1. Alexey Lubimov Avatar Alexey Lubimov
  2. Untitled project
  3. comp-house.repo

Wiki

Clone wiki

comp-house.repo / issue-of-secure-boot-on-Windows-8

View History

Условия использования перевода

Вы можете безо всяких ограничений на свое усмотрение читать и ссылаться на этот текст.

Вы НЕ можете копировать этот текст целиком или по частям. Цитирование допускается в пределах абзаца. При цитировании ссылка на этот перевод или оригинал статьи обязательна.

Дело в том, что данный перевод находится в статусе черновика и я хотел бы оставить за собой возможность вносить в него необходимые исправления, поэтому, если вы не можете избежать копирования - не используйте этот текст вообще.

Раз уж речь зашла об улучшении текста перевода, прошу вас - если вы нашли ошибки в переводе полагаете, что какие-то его части можно перевести лучше - пришлите мне свои возражения или свой вариант перевода спорного места и я постараюсь его учесть.

Проблема с механизмом безопасной загрузки в Windows 8 возникла в Сентябре, когда линукс-разработчик Мэтью Гаррет (Matthew Garrett) заметил, что эта возможность, будучи реализованой в соответствии с рекомендациями UEFI (Unified Extensible Firmware Interface), может быть использована для обеспечения загрузки на устройстве только ОС от компании Microsoft.

Прошивка может содержать один или несколько подписаных ключей и любой исполняемый файл, еоторый не будет подписан этими ключами не сможет загрузить указанную систему. Другой набор ключей под названием Pkek, обеспечивает связь между операционной системой и прошивкой.

Операционная система с ключами, попадающими в Pkek может добавлять ключи в белый или черный список. В последнем случае, любой исполняемый файл, которй подписан ключом из черного списка, не будет подписан.

Позднее, Linux Foundation опубликовал список способов обхода, которые требуют кооперации с производителями железа.

Требования по сертификации Windows (PDF) на странице 116 гласят:

20. ОБЯЗАТЕЛЬНО: На не-ARM системах, для физически присутствующего пользователя, платформа ДОЛЖНА реализовать в настройках прошивки возможность выбора между двумя режимами безопасной загрузки: "Пользовательский" или "Стандартный". Пользовательский режим допускает большую гибкость, как описано в следующем:

a) Пользователю должно быть позволено в пользовательском режиме использовать настройки прошивки для внесения изменений в базы подписей безопасной загрузки и PK.

b) Если пользователь удалит PK, то после выхода из настроек пользовательского режима система должна работать в роежиме установки с отключеной безопасной загрузкой.

c) Установка прошивки должна отображать, включена безопасная загрузка или нет и если включена, в каом режиме - стандртном или пользовательском. Установка прошивки должна содержать опцию возврата из пользовательского режима в стандартный с восстановлением заводских установок.

В ARM системах запрещено включать пользовательский режим. Может быть включен только стандартный режим.

Ссылки

http://www.itwire.com/opinion-and-analysis/open-sauce/52176-windows-8-will-lock-out-gnulinux-on-arm-devices

http://www.softwarefreedom.org/blog/2012/jan/12/microsoft-confirms-UEFI-fears-locks-down-ARM/

Updated