Si j'achète un ordinateur avec Windows 8 et Secure Boot, pourrai-je toujours installer Linux?

48

J'ai beaucoup entendu parler de la manière dont Microsoft implémente UEFI Secure Boot dans Windows 8. Apparemment, cela empêche les chargeurs de démarrage "non autorisés" de s'exécuter sur l'ordinateur, afin d'empêcher les logiciels malveillants. La Free Software Foundation a lancé une campagne contre le démarrage sécurisé, et beaucoup de gens ont dit en ligne que Microsoft avait pour objectif de "supprimer les systèmes d'exploitation libres".

Si je dispose d'un ordinateur sur lequel Windows 8 et Secure Boot sont préinstallés, serai-je toujours en mesure d'installer Linux (ou un autre système d'exploitation) ultérieurement? Ou un ordinateur avec Secure Boot ne fonctionne-t-il que sous Windows?

ne pas penser
la source

Réponses:

70

Tout d'abord, la réponse simple à votre question:

  • Si vous avez une tablette ARM exécutant Windows RT (comme Surface RT ou Asus Vivo RT), vous ne pourrez pas désactiver le démarrage sécurisé ni installer d'autres systèmes d'exploitation . Comme beaucoup d’autres tablettes ARM, ces appareils n’exécutent que le système d’exploitation fourni.

  • Si vous utilisez un ordinateur non-ARM sous Windows 8 (comme Surface Pro ou l'un des innombrables ultrabooks, ordinateurs de bureau et tablettes équipés d'un processeur x86-64), vous pouvez désactiver complètement le démarrage sécurisé ou installer vos propres clés. et signez votre propre chargeur de démarrage. Dans les deux cas, vous pouvez installer un système d’exploitation tiers, comme une distribution Linux, FreeBSD ou DOS, ou autre chose qui vous plaira.


Maintenant, pour en savoir plus sur le fonctionnement réel de tout ce qui concerne le démarrage sécurisé: Il existe de nombreuses informations erronées sur le démarrage sécurisé, en particulier de la part de la Free Software Foundation et de groupes similaires. Il est donc difficile de trouver des informations sur ce que fait Secure Boot. Je vais donc faire de mon mieux pour vous expliquer. Notez que je n'ai aucune expérience personnelle du développement de systèmes d'initialisation sécurisée ou quoi que ce soit du genre; C'est ce que j'ai appris en lisant en ligne.

Tout d’abord, le démarrage sécurisé n’a pas été imaginé par Microsoft. Ils sont les premiers à l’appliquer largement, mais ils ne l’ont pas inventé. Cela fait partie de la spécification UEFI , qui est fondamentalement un remplacement plus récent de l'ancien BIOS auquel vous êtes probablement habitué. UEFI est essentiellement le logiciel qui dialogue entre le système d'exploitation et le matériel. Les normes UEFI sont créées par un groupe appelé " UEFI Forum ", composé de représentants de l'industrie de l'informatique, notamment Microsoft, Apple, Intel, AMD et de nombreux fabricants d'ordinateurs.

Deuxième point important, l' activation de Secure Boot sur un ordinateur ne signifie pas que celui-ci ne pourra jamais démarrer un autre système d'exploitation . En fait, les propres exigences de certification matérielle Windows de Microsoft stipulent que, pour les systèmes non-ARM, vous devez pouvoir désactiver le démarrage sécurisé et modifier les clés (pour autoriser les autres systèmes d'exploitation). Plus sur cela plus tard cependant.

 

Que fait Secure Boot?

Essentiellement, il empêche les logiciels malveillants d’attaquer votre ordinateur par le biais de la séquence de démarrage. Les logiciels malveillants qui pénètrent dans le chargeur de démarrage peuvent être très difficiles à détecter et à arrêter, car ils peuvent infiltrer les fonctions de bas niveau du système d’exploitation, en le maintenant invisible pour les logiciels antivirus. Tout ce que fait le démarrage sécurisé, c’est qu’il vérifie que le chargeur de démarrage provient d’une source approuvée et qu’il n’a pas été falsifié. Pensez-y comme aux bouchons sur les bouteilles qui disent "ne pas ouvrir si le couvercle est relevé ou si le sceau a été falsifié".

