Windows 8 และ UEFI พื้นหลังที่เป็นอันตรายของ Windows 11 และ TPM

บทความชุดนี้มีวัตถุประสงค์สองประการ อย่างแรกคือ แสดงให้เห็นว่า Windows 11 เป็นโอกาสที่ดีในการขยายตลาด Linux. ประการที่สองเพื่อเตือนว่า หากลินุกซ์ไม่ฉวยโอกาสนั้น เราก็สามารถย้อนเวลากลับไป 30 ปี สู่ยุคมืดมนของอำนาจหน้าที่ของคอมพิวเตอร์

ใน บทความก่อนหน้า ฉันให้มุมมองของฉันว่า Microsoft ซึ่งเรียนรู้จากความผิดพลาดของ IBM พยายามยืนยันอำนาจสูงสุดเหนือผู้ใช้ เรียกร้องให้พวกเขาซื้อฮาร์ดแวร์ชนิดใด และพิจารณาจากผู้ผลิตฮาร์ดแวร์ว่าตัวใดสามารถหรือไม่สามารถใช้งาน Windows ได้

ตอนนี้ฉันต้องการเตือนคุณถึงเหตุการณ์ก่อน จากความต้องการของไมโครซอฟท์ที่ลีนุกซ์ไม่รู้หรือเผชิญได้

Windows 8 และ UEFI โมดูล Discord

ในเดือนตุลาคม 2012 Microsoft ได้ประกาศเปิดตัว Windows 8 เขายังกล่าวอีกว่าคอมพิวเตอร์ที่ตั้งใจจะติดตั้งไว้ล่วงหน้าควรใช้ UEFI แทน BIOS

UEFI คืออะไร?

UEFI เป็นตัวย่อในภาษาอังกฤษสำหรับ Unified Extensible Firmware Interface หรือ Unified Extensible Firmware Interface หน้าที่ของมันคือการเริ่มต้นฮาร์ดแวร์ทั้งหมดที่เชื่อมต่อกับคอมพิวเตอร์และเปิดระบบปฏิบัติการ อันที่จริง เราสามารถพิจารณาว่าเป็นระบบปฏิบัติการที่ลดขนาดลง ซึ่งมีหน้าที่รับผิดชอบในการบูทเมนบอร์ดของคอมพิวเตอร์และส่วนประกอบฮาร์ดแวร์ที่เกี่ยวข้อง กล่าวอีกนัยหนึ่งอินเทอร์เฟซนี้มีหน้าที่ในการโหลด bootloader เฉพาะในหน่วยความจำหลัก นี่จะเป็นสิ่งที่จะเริ่มต้นการดำเนินการเริ่มต้นตามปกติ เมื่อเสร็จแล้วเราจะเห็นหน้าจอเข้าสู่ระบบที่จะให้เราใช้ระบบปฏิบัติการ

อย่างที่เป็นอยู่ในปัจจุบันของ TPM ไม่ใช่แค่คอมพิวเตอร์เครื่องใดก็ตามที่เข้ากันได้กับ UEFI. จำเป็นต้องมีเฟิร์มแวร์พิเศษบนเมนบอร์ด เฟิร์มแวร์นี้ใช้อินเทอร์เฟซ UEFI เป็นเลเยอร์การทำงานหรือเลเยอร์ที่ทำหน้าที่เป็นตัวกลางระหว่างเฟิร์มแวร์และระบบปฏิบัติการ เฟิร์มแวร์อยู่บนชิปหน่วยความจำที่เก็บไว้ แม้จะเกิดไฟฟ้าดับ

• อินเทอร์เฟซที่ปรับปรุงใหม่และเข้าใจง่าย
• โหลดระบบได้เร็วขึ้น
• รองรับระบบไฟล์ GPT
• ใช้ประโยชน์จากความเป็นไปได้ของโปรเซสเซอร์ 64 บิตอย่างเต็มที่
• การเขียนโปรแกรมอย่างง่าย (โดยใช้ภาษา C)
• เริ่มต้นและอัปเดตจากระยะไกล
• ไดร์เวอร์สามารถถูกปล่อยออกมาก่อนที่ระบบปฏิบัติการจะทำ

จนถึงตอนนี้ดีมาก แต่งูที่อยู่เบื้องหลังแอปเปิ้ลมีสองชื่อ: Secure Boot

Secure Boot คืออะไร?

