Startseite » wie man » Wenn ich einen Computer mit Windows 8 und Secure Boot kaufe, kann ich dann noch Linux installieren?

    Wenn ich einen Computer mit Windows 8 und Secure Boot kaufe, kann ich dann noch Linux installieren?

    Das neue UEFI Secure Boot-System in Windows 8 hat vor allem bei Dual-Bootern mehr als Verwirrung verursacht. Lesen Sie weiter, während wir die Missverständnisse über das duale Booten mit Windows 8 und Linux aufklären.

    Die heutige Question & Answer-Sitzung wird dank SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-basierten Gruppierung von Q & A-Websites.

    Die Frage

    Superuser-Leser Harsha K ist neugierig auf das neue UEFI-System. Er schreibt:

    Ich habe viel darüber gehört, wie Microsoft UEFI Secure Boot in Windows 8 implementiert. Offensichtlich verhindert es, dass "unautorisierte" Bootloader auf dem Computer ausgeführt werden, um Malware zu verhindern. Es gibt eine Kampagne der Free Software Foundation gegen den sicheren Start, und viele Leute haben online gesagt, es sei ein "Machtgriff" von Microsoft, "um freie Betriebssysteme zu beseitigen"..

    Kann ich später noch Linux (oder ein anderes Betriebssystem) installieren, wenn ich einen Computer habe, auf dem Windows 8 und Secure Boot vorinstalliert sind? Oder arbeitet ein Computer mit Secure Boot immer nur mit Windows?

    Also, was ist der Deal? Sind Doppelstiefel wirklich kein Glück?

    Die Antwort

    Der Superuser-Benutzer Nathan Hinkle bietet einen fantastischen Überblick darüber, was UEFI ist und was nicht:

    Zunächst die einfache Antwort auf Ihre Frage:

    • Wenn Sie ein ARM-Tablet haben Dann läuft Windows RT (wie die Surface RT oder die Asus Vivo RT) Sie können Secure Boot nicht deaktivieren oder andere Betriebssysteme installieren. Wie viele andere ARM-Tablets werden auch diese Geräte verwendet nur Führen Sie das Betriebssystem aus, mit dem sie kommen.
    • Wenn Sie einen Computer ohne ARM haben Wenn Sie Windows 8 ausführen (wie das Surface Pro oder eines der zahlreichen Ultrabooks, Desktops und Tablets mit einem x86-64-Prozessor), dann Sie können Secure Boot vollständig deaktivieren, oder Sie können Ihre eigenen Schlüssel installieren und Ihren eigenen Bootloader signieren. In jedem Fall, Sie können ein Drittanbieter-Betriebssystem wie eine Linux-Distribution installieren oder FreeBSD oder DOS oder was auch immer Ihnen gefällt.

    Nun zu den Details, wie das ganze Secure Boot-Ding tatsächlich funktioniert: Es gibt eine Menge falscher Informationen über Secure Boot, insbesondere von der Free Software Foundation und ähnlichen Gruppen. Dies hat es schwierig gemacht, Informationen darüber zu finden, was Secure Boot tatsächlich tut. Daher versuche ich mein Bestes, um es zu erklären. Beachten Sie, dass ich keine persönlichen Erfahrungen mit der Entwicklung von sicheren Boot-Systemen oder Ähnlichem habe. Das ist genau das, was ich aus dem Online-Lesen gelernt habe.

    Zuerst, Sicherer Start ist nicht etwas, das Microsoft entwickelt hat. Sie sind die Ersten, die es umfassend implementiert haben, aber sie haben es nicht erfunden. Es ist Teil der UEFI-Spezifikation, die im Grunde einen neueren Ersatz für das alte BIOS darstellt, an das Sie wahrscheinlich gewöhnt sind. UEFI ist im Wesentlichen die Software, die zwischen Betriebssystem und Hardware kommuniziert. UEFI-Standards werden von einer Gruppe namens „UEFI Forum“ erstellt, die sich aus Vertretern der Computerbranche zusammensetzt, darunter Microsoft, Apple, Intel, AMD und eine Handvoll Computerhersteller.

    Zweitwichtigster Punkt, Sicheres Starten auf einem Computer muss aktiviert sein nicht Dies bedeutet, dass der Computer niemals ein anderes Betriebssystem booten kann. Tatsächlich geben die eigenen Windows-Hardware-Zertifizierungsanforderungen von Microsoft an, dass Sie für Nicht-ARM-Systeme sowohl den sicheren Start deaktivieren als auch die Schlüssel ändern müssen (um andere Betriebssysteme zuzulassen). Aber dazu später mehr.