Un bouton apparaît lorsque le sceau d'origine est brisé

Au plus haut niveau de protection, vous avez la clé de plate-forme (PK). Il n’existe qu’une seule PK sur un système et elle est installée par le fabricant lors de la fabrication. Cette clé est utilisée pour protéger la base de données KEK. La base de données KEK contient les clés d’échange de clés, qui sont utilisées pour modifier les autres bases de données d’amorçage sécurisé. Il peut y avoir plusieurs KEK. Il existe alors un troisième niveau: la base de données autorisée (db) et la base de données interdite (dbx). Elles contiennent des informations sur les autorités de certification, des clés cryptographiques supplémentaires et des images de périphériques UEFI à autoriser ou à bloquer, respectivement. Pour qu'un chargeur de démarrage puisse s'exécuter, il doit être signé de manière cryptographique avec une clé qui se trouve dans la base de données et non dans la base de données.

Clé de la plateforme> KEK> (hashs autorisés / hashs non autorisés)
Image de Windows 8: protection de l'environnement pré-OS avec UEFI

Comment cela fonctionne-t-il sur un système réel certifié Windows 8?

Le fabricant OEM génère son propre PC et Microsoft fournit une clé KEK que le fabricant OEM doit précharger dans la base de données KEK. Microsoft signe ensuite le chargeur de démarrage Windows 8 et utilise leur KEK pour placer cette signature dans la base de données autorisée. Lorsque UEFI démarre l'ordinateur, il vérifie le PC, le KEK de Microsoft, puis le chargeur de démarrage. Si tout semble bon, le système d'exploitation peut démarrer.

Démarrage sécurisé sous Windows 8: UEFI natif> Chargeur SE vérifié> SE Démarrer / UEFI ne lancera qu'un chargeur SE vérifié / les logiciels malveillants ne peuvent pas basculer le chargeur de démarrage
Image de Windows 8: protection de l'environnement pré-OS avec UEFI

 

D'où viennent les systèmes d'exploitation tiers, comme Linux?

Tout d’abord, n’importe quelle distribution Linux pourrait choisir de générer une KEK et demander aux OEM de l’inclure par défaut dans la base de données KEK. Ils auraient alors autant de contrôle sur le processus de démarrage que Microsoft. Comme l' explique Matthew Garrett de Fedora, le problème est que, a) il serait difficile de faire inclure la clé de Fedora à chaque fabricant de PC, et b) que ce serait injuste pour les autres distributions Linux, car leur clé ne serait pas incluse. , et les petites distributions n’ont pas autant de partenariats OEM.

Ce que Fedora a choisi de faire (à l'instar d'autres distributions), consiste à utiliser les services de signature de Microsoft. Ce scénario nécessite de payer 99 $ à Verisign (l'autorité de certification utilisée par Microsoft) et donne aux développeurs la possibilité de signer leur chargeur de démarrage à l'aide du KEK de Microsoft. Comme la clé KEK de Microsoft sera déjà installée sur la plupart des ordinateurs, cela leur permet de signer le programme d’amorçage pour qu’il utilise Secure Boot, sans avoir à utiliser leur propre clé KEK. En fin de compte, il est plus compatible avec plus d’ordinateurs et coûte globalement moins cher que de mettre en place son propre système de signature et de distribution de clés. Il y a quelques détails supplémentaires sur la façon dont cela fonctionnera (en utilisant GRUB, les modules de noyau signés et d'autres informations techniques) dans l'article de blog susmentionné, que je vous recommande de lire si vous êtes intéressé par ce genre de chose.

Supposons que vous ne vouliez pas vous soucier de l'inscription au système de Microsoft, ou que vous ne vouliez pas payer 99 €, ou que vous ayez simplement une rancune contre les grandes entreprises commençant par un M. Il existe une autre option permettant de continuer à utiliser Secure Boot. et exécutez un système d'exploitation autre que Windows. La certification matérielle de Microsoft exige que les constructeurs OEM autorisent les utilisateurs à entrer leur système en mode «personnalisé» UEFI, où ils peuvent modifier manuellement les bases de données Secure Boot et le PK. Le système peut être configuré en mode de configuration UEFI, où l'utilisateur peut même spécifier son propre PK et signer les chargeurs de démarrage eux-mêmes.