Secure Boot เป็นฟีเจอร์ที่เปิดตัวครั้งแรกใน Windows 8 และรวมเป็นส่วนหนึ่งของ Windows 10 โดยในขั้นต้น Microsoft กำหนดให้ผู้ผลิตติดตั้งระบบปฏิบัติการล่วงหน้าเพื่อให้ผู้ใช้สามารถปิดการใช้งานได้ แม้กระทั่งกับ Windows 10 ข้อกำหนดนั้นหายไป

มันควรจะช่วยป้องกันมัลแวร์ไม่ให้ทำงานเมื่อเริ่มคอมพิวเตอร์ ในทางปฏิบัติทำให้การบูทลีนุกซ์ดิสทริบิวชันในโหมด Live เป็นเรื่องยาก

เมื่อพีซีเริ่มทำงาน Secure Boot ตรวจสอบลายเซ็นของซอฟต์แวร์บูตทุกชิ้น รวมถึงไดรเวอร์เฟิร์มแวร์ UEFI แอปพลิเคชัน EFI และระบบปฏิบัติการ. หากลายเซ็นถูกต้อง พีซีจะบู๊ตและเฟิร์มแวร์จะละทิ้งการควบคุมไปยังระบบปฏิบัติการ

ผู้ผลิตต้องจัดเก็บฐานข้อมูลลายเซ็นที่ตรวจสอบแล้วใน RAM แบบไม่ลบเลือนเฟิร์มแว. ซึ่งรวมถึงฐานข้อมูลลายเซ็น (db) ฐานข้อมูลลายเซ็นที่ถูกเพิกถอน (dbx) และฐานข้อมูลคีย์การลงทะเบียน (KEK)

ฐานข้อมูลลายเซ็น (db) และฐานข้อมูลลายเซ็นที่ถูกเพิกถอน (dbx) แสดงรายการผู้ลงนามหรือแฮชรูปภาพของแอปพลิเคชัน UEFI ตัวโหลดระบบปฏิบัติการ (เช่น ตัวโหลดระบบปฏิบัติการของ Microsoft หรือตัวจัดการไฟล์) บูต) และไดรเวอร์ UEFI ที่สามารถโหลดได้บน อุปกรณ์. รายการที่เพิกถอนมีรายการที่ไม่น่าเชื่อถืออีกต่อไปและไม่สามารถโหลดได้

ฐานข้อมูลคีย์การลงทะเบียน (KEK) เป็นฐานข้อมูลคีย์ลายเซ็นแยกต่างหากที่สามารถใช้เพื่ออัปเดตฐานข้อมูลลายเซ็นและฐานข้อมูลลายเซ็นที่ถูกเพิกถอน. Microsoft ต้องการให้รวมคีย์เฉพาะในฐานข้อมูล KEK เพื่อที่ในอนาคต Microsoft อาจเพิ่มระบบปฏิบัติการใหม่ลงในฐานข้อมูลลายเซ็นหรือเพิ่มภาพที่ไม่ดีที่รู้จักลงในฐานข้อมูลลายเซ็นที่ถูกเพิกถอน

อ่านย่อหน้าสุดท้ายอีกครั้ง และคุณจะเข้าใจสิ่งที่ฉันหมายถึงโดยความเสี่ยงของการเป็นทาสทางเทคโนโลยี

ในบทความถัดไป เราจะมาดูกันว่าลีนุกซ์รุ่นลีนุกซ์แก้ปัญหาได้อย่างไร.