, microsoft kræver uefi "sikre" boot for vinduer 8 certificeret hardware.mere sikkerhed er godt, ikke?selv hvis det låsene ud linux?microsoft windows, kræver 8-certified hardware til skibe med uefi sikre støvle aktiveret.dette forhindrer installering af andre styresystemer, eller at nogen bor linux medier.der er måder at komme uden om sikker - - men hvorfor skal vi endnu en gang nødt til at springe gennem microsoft prøver bare at bruge vores egen hardware, den måde, vi ønsker?,,, hvad der er uefi?,, uefi er forenet extensible firmware grænseflade, nye programmer til at erstatte de ældre og utilstrækkelige pc - bios - vi har brugt siden begyndelsen af x86 - pc - æraen.pc - bios (grundlæggende input /output - system) støtter kun 16 - bit processer og 1bestyrelsesmøder hukommelse på, så det kun udfører de opgaver, der er nødvendige for at starte en minimal computer, og så afleverer til næste fase bootloader, som mad, lilo, eller syslinux.vi har været lænket til 4-primary deling mbr og ude af stand til at boot > 2.2tb harddiske på grund af pc - bios.,, uefi blev oprindeligt efi, der er udviklet af informationer som en moderne alternativ til pc - film.nu er det støttes af en stor ole industri konsortium befolket af næsten alle i tech. uefi virkelig er en lille virksomhed, så det kan programmeres til at gøre næsten hvad som helst: boot hurtigt, spille spil, giver fjernadgang uden at starte virksomhed, lukning, web surfe, og alle disse ting, at linux præ - boot miljøer, lovede.det støtter begge ret mus drevet grafisk grænseflade, og en konsol grænseflade.det har sit eget net stable og støtter sine egne anordning, chauffører, så du kan få video, netværkssamarbejde, periferiudstyr og andre funktioner, der er til rådighed i en støvle.det har sin egen indbyggede støvle menu.det er 32 - bit - tal og 64 - bit transportformer.de støvler er > 2tb harddiske og bruger udvikling (på verdensplan unik id) (tabel i stedet for at rådne gamle mbr.der er stadig en grænse for størrelsen af harddiske, kan den støvle - 9.4 zettabytes.jeg forventer, at de fleste af os vil være i stand til at håndtere denne begrænsning.,, figur 1: et enkelt diagram, der viser, hvor uefi passer system startkapital.,,,,,, image høflighed wikimedia underhuset,), uefi støtter to typer tjenesteydelser: - tid og runtime.boot tjenester er tilgængelige, mens uefi firmware kontrol systemet, og runtime tjenester er tilgængelige både i løbet af firmware kontrol, og efter styresystemer tager over.uefi har en bsd overførte centrale og sælgere kan vælge, udvidelser, som de ønsker, herunder lukket kilde chauffører, støtte til arv operativsystemer og andre udvidelser, naturligvis alle denne fleksibilitet og træk ud godhed kommer til en pris, de vigtigste kildekode indeholder over 7 000 sager og i 100mb kode.det er ca. 10% af størrelsen af den samlede linux kerne, og hvis du fjerner alle chauffører fra kernen uefi er større end den centrale kerne.der er en rimelig sammenligning, fordi de fleste uefi hardware chauffører er ikke i kernen, vil det tage et par artikler til at skrive en detaljeret uefi overblik.tjek uefi specifikation for at lære mere.det er over 2200 sider, men det er en gratis downloade og de første kapitler er oplysende, også for ikke - udviklere, ikke alle skittles og øl, pc - bios var for længst have pension, men er uefi en forbedring?uefi er stort, og det ligner en masse operativsystem funktionalitet.mere kode er lig med flere funktioner.det betyder også flere insekter, og flere potentielle svagheder, som er bekymrende i et præ - miljø, der er i besiddelse af nøglerne til hver del af din computer, alle jeres software og hardware,.,, hvorfor sikre støvle?,, vinduer er blevet lidt mindre sårbare i de senere år, til dels på grund af redskaber som validering dam.der er en kæde af validering, der lyder sådan her: bootloader hævder, at kernen er ikke blevet ændret, og gør det muligt at støvle.microsoft har krævet undertegnet chauffører i de seneste par år, så er det næste skridt efter kernen til at kontrollere førerens underskrift.da brugerne gennemfører en malware scanner de har rimelig sikkerhed for, at de svar, vi får fra kernen, er korrekte.så en logisk angrebspunkt er bootloader.den bootloader