Kann ich Linux trotzdem installieren, wenn ich einen Computer mit Windows 8 und Secure Boot kaufe?

11497
nhinkle

Ich habe viel darüber gehört, wie Microsoft UEFI Secure Boot in Windows 8 implementiert. Offensichtlich verhindert es, dass "unautorisierte" Bootloader auf dem Computer ausgeführt werden, um Malware zu verhindern. Es gibt eine Kampagne der Free Software Foundation gegen den sicheren Start, und viele Leute haben online gesagt, es sei ein "Power Grab" von Microsoft, um "freie Betriebssysteme zu beseitigen".

Kann ich später noch Linux (oder ein anderes Betriebssystem) installieren, wenn ich einen Computer habe, auf dem Windows 8 und Secure Boot vorinstalliert sind? Oder funktioniert ein Computer mit Secure Boot immer nur mit Windows?

48

1 Antwort auf die Frage

70
nhinkle

Zunächst die einfache Antwort auf Ihre Frage:

  • Wenn Sie über ein ARM-Tablet mit Windows RT verfügen (wie Surface RT oder Asus Vivo RT), können Sie Secure Boot nicht deaktivieren oder andere Betriebssysteme installieren . Wie viele andere ARM-Tablets laufen diese Geräte nur mit dem Betriebssystem, mit dem sie geliefert werden.

  • Wenn Sie über einen Computer ohne ARM verfügen, auf dem Windows 8 ausgeführt wird (z. B. Surface Pro oder eines der zahlreichen Ultrabooks, Desktops und Tablets mit x86-64-Prozessor), können Sie den sicheren Start vollständig deaktivieren oder eigene Schlüssel installieren und unterschreiben Sie Ihren eigenen Bootloader. In jedem Fall können Sie ein Betriebssystem eines Drittanbieters installieren, z. B. eine Linux-Distribution oder FreeBSD oder DOS oder was auch immer Sie möchten.

Nun zu den Details, wie das ganze Secure Boot-Ding tatsächlich funktioniert: Es gibt eine Menge falscher Informationen über Secure Boot, insbesondere von der Free Software Foundation und ähnlichen Gruppen. Dies hat es schwierig gemacht, Informationen darüber zu finden, was Secure Boot tatsächlich tut. Daher versuche ich mein Bestes, um es zu erklären. Beachten Sie, dass ich keine persönlichen Erfahrungen mit der Entwicklung von sicheren Boot-Systemen oder Ähnlichem habe. Das ist genau das, was ich aus dem Online-Lesen gelernt habe.

Zunächst einmal ist Secure Boot nicht etwas, das Microsoft entwickelt hat. Sie sind die Ersten, die es umfassend implementiert haben, aber sie haben es nicht erfunden. Es ist Teil der UEFI-Spezifikation, die im Grunde einen neueren Ersatz für das alte BIOS darstellt, an das Sie wahrscheinlich gewöhnt sind. UEFI ist im Wesentlichen die Software, die zwischen Betriebssystem und Hardware kommuniziert. UEFI-Standards werden von einer Gruppe namens " UEFI Forum " erstellt, die sich aus Vertretern der Computerbranche zusammensetzt, darunter Microsoft, Apple, Intel, AMD und eine Handvoll Computerhersteller.

Der zweitwichtigste Punkt, dass Secure Boot auf einem Computer aktiviert ist, bedeutet nicht, dass der Computer niemals ein anderes Betriebssystem starten kann . Tatsächlich geben die eigenen Windows-Hardware-Zertifizierungsanforderungen von Microsoft an, dass Sie für Nicht-ARM-Systeme sowohl den sicheren Start deaktivieren als auch die Schlüssel ändern müssen (um andere Betriebssysteme zuzulassen). Aber dazu später mehr.

 

Was macht Secure Boot?

