโหลดเดอร์ขนาดเล็กที่เพียงแค่บูทตัวโหลดบูต GRUB หลักของลินุกซ์ shim ที่ลงนามโดย Microsoft จะตรวจสอบเพื่อให้แน่ใจว่าบูตเครื่องบูตที่ลงนามโดยการแจกจ่าย Linux จากนั้นการกระจาย Linux จะบู๊ตตามปกติ
ขณะนี้ Ubuntu, Fedora, Red Hat Enterprise Linux และ openSUSE รองรับ Secure Boot และจะทำงานได้โดยไม่ต้องปรับแต่งฮาร์ดแวร์ที่ทันสมัย อาจมีคนอื่น ๆ แต่สิ่งเหล่านี้คือสิ่งที่เรารับรู้ ลีนุกซ์บางรุ่นไม่เห็นด้วยกับการสมัครเพื่อลงนามโดย Microsoft
คุณจะปิดใช้งานหรือควบคุม Secure Boot ได้อย่างไร
หากนั่นคือ Secure Boot ทั้งหมดคุณจะไม่สามารถเรียกใช้ระบบปฏิบัติการที่ไม่ได้รับการรับรองจาก Microsoft บนพีซีของคุณ แต่คุณสามารถควบคุม Secure Boot ได้จากเฟิร์มแวร์ UEFI ของพีซีซึ่งเหมือนกับ BIOS ในพีซีรุ่นเก่า
มีสองวิธีในการควบคุม Secure Boot วิธีที่ง่ายที่สุดคือไปที่เฟิร์มแวร์ UEFI และปิดการใช้งานทั้งหมด เฟิร์มแวร์ UEFI จะไม่ตรวจสอบเพื่อให้แน่ใจว่าคุณใช้บูตโหลดเดอร์ที่ลงนามแล้วและทุกอย่างจะบู๊ต คุณสามารถบูตระบบกระจาย Linux หรือแม้แต่ติดตั้ง Windows 7 ซึ่งไม่รองรับ Secure Boot Windows 8 และ 10 จะทำงานได้ดีคุณจะสูญเสียข้อได้เปรียบด้านความปลอดภัยของการมี Secure Boot เพื่อป้องกันกระบวนการบูตของคุณ
คุณยังสามารถปรับแต่ง Secure Boot เพิ่มเติมได้อีกด้วย คุณสามารถควบคุมข้อเสนอการลงนาม Secure Boot ได้ คุณสามารถติดตั้งใบรับรองใหม่และนำใบรับรองที่มีอยู่ออกได้อย่างอิสระ ตัวอย่างเช่นองค์กรที่ใช้ Linux บนพีซีสามารถเลือกที่จะลบใบรับรองของ Microsoft และติดตั้งใบรับรองขององค์กรเองแทน จากนั้นพีซีเหล่านั้นจะบูตเฉพาะบูตบูตที่ได้รับการอนุมัติและลงนามโดยองค์กรนั้น ๆ
แต่ละคนสามารถทำเช่นนี้ได้เช่นกันคุณสามารถลงนามในตัวโหลดบูต Linux ของคุณเองและตรวจสอบให้แน่ใจว่าพีซีของคุณสามารถบูตได้เฉพาะบูตโหลดเดอร์ที่คุณรวบรวมและเซ็นชื่อเป็นการส่วนตัวเท่านั้น นั่นคือประเภทของการควบคุมและข้อเสนอ Secure Boot
สิ่งที่ Microsoft ต้องการสำหรับผู้ผลิตพีซี
Microsoft ไม่เพียงต้องการให้ผู้จำหน่ายพีซีเปิดใช้งาน Secure Boot หากต้องการสติกเกอร์รับรอง“ Windows 10” หรือ“ Windows 8” ที่สวยงามบนพีซีของตน Microsoft กำหนดให้ผู้ผลิตพีซีนำไปใช้ในลักษณะเฉพาะ
สำหรับพีซี Windows 8 ผู้ผลิตต้องให้วิธีปิด Secure Boot Microsoft กำหนดให้ผู้ผลิตพีซีวาง Secure Boot kill switch ไว้ในมือของผู้ใช้