    Was macht Secure Boot??

    Im Wesentlichen wird verhindert, dass Malware Ihren Computer durch die Startsequenz angreift. Malware, die über den Bootloader eingedrungen ist, kann sehr schwer zu erkennen und zu stoppen sein, da sie untergeordnete Funktionen des Betriebssystems infiltrieren und für Antivirensoftware unsichtbar halten kann. Alles, was Secure Boot wirklich tut, ist, dass es überprüft, dass der Bootloader aus einer vertrauenswürdigen Quelle stammt und dass er nicht manipuliert wurde. Stellen Sie sich das wie die Pop-Up-Kappen auf Flaschen vor, die besagen, dass sich der Deckel nicht öffnet, wenn der Deckel aufgestoßen ist oder das Siegel manipuliert wurde..

    Auf der obersten Schutzstufe haben Sie den Plattformschlüssel (PK). Es gibt nur einen einzigen PK in einem System, der während der Fertigung vom OEM installiert wird. Dieser Schlüssel dient zum Schutz der KEK-Datenbank. Die KEK-Datenbank enthält Schlüsselaustauschschlüssel, die zum Ändern der anderen sicheren Startdatenbanken verwendet werden. Es können mehrere KEKs vorhanden sein. Es gibt dann eine dritte Ebene: die Authorized Database (db) und die Forbidden-Datenbank (dbx). Diese enthalten Informationen zu Zertifizierungsstellen, zusätzlichen kryptografischen Schlüsseln und UEFI-Geräteimages, die zugelassen bzw. gesperrt werden sollen. Damit ein Bootloader ausgeführt werden kann, muss er mit einem Schlüssel kryptografisch signiert werden ist in der DB, und ist nicht in der DBX.

    Image from Building Windows 8: Schutz der pre-OS-Umgebung mit UEFI

    Wie funktioniert das auf einem Windows 8-zertifizierten System?

    Der OEM generiert eine eigene PK, und Microsoft stellt eine KEK bereit, die der OEM in die KEK-Datenbank vorladen muss. Microsoft signiert dann den Windows 8-Bootloader und verwendet diese KEK, um diese Signatur in der autorisierten Datenbank abzulegen. Wenn UEFI den Computer startet, wird der PK überprüft, der KEK von Microsoft und der Bootloader überprüft. Wenn alles gut aussieht, kann das Betriebssystem booten.


    Image from Building Windows 8: Schutz der pre-OS-Umgebung mit UEFI

    Wo kommen Betriebssysteme von Drittanbietern wie Linux zum Einsatz??

    Erstens könnte jede Linux-Distribution sich dafür entscheiden, eine KEK zu generieren und OEMs aufzufordern, diese standardmäßig in die KEK-Datenbank aufzunehmen. Sie hätten dann genauso viel Kontrolle über den Startvorgang wie Microsoft. Die Probleme, die von Fedora Matthew Garrett erklärt wurden, lauten: a) Es wäre schwierig, jeden PC-Hersteller dazu zu bringen, Fedoras Schlüssel einzubeziehen, und b) es wäre unfair gegenüber anderen Linux-Distributionen, da ihr Schlüssel nicht enthalten wäre , da kleinere Distributionen nicht so viele OEM-Partnerschaften haben.

    Was Fedora gewählt hat (und andere Distributionen folgen diesem Beispiel), ist die Verwendung der Signaturdienste von Microsoft. In diesem Szenario müssen Sie Verisign (der von Microsoft verwendeten Zertifizierungsstelle) 99 US-Dollar zahlen. Entwickler erhalten die Möglichkeit, ihren Bootloader mithilfe von Microsoft KEK zu signieren. Da sich Microsoft KEK bereits auf den meisten Computern befindet, können sie ihren Bootloader zur Verwendung von Secure Boot signieren, ohne einen eigenen KEK zu benötigen. Am Ende ist es mit mehr Computern kompatibel und kostet insgesamt weniger als die Einrichtung eines eigenen Schlüsselsignierungs- und Vertriebssystems. Weitere Informationen zur Funktionsweise (mit GRUB, signierten Kernel-Modulen und anderen technischen Informationen) finden Sie im oben genannten Blog-Post. Ich empfehle Ihnen das Lesen, wenn Sie sich für diese Art von Dingen interessieren.