Im Wesentlichen wird verhindert, dass Malware Ihren Computer durch die Startsequenz angreift. Malware, die über den Bootloader eingedrungen ist, kann sehr schwer zu erkennen und zu stoppen sein, da sie untergeordnete Funktionen des Betriebssystems infiltrieren und für Antivirensoftware unsichtbar halten kann. Alles, was Secure Boot wirklich tut, ist, dass es überprüft, dass der Bootloader aus einer vertrauenswürdigen Quelle stammt und dass er nicht manipuliert wurde. Stellen Sie sich das so vor wie die Pop-Up-Kappen auf Flaschen mit der Aufschrift "Öffnen Sie sich nicht, wenn der Deckel aufgestoßen ist oder das Siegel manipuliert wurde".

Button pops up when original seal is broken

Auf der obersten Schutzstufe haben Sie den Plattformschlüssel (PK). Es gibt nur einen einzigen PK in einem System, der während der Fertigung vom OEM installiert wird. Dieser Schlüssel dient zum Schutz der KEK-Datenbank. Die KEK-Datenbank enthält Schlüsselaustauschschlüssel, die zum Ändern der anderen sicheren Startdatenbanken verwendet werden. Es können mehrere KEKs vorhanden sein. Es gibt dann eine dritte Ebene: die Authorized Database (db) und die Forbidden-Datenbank (dbx). Diese enthalten Informationen zu Zertifizierungsstellen, zusätzlichen kryptografischen Schlüsseln und UEFI-Geräteimages, die zugelassen bzw. gesperrt werden sollen. Damit ein Bootloader ausgeführt werden kann, muss er mit einem Schlüssel, der sich in der Datenbankbibliothek befindet, kryptografisch signiert sein und sich nicht in der Datenbankbibliothek befinden.

Platform Key > KEK > (Allowed hashes / Disallowed hashes)
Image from Building Windows 8: Schutz der pre-OS-Umgebung mit UEFI

Wie funktioniert das auf einem Windows 8-zertifizierten System?

Der OEM generiert eine eigene PK, und Microsoft stellt eine KEK bereit, die der OEM in die KEK-Datenbank vorladen muss. Microsoft signiert dann den Windows 8-Bootloader und verwendet diese KEK, um diese Signatur in der autorisierten Datenbank abzulegen. Wenn UEFI den Computer startet, wird der PK überprüft, der KEK von Microsoft und der Bootloader überprüft. Wenn alles gut aussieht, kann das Betriebssystem booten.

Secure boot in Windows 8: Native UEFI > Verified OS loader only > OS Start / UEFI will only launch a verified OS loader / Malware cannot switch the boot loader
Image from Building Windows 8: Schutz der pre-OS-Umgebung mit UEFI

 

Woher kommen Betriebssysteme von Drittanbietern wie Linux?

Erstens könnte jede Linux-Distribution sich dafür entscheiden, eine KEK zu generieren und OEMs aufzufordern, diese standardmäßig in die KEK-Datenbank aufzunehmen. Sie hätten dann genauso viel Kontrolle über den Startvorgang wie Microsoft. Die Probleme, die von Fedora Matthew Garrett erklärt wurden, lauten: a) Es wäre schwierig, jeden PC-Hersteller dazu zu bringen, Fedoras Schlüssel einzubinden, und b) es wäre unfair gegenüber anderen Linux-Distributionen, da deren Schlüssel nicht enthalten wären und kleinere Distributionen haben nicht so viele OEM-Partnerschaften.

Was Fedora gewählt hat (und andere Distributionen folgen diesem Beispiel), ist die Verwendung der Signaturdienste von Microsoft. In diesem Szenario müssen Sie Verisign (der von Microsoft verwendeten Zertifizierungsstelle) 99 US-Dollar zahlen. Entwickler erhalten die Möglichkeit, ihren Bootloader mithilfe von Microsoft KEK zu signieren. Da sich Microsoft KEK bereits auf den meisten Computern befindet, können sie ihren Bootloader zur Verwendung von Secure Boot signieren, ohne einen eigenen KEK zu benötigen. Am Ende ist es mit mehr Computern kompatibel und kostet insgesamt weniger als die Einrichtung eines eigenen Schlüsselsignierungs- und Vertriebssystems. Weitere Informationen zur Funktionsweise (mit GRUB, signierten Kernel-Modulen und anderen technischen Informationen) finden Sie im oben genannten Blog-Post. Ich empfehle Ihnen die Lektüre, wenn Sie sich für diese Art von Dingen interessieren.