De plus, les exigences de certification propres à Microsoft obligent les constructeurs OEM à inclure une méthode de désactivation de Secure Boot sur les systèmes non-ARM. Vous pouvez désactiver le démarrage sécurisé! Les seuls systèmes sur lesquels vous ne pouvez pas désactiver Secure Boot sont les systèmes ARM exécutant Windows RT, qui fonctionnent de manière plus similaire à l'iPad, où vous ne pouvez pas charger de systèmes d'exploitation personnalisés. Bien que je souhaite qu’il soit possible de changer le système d’exploitation sur les dispositifs ARM, il est juste de dire que Microsoft respecte la norme de l’industrie en ce qui concerne les tablettes.

 

Donc, démarrage sécurisé n'est pas intrinsèquement mauvais?

Donc, comme vous pouvez l'espérer, le démarrage sécurisé n'est pas un mal, il ne se limite pas à une utilisation avec Windows. La FSF et les autres sont si mécontents de sa situation, car elle ajoute des étapes supplémentaires à l'utilisation d'un système d'exploitation tiers. Les distributions Linux peuvent ne pas aimer payer pour utiliser la clé de Microsoft, mais il s’agit du moyen le plus simple et le plus rentable de faire fonctionner Secure Boot pour Linux. Heureusement, il est facile de désactiver le démarrage sécurisé et d'ajouter différentes clés, ce qui vous évite d'avoir à traiter avec Microsoft.

Compte tenu de la quantité de logiciels malveillants de plus en plus avancés, Secure Boot semble être une idée raisonnable. Ce n'est pas censé être un complot diabolique pour conquérir le monde, et est beaucoup moins effrayant que certains experts en logiciels libres voudront bien vous faire croire.

mauvais logo UEFI

Lecture complémentaire:


TL; DR: un démarrage sécurisé empêche les logiciels malveillants d’infecter votre système à un niveau bas et indétectable au cours du démarrage. N'importe qui peut créer les clés nécessaires à son bon fonctionnement, mais il est difficile de convaincre les fabricants d'ordinateurs de distribuer votre clé à tout le monde. Vous pouvez également choisir de payer Verisign pour qu'il utilise la clé de Microsoft pour signer vos chargeurs de démarrage et les faire fonctionner. Vous pouvez également désactiver le démarrage sécurisé sur tout ordinateur non-ARM.

Dernière pensée, en ce qui concerne la campagne de la FSF contre le démarrage sécurisé: certaines de leurs préoccupations (c’est-à-dire qu’il est plus difficile d’installer des systèmes d’exploitation libres) sont valables jusqu’à un point . Dire que les restrictions «empêcheront quiconque de démarrer autre que Windows» est manifestement faux, pour les raisons illustrées ci-dessus. La campagne contre UEFI / Secure Boot est une technologie à courte vue, mal informée et peu susceptible d'être efficace de toute façon. Il est plus important de veiller à ce que les fabricants respectent les exigences de Microsoft afin de permettre aux utilisateurs de désactiver le démarrage sécurisé ou de modifier les clés s'ils le souhaitent.

ne pas penser
la source
4
>> "Tout d'abord, le démarrage sécurisé n'est pas une solution proposée par Microsoft. Il fait partie de la spécification UEFI, qui est fondamentalement un remplacement plus récent de l'ancien BIOS auquel vous êtes probablement habitué. ... UEFI les normes sont créées par un groupe appelé le « Forum UEFI », qui est composé de représentants de l' industrie informatique , y compris Microsoft, Apple ... "donc ce que vous voulez dire: Secure Boot est pas quelque chose que Microsoft est venu avec par eux - mêmes
mcalex
@ mcalex Je suppose que c'est une évaluation juste.
nhinkle
2
C'est une explication merveilleusement bien faite. Je pensais connaître Secure Boot, mais cette réponse m'a beaucoup appris. Je suis fier de l’avoir.
Harsha K
4
+1 < Ivo Style > Vous devriez peut-être écrire un article sur ce @nhinkle; -) </ Ivo Style >
Tamara Wijsman
2
Ce n'est pas Microsoft qui m'inquiète ici, ce sont les fabricants. Bien sûr, les dispositifs ARM pourraient encore être considérés comme des jouets maintenant , mais les différentes plates - formes ARM viennent un long chemin terrible au cours des dernières années, et je peux facilement imaginer un jour où les gens les utilisent pour plus que regarder des vidéos YouTube ... Abandonner la possibilité de mettre à jour ou de remplacer le système d'exploitation semble désormais à courte vue. Cela dit, merci d'avoir écrit ceci - cela aide certainement à clarifier ce qui est et ce qui ne pose pas de problème avec Secure Boot.
Shog9