Windows 8とセキュアブートを搭載したコンピューターを購入した場合でも、Linuxをインストールできますか?


48

MicrosoftがWindows 8でUEFIセキュアブートを実装する方法について多くのことを聞きました。どうやら「不正な」ブートローダーがコンピューターで実行されるのを防ぎ、マルウェアを防ぐためです。セキュアブートに対するFree Software Foundationのキャンペーンがあり、多くの人々がオンラインで、「無料のオペレーティングシステムを排除する」ことはMicrosoftによる「パワーグラブ」だと言っています。

Windows 8とセキュアブートがプリインストールされたコンピューターを入手した場合、Linux(または他のOS)を後でインストールできますか?または、セキュアブートを備えたコンピューターはWindowsでしか動作しませんか?

回答:


70

まず、質問に対する簡単な答え:

  • Windows RTを実行しているARMタブレット(Surface RTやAsus Vivo RTなど)がある場合、セキュアブートを無効にしたり、他のOSをインストールしたりすることはできません。他の多くのARMタブレットと同様に、これらのデバイスは付属のOS のみを実行します。

  • Windows 8を実行している非ARMコンピューター(Surface Proやx86-64プロセッサーを搭載した無数のウルトラブック、デスクトップ、タブレットなど)がある場合はセキュアブートを完全無効にするか、独自のキーをインストールできます独自のブートローダーに署名します。どちらの方法でも、Linuxディストリビューション、FreeBSD、DOSなどのサードパーティOSをインストールできます。


さて、このセキュアブート全体が実際にどのように機能するかの詳細については、セキュアブートに関して、特にFree Software Foundationおよび同様のグループから多くの誤った情報があります。これにより、セキュアブートが実際に行うことに関する情報を見つけることが難しくなったため、説明するために最善を尽くします。セキュリティで保護されたブートシステムなどを開発した経験はありません。これは、私がオンラインで読んで学んだことです。

まず第一に、セキュアブートはありません、マイクロソフトが思いついたことを何か。彼らはそれを広く実装した最初のものですが、発明しませんでした。これはUEFI仕様一部であり、これは基本的に、おそらく慣れている古いBIOSの新しい代替品です。UEFIは基本的に、OSとハードウェアの間で通信するソフトウェアです。UEFI標準は、「UEFIフォーラム」と呼ばれるグループによって作成されました。このグループは、Microsoft、Apple、Intel、AMD、および少数のコンピューターメーカーを含むコンピューティング業界の代表者で構成されています。

2番目に重要な点は、コンピューターでセキュアブートを有効にしても、コンピューターが他のオペレーティングシステムを起動できないということではありませ。実際、Microsoft独自のWindowsハードウェア認定要件では、ARM以外のシステムの場合、セキュアブートを無効にし、キーを変更(他のOSを許可)できる必要があります。ただし、後で詳しく説明します。

 

セキュアブートの機能

基本的に、ブートシーケンスを通じてマルウェアがコンピューターを攻撃するのを防ぎます。ブートローダーを介して侵入するマルウェアは、オペレーティングシステムの低レベルの機能に侵入し、ウイルス対策ソフトウェアから見えないようにするため、検出および停止が非常に困難になる場合があります。セキュアブートが実際に行うことは、ブートローダーが信頼できるソースからのものであり、改ざんされていないことを確認することです。「蓋がポップアップしたり、シールが改ざんされている場合は開けないでください」というボトルのポップアップキャップのようなものだと考えてください。

元のシールが破損するとボタンがポップアップします

保護の最上位には、プラットフォームキー(PK)があります。どのシステムにもPKは1つしかなく、製造中にOEMによってインストールされます。このキーは、KEKデータベースを保護するために使用されます。KEKデータベースは、他のセキュアブートデータベースを変更するために使用されるキー交換キーを保持しています。複数のKEKが存在する場合があります。3番目のレベルがあります:許可されたデータベース(db)とForbidden Datbase(dbx)。これらには、認証局、追加の暗号化キー、および許可またはブロックするUEFIデバイスイメージに関する情報がそれぞれ含まれています。実行を許可するブートローダためには、それは、暗号鍵で署名されなければならない DBに、そしてない dbxの中で。

プラットフォームキー> KEK>(許可されたハッシュ/許可されていないハッシュ)
Windows 8の構築からの画像:UEFIでプレOS環境を保護する

これが実際のWindows 8認定システムでどのように機能するか

OEMは独自のPKを生成し、MicrosoftはKEKを提供します。KEKはOEMがKEKデータベースにプリロードする必要があります。次に、MicrosoftはWindows 8ブートローダーに署名し、KEKを使用してこの署名を許可データベースに入れます。UEFIはコンピューターを起動するときに、PKを検証し、MicrosoftのKEKを検証してから、ブートローダーを検証します。すべてが正常に見える場合、OSは起動できます。

Windows 8のセキュアブート:ネイティブUEFI>検証済みOSローダーのみ> OSスタート/ UEFIは検証済みOSローダーのみを起動する/マルウェアはブートローダーを切り替えられない
Windows 8の構築からの画像:UEFIでプレOS環境を保護する

 

LinuxのようなサードパーティのOSはどこに来るのですか?