Angenommen, Sie möchten sich nicht mit der Mühe der Anmeldung bei Microsofts System auseinandersetzen oder 99 US-Dollar bezahlen oder sich einfach nur gegen Großkonzerne, die mit einem M beginnen, lehnen. Es gibt noch eine weitere Möglichkeit, Secure Boot zu verwenden und führen Sie ein anderes Betriebssystem als Windows aus. Die Hardwarezertifizierung von Microsoft erfordert, dass OEMs Benutzern erlauben, ihr System in den benutzerdefinierten UEFI-Modus einzugeben, in dem sie die Secure-Boot-Datenbanken und die PK manuell ändern können. Das System kann in den UEFI-Setup-Modus versetzt werden, in dem der Benutzer sogar seinen eigenen PK angeben und Bootloader selbst signieren kann.

Aufgrund der eigenen Zertifizierungsanforderungen von Microsoft müssen OEMs außerdem eine Methode zum Deaktivieren von Secure Boot auf Nicht-ARM-Systemen hinzufügen. Sie können Secure Boot ausschalten! Die einzigen Systeme, bei denen Sie den sicheren Start nicht deaktivieren können, sind ARM-Systeme, auf denen Windows RT ausgeführt wird. Diese Funktionen ähneln dem iPad, auf dem Sie keine benutzerdefinierten Betriebssysteme laden können. Ich wünsche mir zwar, dass das Betriebssystem auf ARM-Geräten geändert werden kann, doch kann man sagen, dass Microsoft hier den Industriestandard in Bezug auf Tablets einhält.

 

Sicheres Booten ist also nicht von Natur aus böse?

Wie Sie hoffentlich sehen können, ist Secure Boot nicht böse und kann nicht nur unter Windows verwendet werden. Der Grund, weshalb sich die FSF und andere so darüber aufregen, liegt darin, dass sie die Verwendung eines Drittanbieter-Betriebssystems um zusätzliche Schritte erweitert. Linux-Distributoren zahlen zwar nicht gerne für die Verwendung des Schlüssels von Microsoft, aber es ist der einfachste und kostengünstigste Weg, Secure Boot für Linux zum Laufen zu bringen. Glücklicherweise ist es einfach, Secure Boot zu deaktivieren, und es können verschiedene Schlüssel hinzugefügt werden, so dass kein Umgang mit Microsoft erforderlich ist.

In Anbetracht der immer komplexer werdenden Malware erscheint Secure Boot eine vernünftige Idee. Es ist nicht beabsichtigt, ein böser Plan zu sein, der die Welt erobern soll, und ist weit weniger beängstigend, als manche Experten von freier Software glauben.

evil UEFI logo

Zusätzliche Lektüre:

TL; DR: Sicherer Start verhindert, dass Malware Ihr System während des Startens auf einem niedrigen, nicht nachweisbaren Level infiziert. Jeder kann die erforderlichen Schlüssel erstellen, damit es funktioniert. Es ist jedoch schwierig, Computerhersteller davon zu überzeugen, Ihren Schlüssel an alle zu verteilen. Sie können Verisign alternativ dafür zahlen, den Schlüssel von Microsoft zu verwenden, um Ihre Bootloader zu signieren und sie zum Laufen zu bringen. Sie können Secure Boot auch auf jedem Computer ohne ARM deaktivieren .

Letzter Gedanke in Bezug auf die FSF-Kampagne gegen Secure Boot: Einige ihrer Bedenken (dh die Installation freier Betriebssysteme wird schwieriger ) sind bis zu einem gewissen Punkt gültig . Zu sagen, dass die Einschränkungen "verhindern, dass jemand etwas anderes als Windows startet", ist aus den oben dargestellten Gründen nachweislich falsch. Kampagnen gegen UEFI / Secure Boot als Technologie sind kurzsichtig, falsch informiert und unwahrscheinlich. Es ist wichtiger, sicherzustellen, dass Hersteller tatsächlich die Anforderungen von Microsoft erfüllen, damit Benutzer den sicheren Start deaktivieren oder die Schlüssel ändern können, wenn sie dies wünschen.

