Журнал LinuxFormat - перейти на главную

LXF152:Что за штука... UEFI

Материал из Linuxformat
Перейти к: навигация, поиск
Что за штука… UEFI?

Марко Фиоретти выясняет, какое влияние окажут новые загрузочные интерфейсы на установку Linux.


В:

Итак, что же такое UEFI, и каково его предназначение?

О:

Unified Extensible Firmware Interface [Унифицированный Расширенный Системный Интерфейс] – это стандарт на основе спецификации EFI 1.10, изначально являющейся продуктом Intel. Он призван стандартизировать процесс загрузки компьютеров, а также инициализацию дополнительных карт.

В:

А разве BIOS этого не делает?

О:

Да, мы по и сей день часто используем Basic Input/Output System, разработанный для самых первых компьютеров. Однако BIOS имеет свои ограничения, которые со временем становятся все более ощутимыми.

В:

Расскажите мне о них поподробнее. В чем они состоят?

О:

Для пользователей Linux наиболее существенны ограничения, касающиеся безопасности: BIOS – далеко не лучшее решение для борьбы с вредоносными программами, активирующимися при загрузке. Кроме того, в отличие от UEFI, BIOS ориентирован на архитектуру х86: он не может предложить общее решение по поддержке драйверов, защиты от вирусов и другими загрузочным процессам одновременно на обычных ПК, планшетах и смартфонах. Новый стандарт включает также и оболочку для выполнения диалоговых команд и автоматических сценариев во время загрузки.

В:

Кто занимается UEFI?

О:

Некоммерческий форум, который помещается на сайте www.uefi.org. В его состав входят представители компаний AMD, Apple, IBM, Intel и Microsoft.

В:

Является ли UEFI открытым стандартом?

О:

Как всегда, все зависит от того, что вы понимаете под «открытым». Сама спецификация находится в открытом доступе. Разработчики UEFI сошлись на том, что любая необходимый для ее реализации интеллектуальная собственность (право на использование патентов и т. д.) будет предоставляться на «разумных и недискриминирующих условиях».

В:

Как UEFI защищает от вредоносных программ?

О:

При помощи процедуры под названием – угадали! – Безопасная загрузка [Secure Boot], которая препятствует запуску неавторизованных двоичных программ во время общей загрузки.

В:

А что понимается под неавторизированными двоичными программами?

О:

Это могут быть неизвестные, а потому подозрительные операционные системы, либо уже существующие ОС, измененные без согласия пользователя со времени предшествующей загрузки.

В:

Как же безопасная загрузка определит, каким программам доверять, а каким — нет?

О:

Безопасный протокол загрузки включает ряд криптографических ключей, позволяющих UEFI распознать, какие системные драйверы или операционные системы имеют достоверные электронно-цифровые подписи и могут быть запущены.

В:

Что это за ключи?

О:

Один называется «платформным» [platform key, PK] и (согласно текущим спецификациям) устанавливается в прошивку самими производителями ПК в процессе создания оборудования.

В:

А другие?

О:

Так называемые Key-Exchange Keys (KEKs), которые контролируются изготовителями аппаратуры и OC. Они предназначены для проверки операционных систем и драйверов.

В:

Получил ли UEFI широкую поддержку в компьютерной индустрии?

О:

Да такую, что заставил поволноваться многих сторонников свободного ПО. Программа cертификации Windows требует, чтобы во всех системах с предустановленной Windows 8 «безопасная загрузка осуществлялась по умолчанию, прошивка не позволяла изменения ее параметров, и OEM [Original Equipment Manufacturers – изготовители оригинального оборудования] предотвращали неавторизированные попытки обновления системы, способные нарушить ее целостность».

В:

И это плохо, поскольку?..

О:

Поскольку вызывает опасения, что все идет (хоть это и не вытекает напрямую из вышесказанного) к тому, что компьютеры будут способны загружать только Windows 8.

В:

Что в связи с этим предпринимается?

О:

Linux Foundation, Red Hat и Canonical выступили с двумя предложениями по обеспечению совместимости UEFI и безопасной загрузки с Linux или любыми другими ОС.

В:

В чем заключаются эти предложения?

О:

Они немного различаются в деталях, но суть одна: поставлять компьютеры с безопасной загрузкой UEFI в режиме настройки, в форме опции, которую пользователь может отключить (естественно, на свой страх и риск) и/или сделать доступной в режиме мультизагрузки, либо разрешить запуск загрузочных дистрибутивов с DVD или USB-носителей, даже при включенной функции безопасной загрузки.