สำหรับพีซี Windows 10 สิ่งนี้ไม่บังคับอีกต่อไป ผู้ผลิตพีซีสามารถเลือกที่จะเปิดใช้ Secure Boot และไม่ให้วิธีปิดการทำงานแก่ผู้ใช้ อย่างไรก็ตามเราไม่ทราบว่ามีผู้ผลิตพีซีรายใดที่ทำเช่นนี้
ในทำนองเดียวกันในขณะที่ผู้ผลิตพีซีต้องใส่คีย์“ Microsoft Windows Production PCA” หลักของ Microsoft เพื่อให้ Windows สามารถบู๊ตได้ แต่ก็ไม่จำเป็นต้องใส่คีย์“ Microsoft Corporation UEFI CA” แนะนำให้ใช้คีย์ที่สองเท่านั้น เป็นคีย์ที่สองซึ่งเป็นทางเลือกที่ Microsoft ใช้เพื่อลงนามในตัวบูต Linux เอกสารของ Ubuntu อธิบายสิ่งนี้
กล่าวอีกนัยหนึ่งก็คือไม่ใช่ว่าพีซีบางเครื่องจะต้องบูตลีนุกซ์รุ่นที่ลงนามโดยเปิด Secure Boot อีกครั้งในทางปฏิบัติเราไม่เคยเห็นพีซีเครื่องใดทำเช่นนี้ อาจไม่มีผู้ผลิตพีซีรายใดที่ต้องการสร้างแล็ปท็อปสายเดียวที่คุณไม่สามารถติดตั้ง Linux ได้
ในตอนนี้อย่างน้อยพีซี Windows หลักควรอนุญาตให้คุณปิดการใช้งาน Secure Boot ได้หากต้องการและควรบูตระบบ Linux ที่ได้รับการลงนามโดย Microsoft แม้ว่าคุณจะไม่ได้ปิดการใช้งาน Secure Boot ก็ตาม
Secure Boot ไม่สามารถปิดใช้งานบน Windows RT ได้ แต่ Windows RT ตายแล้ว
ที่เกี่ยวข้อง: Windows RT คืออะไรและแตกต่างจาก Windows 8 อย่างไร
ทั้งหมดที่กล่าวมาเป็นจริงสำหรับระบบปฏิบัติการ Windows 8 และ 10 มาตรฐานบนฮาร์ดแวร์ Intel x86 มาตรฐาน มันแตกต่างกันสำหรับ ARM
ใน Windows RT เวอร์ชันของ Windows 8 สำหรับฮาร์ดแวร์ ARM ซึ่งจัดส่งมาบน Surface RT และ Surface 2 ของ Microsoft รวมถึงอุปกรณ์อื่น ๆ ไม่สามารถปิดใช้งาน Secure Boot ได้ ทุกวันนี้ยังไม่สามารถปิด Secure Boot ในฮาร์ดแวร์ Windows 10 Mobile ได้กล่าวคือโทรศัพท์ที่ใช้ Windows 10
นั่นเป็นเพราะ Microsoft ต้องการให้คุณคิดว่าระบบ Windows RT ที่ใช้ ARM เป็น "อุปกรณ์" ไม่ใช่พีซี ดังที่ Microsoft บอกกับ Mozilla Windows RT“ ไม่ใช่ Windows อีกต่อไป”
อย่างไรก็ตามตอนนี้ Windows RT ตายแล้ว ไม่มีระบบปฏิบัติการเดสก์ท็อป Windows 10 เวอร์ชันสำหรับฮาร์ดแวร์ ARM ดังนั้นนี่ไม่ใช่สิ่งที่คุณต้องกังวลอีกต่อไป แต่ถ้า Microsoft นำฮาร์ดแวร์ Windows RT 10 กลับมาคุณอาจจะไม่สามารถปิดการใช้งาน Secure Boot ได้
เครดิตรูปภาพ: Ambassador Base, John Bristowe