まず、すべてのLinuxディストリビューションはKEKを生成し、OEMにデフォルトでKEKデータベースに含めるように選択することができます。こうすることで、Microsoftと同じように、ブートプロセスを細かく制御できます。これに関する問題は、FedoraのMatthew Garrettによって説明されているように、a)すべてのPCメーカーにFedoraのキーを含めることは困難であり、b)他のLinuxディストリビューションにはキーが含まれないため不公平になることです。 、小規模なディストリビューションにはOEMパートナーシップがあまりありません。

Fedoraが行うことを選択した(および他のディストリビューションも同様です)Microsoftの署名サービスを使用することです。このシナリオでは、Verisign(Microsoftが使用する認証局)に99ドルを支払う必要があり、開発者はMicrosoftのKEKを使用してブートローダーに署名することができます。MicrosoftのKEKはほとんどのコンピューターに既に搭載されているため、独自のKEKを必要とすることなく、ブートローダーに署名してセキュアブートを使用させることができます。最終的には、より多くのコンピューターとの互換性が向上し、独自のキー署名および配布システムのセットアップを扱うよりも全体的なコストが低くなります。これがどのように機能するかについては、前述のブログ投稿に(GRUB、署名付きカーネルモジュール、およびその他の技術情報を使用して)いくつかの詳細があります。

マイクロソフトのシステムにサインアップする手間を処理したくない、または99ドルを支払いたくない、またはMで始まる大企業をただgrみたくないと仮定します。まだセキュアブートを使用する別のオプションがありますWindows以外のOSを実行します。マイクロソフトのハードウェア認定で 、OEMがユーザーにシステムをUEFI「カスタム」モードに移行させ、セキュアブートデータベースとPKを手動で変更できるようにする必要があります。システムをUEFIセットアップモードにすることができます。このモードでは、ユーザーは独自のPKを指定し、ブートローダー自体に署名することもできます。

さらに、Microsoft独自の認証要件により、OEMは非ARMシステムでセキュアブートを無効にする方法を含めることが必須になりました。セキュアブートをオフにすることができます!セキュアブートを無効にできないシステムは、Windows RTを実行しているARMシステムのみです。これは、カスタムOSをロードできないiPadと同様に機能します。ARMデバイスのOSを変更できるようにしたいのですが、Microsoftはここでタブレットに関する業界標準に従っていると言っても過言ではありません。

 

セキュアブートは本質的に悪ではありませんか?

ご覧のとおり、セキュアブートは悪ではなく、Windowsでの使用のみに制限されていません。FSFや他の人がこの点について非常に怒っているのは、サードパーティのオペレーティングシステムを使用するための余分な手順を追加するためです。Linuxディストリビューションは、Microsoftのキーの使用にお金を払うことを好まないかもしれませんが、Linuxでセキュアブートを機能させる最も簡単で費用対効果の高い方法です。幸いなことに、セキュアブートをオフにするのは簡単であり、異なるキーを追加することができるため、Microsoftに対処する必要がありません。

ますます高度なマルウェアの量を考えると、セキュアブートは合理的なアイデアのように思えます。これは、世界を引き継ぐ悪の策略を意図したものではなく、フリーソフトウェア評論家があなたに信じさせるよりもはるかに怖くない。

邪悪なUEFIロゴ

追加の読み物:


TL; DR:セキュアブートは、ブート中にマルウェアがシステムに低い検出不能レベルで感染するのを防ぎます。誰もがそれを動作させるために必要なキーを作成することができますが、それは配布するコンピュータメーカーを説得するのは難しいあなたのあなたが代わりにあなたのブートローダに署名し、それらの作業をするために、Microsoftのキーを使用するためにベリサインを支払うことを選択することができますので、誰にでも鍵を。あなたは上のセキュアブートを無効にすることもできます任意の非ARMコンピュータ。

セキュアブートに対するFSFのキャンペーンに関して最後に考えたのは、彼らの懸念の一部(つまり、無料のオペレーティングシステムのインストールが難しくなる)がある程度有効であるということです。ただし、上記の理由により、制限が「​​Windows以外の起動を禁止する」と言うのは明らかに誤りです。テクノロジーとしてのUEFI /セキュアブートに対するキャンペーンは近視眼的で、情報が誤っており、とにかく効果的ではありません。メーカーが、ユーザーがセキュアブートを無効にしたり、必要に応じてキーを変更したりするためのマイクロソフトの要件を実際に遵守することを確認することがより重要です。


4
>> "まず第一に、セキュアブートはMicrosoftが思いついたものではありません。...それはUEFI仕様の一部であり、基本的にはおそらく慣れている古いBIOSの新しい置き換えです。... UEFI基準は、マイクロソフト、アップルなどの業界代表の計算で構成されている「UEFIフォーラム」と呼ばれるグループによって作成された... "あなたは何を意味するかそうである:セキュアブートは、マイクロソフトが思いついたことを何かではない自分自身ですべて
mcalex

@mcalexそれは公正な評価だと思います。
ヒンクル

2
これは、素晴らしくよくやっ説明。セキュアブートは知っていると思いましたが、この答えから多くを学びました。賛成です。
ハルシャK

4
1 < イヴォスタイル >おそらく、あなたがすべきブログ記事書くこの@nhinkleについては; - )</ イヴォ・スタイル >
タマラWijsman

2
ここで心配しているのはマイクロソフトではなく、製造業者です。確かに、ARMデバイスは、まだ玩具として見られるかもしれない、今ではなく、様々なARMプラットフォームは、過去数年の間にひどい長い道のりを歩んでいる、と人々はちょうどYouTubeの動画を見ているよりも多くのためにそれらを使用するとき、私は簡単に一日を想像することができます... OSを更新または交換する機能を放棄することは、近視眼的に見えるようになりました。とはいえ、これを書いてくれてありがとう-セキュアブートについて何が問題で、何が問題ではないかを明確にするのに役立ちます。
Shog9
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.