Windows 8 a UEFI. Nebezpečné pozadí Windows 11 a TPM

Tato série článků slouží dvěma účelům. První je ukázat, že Windows 11 je skvělá příležitost k rozšíření trhu Linux. Druhý, abych na to upozornil pokud Linux této příležitosti nevyužije, můžeme se vrátit o 30 let zpět do temných dob počítačové vassalage.

V předchozí článek Sdělil jsem svůj úhel pohledu, že Microsoft, který se učí z chyb IBM, se snaží znovu potvrdit svou nadřazenost nad uživateli, požaduje od nich, jaký hardware si má koupit, a od výrobců hardwaru určuje, kteří z nich mohou nebo nemohou spouštět Windows.

Nyní vám chci připomenout předchůdce. Z požadavku Microsoftu, který Linux neznal nebo kterému mohl čelit.

Windows 8 a UEFI. Modul Discord

V říjnu 2012 společnost Microsoft oznámila vydání Windows 8. Řekl také, že počítače, které ho zamýšlejí předinstalovat, by měly místo systému BIOS používat UEFI.

Co je to UEFI?

UEFI je anglická zkratka pro Unified Extensible Firmware Interface nebo Unified Extensible Firmware Interface. Jeho funkcí je spustit veškerý hardware připojený k počítači a spustit operační systém. Ve skutečnosti to můžeme považovat za zmenšený operační systém, který je zodpovědný za spuštění základní desky počítače a souvisejících hardwarových komponent. Jinými slovy, toto rozhraní je zodpovědné za načtení konkrétního zavaděče do hlavní paměti. To bude ten, který zahájí rutinní akce při spuštění. Když je hotový, uvidíme přihlašovací obrazovku, která nám umožní používat operační systém.

Jak je tomu nyní u TPM, ne každý počítač byl kompatibilní s UEFI. Na základní desce je nutné mít speciální firmware. Tento firmware používá rozhraní UEFI jako operační vrstvu nebo vrstvu, která funguje jako prostředník mezi samotným firmwarem a operačním systémem. Firmware je umístěn na paměťovém čipu, kde je uložen. i když dojde k výpadku proudu.

• Přepracované a srozumitelnější rozhraní.
• Rychlejší načítání systému.
• Podpora systému souborů GPT.
• Využijte naplno možnosti 64bitových procesorů.
• Snadné programování (pomocí jazyka C).
• Vzdálené spuštění a aktualizace.
• Ovladače lze uvolnit dříve, než to udělá operační systém.

Zatím je vše dobré. Had za jablkem měl ale dvě jména: Secure Boot

Co je to Secure Boot?

Secure Boot je funkce, která byla poprvé představena v systému Windows 8 a je součástí systému Windows 10. Společnost Microsoft původně vyžadovala, aby výrobci předinstalovali svůj operační systém tak, aby jej uživatelé mohli deaktivovat, a to i v systému Windows. 10 Tento požadavek zmizel

Mělo to zabránit spuštění malwaru při spuštění počítače. V praxi to ztěžovalo spouštění distribucí Linuxu v živém režimu.

Když se počítač spustí, Secure Boot ověřuje podpis každého zaváděcího softwaru, včetně ovladačů firmwaru UEFI, aplikací EFI a operačního systému. Pokud jsou podpisy platné, počítač se spustí a firmware předá ovládání operačnímu systému.

Výrobce musí uchovávat ověřené databáze podpisů v energeticky nezávislé paměti RAM.firmware. To zahrnuje databázi podpisů (db), zrušenou databázi podpisů (dbx) a databázi registračních klíčů (KEK).

Podpisová databáze (db) a zrušená podpisová databáze (dbx) uvádí seznam signatářů nebo hashů obrázků aplikací UEFI, zavaděčů operačního systému (jako je zavaděč operačního systému Microsoft nebo správce souborů). Boot) a ovladače UEFI, které lze načíst do přístroj. Odvolaný seznam obsahuje položky, které již nejsou důvěryhodné a nelze je načíst.

Databáze registračních klíčů (KEK) je samostatná databáze podpisových klíčů, kterou lze použít k aktualizaci databáze podpisů a zrušené databáze podpisů. Společnost Microsoft požaduje, aby byl do databáze KEK zahrnut konkrétní klíč, takže v budoucnu Společnost Microsoft může do databáze podpisů přidat nové operační systémy nebo do zrušené databáze podpisů přidat známé špatné obrázky.

Přečti si poslední odstavec. A pochopíte, co mám na mysli pod rizikem technologické vassalage.

V dalším článku uvidíme, jak problém vyřešily distribuce Linuxu.