kompromis, og så kan du belastning kernen i hukommelsen og ændrer kernen i hukommelsen.og så gør, som du vil.,, men selv hvis din bootloader, kerne og førere er i sikkerhed, det gør intet for userspace, som infektioner via webbrowser.der er masser af rå godbidder til malware at gumle på userspace og anti - malware software er aldrig 100%, på trods af alle spørgsmål om sikkerhed og faktiske ydelser, microsoft kræver, og som er en betingelse for at modtage de europæiske vinduer 8 certificering, der kan sikre støvle af uefi hardware sælgere misligholdelse af klient - systemer.de kan anvende deres egne signeringsnøgler, eller microsoft 's. der er finansielle incitamenter til at få officiel certificering, så de gør det alle sammen.vinduer 8 vil boot uden sikre - og det vil indføre i arv hardware.men senere i år, som den nye oem - vinduer 8 pc 'er ind på markedet, vil de skibe med uefi sikre støvle tændt.så alle, der ikke vil genere med sikre boot vil blive tvunget til det.oprindeligt microso ikke engang have en funktionsbegrænsning løsning, eller til at give mulighed for at bruge deres egne nøgler og certifikat myndigheder, men de har ændret sig for x86 - hardware, hat og røde hat, der ønsker at holde deres brugernes valgmuligheder, har valgt at betale $99 gebyr for at blive undertegnet med microsofts nøgler.dette vil gøre det muligt for hat 18 brugere til at anvende sikre støvle belemret systemer uden at ødelægge den, og i sidste ende røde hat enterprise linux så godt.andre udlodninger er stadig ved at finde ud af, hvad jeg skal gøre.,, gennemførelse af sikre støvle til linux, har en række tekniske og gpl forhindringer, som matthew garrett beskriver hvorfor uefi sikre støvle er vanskeligt for linux.resumé: det betyder handel brugervenlighed og fleksibilitet for, hvad jeg synes er tvivlsomme fordele.,, slukker... undtagen på armen, hvordan at slukke for din x86 - anordning?det vil helt afhænge af hardware sælger gennemførelse.brugerne får adgang til deres uefi grænseflader og jage den sikre støvle kontrol, som man kunne kalde noget og begravet her.jeg har været uimponeret med kvalitetskontrol, som gik i pc - bios i alle disse år, så hvem ved hvad venter os i roder med uefi firmware indstillinger.,, arm - hardware, er en anden historie... sikre støvle er obligatorisk og kan ikke deaktiveres.(se s. 122 i vinduerne 8 hardware certificering.), mere sikkerhed?virkelig, at levere nogle faktiske sikkerhed, sikre boot har brug for en skudsikker præ - miljø og en pålidelig, sikker certifikat myndighed og signeringsnøgler.det andet store spørgsmål, efter "skudsikker?hvad er det? "er der ca og nøgler?microsoft har allerede en ca, infrastrukturer til undertegnelsen af chauffører,.,, men ikke har vi lært, at roden cas er sårbare?hvor mange gange har verisign kompromitteret?bruce schneier kalder certifikatet system "helt i stykker." hvem er vært for microsoft er ca.verisign.har vi allerede glemt, at flammen malware spoofs microsofts egen ca, overtager vinduer, ajourføre og fjolser vinduer computere at antage, at den malware installerer de er ægte betroede undertegnet binaries?,, at låne bruce schneier er vidunderlige sætning, jeg tror det bare et stykke af sikkerhed, teater, som vil ulejlighed mange og gavner ingen.bortset fra hvad værdi er afledt af, at købere af nye hardware er sikret - beta - testere, og til endnu en gang at danse til microsofts melodi.,,, referencer,,, at uefi sikre støvle arbejde med åbne platforme, et godt og fornuftigt forslag fra linux institut. digitale certifikat myndighed hacket, snesevis af falske digitale certifikater, der er udstedt, efi og linux: fremtiden er her, og det er forfærdeligt - matthew garrett, sam varghese spørger, hvorfor industrien, fuld af sværvægtere som ibm, novell, røde hat og hk, stadig lade microsoft bestemmer?samlet extensible firmware grænseflade på buen linux wiki er en god uefi at., uefi sikre støvle, røde hat er meddelelse om støtte til microsoft 's centrale registreringsordning for genopretning af røde hat på vinduer 8 hardware, gentoo wiki på uefi kerne og bootloader konfiguration, dumper natively på en uefi linux - system (uden bios csm) ved hjælp af grub2 fra ubuntu wiki., coreboot (tidligere linuxbios) støttede bundkort,