Как работает безопасная загрузка в Windows 8 и что это значит для Linux
Всякий, кто покупает готовый новый компьютер, непременно сталкивается с новой функцией безопасной загрузки (Secure Boot), даже если не планирует использовать Windows 8. Безопасная загрузка, активно продвигаемая Microsoft, предотвращает запуск неразрешенных операционных систем при включении ПК.
Такая функциональность реализована в UEFI – фундаментальном интерфейсе, заменяющем собой BIOS. На любом компьютере с наклейкой Windows 8 безопасная загрузка включена по умолчанию. При этом Microsoft по-разному использует ее на компьютерах с процессорной архитектурой x86 (Intel) и на устройствах с ARM-чипами.
Преимущества с точки зрения безопасности
Традиционный BIOS загружает любое программное обеспечение – как правило, загрузчик Windows или Linux (например GRUB). Однако вредоносное ПО, в частности руткит, может подменить собой нормальный загрузчик. В таком случае сначала запускается руткит, а уже потом – обычная операционная система, причем никаких признаков подмены нет. Руткит остается абсолютно невидимым и его нельзя обнаружить из самой операционной системы. А BIOS отличать вредоносное программное обеспечение от безопасного не умеет, поэтому разрешает запуск чего угодно.
На компьютерах с Windows 8 в UEFI хранится сертификат Microsoft (а иногда еще и другие сертификаты, в зависимости от производителя). UEFI проверяет подпись загрузчика, прежде чем разрешать запуск, и если тот подменен руткитом или другим вредоносным ПО, не имеющим подписи Microsoft, загрузка блокируется. Благодаря этому вредоносное программное обеспечение не имеет возможности загрузиться и спрятаться от операционной системы.
Если бы этим возможности безопасной загрузки ограничивались, на компьютерах, сертифицированных Microsoft, нельзя было бы запускать никакие другие операционные системы. К счастью, безопасную загрузку можно настроить в UEFI (точно так же, как в BIOS настраиваются другие аспекты работы компьютера). Можно полностью ее отключить, добавить дополнительные сертификаты или даже удалить сертификат Microsoft. Если убрать сертификат Microsoft и добавить собственный, на компьютере будут запускаться только разрешенные операционные системы.
Установка Linux
Ничто не мешает производителям выпускать компьютеры с сертификатами Ubuntu. Разработчики Linux могут создавать собственные сертификаты и предлагать установить их, а могут просто попросить пользователей отключить безопасную загрузку. Fedora заплатила $99 за получение цифровой подписи, поэтому дистрибутивы Fedora можно ставить на компьютеры, сертифицированные для Windows 8, без дополнительных настроек. Другие дистрибутивы Linux тоже могут пойти этим путем.
Отличия между x86 и ARM
А теперь плохие новости: все сказанное выше по поводу настроек касается только компьютеров и планшетов с процессорной архитектурой x86 (Intel), работающих под управлением стандартной Windows 8.
Есть еще планшеты на процессорах ARM с операционной системой Windows RT, которая не только не поддерживает настольные программы, ограничиваясь лишь Metro приложениями, но еще и обладает заблокированным загрузчиком. На таких устройствах нельзя отключить безопасную загрузку и установить собственную операционную систему. Microsoft предлагает рассматривать ARM-планшеты с Windows RT как устройства, а не как полноценные компьютеры. Представители компании, в ответ на вопрос Mozilla, вообще заявили, что Windows RT – это «уже не Windows».
Хорошо, что безопасная загрузка обеспечивает надежную защиту всем, даже пользователям Linux, на компьютерах с процессорами Intel. Плохо, что на ARM-устройствах она используется как средство блокировки альтернатив.
