Wiki
Clone wikicomp-house.repo / issue-of-secure-boot-on-Windows-8
- Оригинал: https://plus.google.com/110953740010395822648/posts/RREGWoWVutS
- Переводчик: Любимов Алексей
Условия использования перевода
Вы можете безо всяких ограничений на свое усмотрение читать и ссылаться на этот текст.
Вы НЕ можете копировать этот текст целиком или по частям. Цитирование допускается в пределах абзаца. При цитировании ссылка на этот перевод или оригинал статьи обязательна.
Дело в том, что данный перевод находится в статусе черновика и я хотел бы оставить за собой возможность вносить в него необходимые исправления, поэтому, если вы не можете избежать копирования - не используйте этот текст вообще.
Раз уж речь зашла об улучшении текста перевода, прошу вас - если вы нашли ошибки в переводе полагаете, что какие-то его части можно перевести лучше - пришлите мне свои возражения или свой вариант перевода спорного места и я постараюсь его учесть.
Проблема с механизмом безопасной загрузки в Windows 8 возникла в Сентябре, когда линукс-разработчик Мэтью Гаррет (Matthew Garrett) заметил, что эта возможность, будучи реализованой в соответствии с рекомендациями UEFI (Unified Extensible Firmware Interface), может быть использована для обеспечения загрузки на устройстве только ОС от компании Microsoft.
Прошивка может содержать один или несколько подписаных ключей и любой исполняемый файл, еоторый не будет подписан этими ключами не сможет загрузить указанную систему. Другой набор ключей под названием Pkek, обеспечивает связь между операционной системой и прошивкой.
Операционная система с ключами, попадающими в Pkek может добавлять ключи в белый или черный список. В последнем случае, любой исполняемый файл, которй подписан ключом из черного списка, не будет подписан.
Позднее, Linux Foundation опубликовал список способов обхода, которые требуют кооперации с производителями железа.
Требования по сертификации Windows (PDF) на странице 116 гласят:
20. ОБЯЗАТЕЛЬНО: На не-ARM системах, для физически присутствующего пользователя, платформа ДОЛЖНА реализовать в настройках прошивки возможность выбора между двумя режимами безопасной загрузки: "Пользовательский" или "Стандартный". Пользовательский режим допускает большую гибкость, как описано в следующем:
a) Пользователю должно быть позволено в пользовательском режиме использовать настройки прошивки для внесения изменений в базы подписей безопасной загрузки и PK.
b) Если пользователь удалит PK, то после выхода из настроек пользовательского режима система должна работать в роежиме установки с отключеной безопасной загрузкой.
c) Установка прошивки должна отображать, включена безопасная загрузка или нет и если включена, в каом режиме - стандртном или пользовательском. Установка прошивки должна содержать опцию возврата из пользовательского режима в стандартный с восстановлением заводских установок.
В ARM системах запрещено включать пользовательский режим. Может быть включен только стандартный режим.
Ссылки
http://www.softwarefreedom.org/blog/2012/jan/12/microsoft-confirms-UEFI-fears-locks-down-ARM/
Updated