    Angenommen, Sie möchten sich nicht mit der Mühe der Anmeldung bei Microsofts System auseinandersetzen oder 99 US-Dollar bezahlen oder sich einfach nur gegen Großkonzerne, die mit einem M beginnen, lehnen. Es gibt noch eine weitere Möglichkeit, Secure Boot zu verwenden und führen Sie ein anderes Betriebssystem als Windows aus. Microsoft Hardware-Zertifizierung erfordert OEMs erlauben Benutzern, ihr System in den benutzerdefinierten UEFI-Modus einzugeben, in dem sie die Secure Boot-Datenbanken und die PK manuell ändern können. Das System kann in den UEFI-Setup-Modus versetzt werden, in dem der Benutzer sogar seinen eigenen PK angeben und Bootloader selbst signieren kann.

    Aufgrund der eigenen Zertifizierungsanforderungen von Microsoft müssen OEMs außerdem eine Methode zum Deaktivieren von Secure Boot auf Nicht-ARM-Systemen hinzufügen. Sie können den sicheren Start deaktivieren! Die einzigen Systeme, bei denen Sie den sicheren Start nicht deaktivieren können, sind ARM-Systeme, auf denen Windows RT ausgeführt wird. Diese Funktionen ähneln dem iPad, auf dem Sie keine benutzerdefinierten Betriebssysteme laden können. Ich wünsche mir zwar, dass das Betriebssystem auf ARM-Geräten geändert werden kann, doch kann man sagen, dass Microsoft hier den Industriestandard in Bezug auf Tablets einhält.

    Sicheres Booten ist also nicht von Natur aus böse?

    Wie Sie hoffentlich sehen können, ist Secure Boot nicht böse und kann nicht nur unter Windows verwendet werden. Der Grund, weshalb sich die FSF und andere so darüber aufregen, liegt darin, dass sie die Verwendung eines Drittanbieter-Betriebssystems um zusätzliche Schritte erweitert. Linux-Distributoren zahlen zwar nicht gerne für die Verwendung des Schlüssels von Microsoft, aber es ist der einfachste und kostengünstigste Weg, Secure Boot für Linux zum Laufen zu bringen. Glücklicherweise ist es einfach, Secure Boot zu deaktivieren, und es können verschiedene Schlüssel hinzugefügt werden, so dass kein Umgang mit Microsoft erforderlich ist.

    In Anbetracht der immer komplexer werdenden Malware erscheint Secure Boot eine vernünftige Idee. Es ist nicht beabsichtigt, ein böser Plan zu sein, der die Welt erobern soll, und ist weit weniger beängstigend, als manche Experten von freier Software glauben.

    Zusätzliche Lektüre:

    • Microsoft-Hardware-Zertifizierungsanforderungen
    • Erstellen von Windows 8: Schutz der Umgebung von Betriebssystemen mit UEFI
    • Microsoft-Präsentation zur sicheren Startbereitstellung und Schlüsselverwaltung
    • UEFI Secure Boot in Fedora implementieren
    • TechNet Secure Boot Überblick
    • Wikipedia-Artikel zu UEFI

    TL; DR: Sicherer Start verhindert, dass Malware Ihr System während des Startens auf einem niedrigen, nicht nachweisbaren Level infiziert. Jeder kann die erforderlichen Schlüssel erstellen, damit es funktioniert. Es ist jedoch schwierig, Computerhersteller von der Verteilung zu überzeugen Ihre Schlüssel für alle Benutzer. Sie können alternativ auch Verisign bezahlen, um mit dem Microsoft-Schlüssel Ihre Bootloader zu signieren und sie zum Laufen zu bringen. Sie können Secure Boot auch deaktivieren irgendein Nicht-ARM-Computer.

    Letzter Gedanke in Bezug auf die Kampagne der FSF gegen Secure Boot: Einige ihrer Bedenken (d. H. Sie macht es.) Schwerer freie Betriebssysteme zu installieren) sind gültig bis zu einem Punkt. Zu behaupten, dass die Einschränkungen "verhindern, dass jemand etwas anderes als Windows startet", ist aus den oben dargestellten Gründen nachweislich falsch. Kampagnen gegen UEFI / Secure Boot als Technologie sind kurzsichtig, falsch informiert und unwahrscheinlich. Es ist wichtiger, sicherzustellen, dass Hersteller tatsächlich die Anforderungen von Microsoft erfüllen, damit Benutzer den sicheren Start deaktivieren oder die Schlüssel ändern können, wenn sie dies wünschen.


    Haben Sie der Erklärung etwas hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.