Discussioni e rapporti su UEFI e Secure Boot sono comparsi in molti ambienti Linux, ma qualcuno può sintetizzare i suoi impatti su Ubuntu e in che modo influisce sugli utenti generali?
So che UEFI e Secure Boot sono separati (non intercambiabili), con Secure Boot che fa parte delle specifiche BIOS di Unified Extensible Firmware Interface .
PS So come influisce su Ubuntu, questa domanda è a beneficio della conoscenza pubblica.
Risposte:
Per capire davvero come influisce su utenti e Ubuntu, penso che sia utile capire cos'è UEFI e cosa cambia. Quindi discutere le funzionalità di avvio sicuro e come può influire sulle installazioni:
UEFI è una specifica che definisce un'interfaccia software tra un sistema operativo e un firmware
È progettato per sostituire il BIOS. Il BIOS è vecchio ed è stato progettato per hardware precedente. Può supportare solo una modalità di processore a 16 bit, solo 1 MB di spazio indirizzabile, solo l'avvio massimo di unità da 2 TB, 4 partizioni, ecc. DOS e sistemi operativi precedenti utilizzati per fare affidamento sul BIOS per l'I / O di base ... ma l'importanza dei caricatori di avvio una volta che un sistema operativo è in esecuzione oggi è notevolmente ridotto. Realizza che molte persone si riferiranno comunque a UEFI come BIOS.
Alcuni importanti cambiamenti con UEFI sono:
Architettura e driver indipendenti dal processore
Funzionalità di rete prima del caricamento del sistema operativo.
Poiché UEFI può essere a 64 bit, consente di leggere tutta la memoria che può essere indirizzata da un computer a 64 bit
una tabella delle partizioni GUID invece di un MBR che consente più di 4 partizioni e oltre 2 TiB da un'unità di avvio (8ZiB)
fornisce opzioni di runtime per il sistema operativo come ottenere data / ora / accesso NVRAM
UEFI consente SECUREBOOT:
Secure Boot impedisce ai driver e ai caricatori del sistema operativo di essere caricati dal firmware a meno che non siano firmati con una firma digitale scritta nel firmware. Questo può essere molto utile per arrestare i rootkit. È possibile aggiungere più chiavi per consentire l'esecuzione di altri software in modalità "Personalizzata".
Detto questo, puoi leggere molte limitazioni su Secure Boot, su come può essere utilizzato per consentire a un sistema operativo di dominare un sistema, ecc. A causa di questo Windows 8 ha richiesto SecureBoot per poter accedere alla modalità personalizzata o essere disabilitato per essere Windows 8 certificati. Se disabilitato, perdi tutti i vantaggi dell'avvio protetto ma puoi comunque utilizzare UEFI. Con esso in modalità personalizzata è possibile aggiungere chiavi pubbliche che non corrispondono alla chiave privata nel sistema in modo che altri software possano essere eseguiti oltre a quelli con la chiave privata
Per Ubuntu
Quando installi Ubuntu, se il tuo sistema è impostato per l'avvio in UEFI, verrà installato come EFI.
A partire da Ubuntu 12.10 ha supportato Secure Boot
Se stai aggiungendo Ubuntu come secondo sistema operativo, è importante avere lo stesso tipo di sistema operativo del tuo caricatore di avvio (ad es. 64 bit o 32 bit). Quindi, se hai Windows a 64 bit e avvii UEFI, dovresti scegliere Ubuntu a 64 bit. In caso contrario, non verrà caricato. Ho provato ad avviare UEFI con Ubuntu a 32 bit (13.10) e non sono riuscito nemmeno a farlo leggere su USB fino a quando non ho disabilitato UEFI. Ho installato la versione a 32 bit con disabilitata. Quando ho realizzato il mio errore, ho ricaricato Ubuntu a 64 bit nella chiave, abilitato UEFI e l'ho rilevato alla grande. Ho quindi reinstallato.
L'uso di UEFI ti consente di avere molte partizioni primarie durante l'installazione, quindi non preoccuparti delle guide che ti fanno iniziare a usare la logica dopo avere 4 partizioni.
Non è ancora tutto perfetto. Ad esempio, GRUB ha un problema con l'avvio di Windows 8 con avvio sicuro. Posso scegliere di avviare prima dall'unità Windows, funziona benissimo. Posso prima caricare GRUB e avviare Ubuntu con l'avvio sicuro. Ma quando viene caricato GRUB, non caricherà Windows 8 con avvio sicuro. Ecco un buon sito su questo problema e in fondo c'è la segnalazione di bug che è confermata: http://falstaff.agner.ch/2012/12/18/ubuntu-12-10-and-windows-8-with -Secure-modalità di avvio /
Ne è stato parlato in plenaria durante l'UDS di Jeremy Kerr. La presentazione si basava su un documento di cui è stato coautore con Matthew Garrett e James Bottomley. Puoi trovare quel documento qui .
I miei due centesimi sono che è un sistema per verificare che il software che stai utilizzando per avviare la tua macchina sia stato firmato usando una firma autorizzata disponibile in un database interno. Ciò non è pericoloso finché esiste un modo per modificare il database di firme valide. Tuttavia, un grande attore del settore sembra voler che gli OEM includano solo una firma nel database e nessun modo per aggiornarlo e questo è il grosso problema poiché nessun altro sistema operativo sarebbe in grado di avviarsi in un hardware in cui sono state applicate tali restrizioni.