В:

Вы все время говорите про ключи,

а кто их выпускает?

О:

Ах да, кто... Ну, это самый большой вопрос. Оптимальным решением было бы создать нейтральный удостоверяющий центр [Certificate Authority, СА] – независимую доверенную организацию, за которой все заинтересованые стороны признавали бы право выпуска цифровых ключей для стороннего оборудования и ПО. Однако сколь бы полезным ни было такое сообщество, платформы UEFI вовсе не нуждаются в поддержке открытых систем. До сих пор нам приходилось, а возможно, и придется еще некоторое время, жить с более простыми схемами, оставлявшими право (и ответственность) на подтверждение ключей за конечными пользователями.

«К чему тревожить пользователей Linux или желающих установить более ранние версии Windows?»

В:

А что же Free Software Foundation?

Как он относится к UEFI?

О:

Отстаивает ваше право на установку свободного ПО, разумеется. FSF выступил с открытым заявлением, под которым можно подписаться (www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement), подчеркивающим, что пользователям необходимо иметь возможность авторизовать любые программы, которым они доверяют, а также призывающим людей проголосовать кошельком – не покупая и не рекомендуя другим те компьютеры, которые не предоставляют подобной альтернативы.

В:

А по-вашему, хорошая или плохая идея

этот UEFI?

О:

Как и во всех вопросах, касающихся защиты людей, здесь важно, предоставляют ли вам самим решать, от чего вас нужно защищать. UEFI может быть очень неплохим решением, если действительно сможет улучшить безопасность, при этом не ущемляя права выбора. На практике, все зависит от того, как его будут применять.

В:

То есть вы не считаете, что безопасная загрузка отвратит людей от Linux?

О:

По моим ощущениям, на это она существенно не повлияет. Конечно, если UEFI был создан для того, чтобы стало невозможно устанавлявать другие операционные системы, это очень плохо, но тогда это уже нарушение прав потребителя в целом.

В:

Имеете в виду, что это не пройдет мимо комитетов по защите потребителей и антимонопольного законодательства?

О:

Именно так. Кроме того, решение о том, чтобы сделать безопасную загрузку открытой, то есть доступной в системах в виде опции, с возможностью добавления своих собственных ключей, находится полностью в руках OEM.

В:

А что если OEM решат закрыть свои системы, на радость Microsoft и с тем,

чтобы подешевле получить Windows 8?

О:

Изготовители оборудования и сборщики систем наверняка будут оснащать материнские платы и скомплектованные компьютеры безопасной загрузкой по умолчанию, чтобы получить логотип Windows 8. И все же на данный момент речь не идет о том, что со стороны Microsoft поступит требование на запрет загрузки других систем (если таковое дозволено – см. выше), а доля прибыли с оборудования на ПК сегодня очень небольшая. К чему тревожить пользователей Linux или многих других людей, просто желающих установить более ранние версии Windows или подключить периферию, изготовленную до UEFI?

В:

Но ведь UEFI еще и усложнит процесс установки Linux, тем самым отпугнув новичков!

О:

Повторюсь: не думаю, что роль UEFI здесь будет существенна. Те, кто откажется от установки Linux, не пожелав маяться с UEFI – это те же самые люди, которые не понимают, как выбрать установку с диска в своем BIOS. Реальная причина, почему многие до сих пор отказываются переходить на Linux, вовсе не в трудности установки.

В:

А в чем же тогда?

О:

Ну, а игры и другие проприетарные программы, которые работают только под Windows, или страх перед новым интерфейсом? Вот вам два гораздо более сдерживающих фактора, чем лишняя пара щелчков в начале процесса установки, и UEFI здесь вовсе ни при чем.

В:

Да, полагаю, вы правы. И последний вопрос: где мне побольше узнать о UEFI?

О:

Я бы посоветовал два технических документа от Linux Foundation, Red Hat и Canonical: Canonical: Making UEFI Secure Boot Work With Open Platforms [Работа с безопасной загрузкой в UEFI на открытых платформах] www.linuxfoundation.org/publications/making-uefi-secure-boot-work-with-open-platforms) и UEFI Secure Boot Impact on Linux [Как безопасная загрузка в UEFI повлияет на Linux] (http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf). Это не официальные документы, но они будут наиболее полезны пользователям Linux.

Персональные инструменты
купить
подписаться
Яндекс.Метрика