>> "Erstens ist Secure Boot nicht etwas, das Microsoft entwickelt hat. Es ist Teil der UEFI-Spezifikation, die im Grunde ein neuerer Ersatz für das alte BIOS ist, an das Sie wahrscheinlich gewöhnt sind. ... UEFI Standards werden von einer Gruppe namens "UEFI Forum" erstellt, die sich aus Vertretern der Computerbranche wie Microsoft, Apple ... zusammensetzt. "" Was Sie damit meinen: Secure Boot ist nicht etwas, was Microsoft von ** herausgefunden hat ** mcalex vor 11 Jahren 4
@mcalex Ich denke das ist eine faire Einschätzung. nhinkle vor 11 Jahren 0
Dies ist eine wundersame Erklärung. Ich dachte, ich kenne Secure Boot, aber aus dieser Antwort habe ich viel gelernt. Ich bin stolz darauf, es zu bestätigen. Harsha K vor 11 Jahren 2
@HarshaK Ich bin froh, dass es dir gefallen hat. Ich habe viel gelernt, als ich es auch geschrieben habe. nhinkle vor 11 Jahren 0
+1 <[Ivo Style] (http://data.stackexchange.com/superuser/query/90353)> Vielleicht sollten Sie [einen Blogeintrag schreiben] (http://blog.superuser.com/2012/02/09) / sind Sie interessiert-in-Schreiben-für-unser-Blog /) über dieses @nhinkle ;-) Tom Wijsman vor 11 Jahren 4
Es ist kein * Microsoft *, das mich hier beunruhigt, sondern die Hersteller. Sicher, ARM-Geräte werden zwar immer noch als Spielzeug * angesehen *, aber die verschiedenen ARM-Plattformen haben sich in den letzten Jahren sehr weit entwickelt, und ich kann mir einen Tag vorstellen, an dem sie mehr als nur YouTube-Videos ansehen. Das Aufgeben der Möglichkeit, das Betriebssystem zu aktualisieren oder auszutauschen, erscheint jetzt kurzsichtig. Danke, dass Sie das aufgeschrieben haben - es hilft definitiv zu klären, was ist und was nicht problematisch in Bezug auf Secure Boot ist. Shog9 vor 11 Jahren 2
Hinweis: Sie können auch einen ARM-basierten Computer mit vollständigem Windows 8 / Pro (z. B. Dell Latitude 10) verwenden, von dem Sie meinen, dass Sie den sicheren Start nicht deaktivieren können keith vor 11 Jahren 0
@keith the [Latitude 10] (http://www.dell.com/us/business/p/latitude-10-tablet/pd) verfügt über einen Intel Atom-Prozessor mit niedrigem Stromverbrauch, der zwar weniger leistungsfähig ist als ein Core i5 ist ein "normaler" x86-Prozessor. Gemäß den eigenen Richtlinien von Microsoft müssen Hersteller _ den sicheren Start auf allen x86-Geräten (einschließlich Latitude 10) deaktivieren. Sie können Windows 8 oder Windows 8 Pro nicht auf ARM ausführen, nur Windows RT. nhinkle vor 11 Jahren 0
@nhinkle du bist absolut richtig, in meinem Missverständnis hatte ich Atom unter Arm-Architektur in meinem Kopf abgelegt (wahrscheinlich, weil es oft mit Arm-Äquivalenten verglichen wird). Danke für das Aufklären! keith vor 10 Jahren 0
Ist es eine gute Idee, Windows gemeinsam von einem Secure Boot-Laptop zu entfernen? John Giotta vor 10 Jahren 0
@JohnGiotta was meinst du damit? Wenn Sie Windows verwenden möchten, dann nein. Wenn Sie etwas anderes als Windows verwenden möchten, dann sicher. nhinkle vor 10 Jahren 0

Verwandte Probleme