2011-10-31

Secure Boot 是什麼 ?

這個 Secure Boot 的運作方式和效果應該是比較像是 Trusted Boot,主要的用途和目的是要避免電腦的使用者因為使用不安全的開機軟體或作業系統來啟動而被不良的軟體給感染了,進而造成電腦被挾持或利用來攻擊別人而不自知哩 ! 台灣在 2011 年第二季榮登全球網路攻擊來源的第一名 (註:之後的這幾年,依然領先全球哩 ! ...- -!!),阿舍在猜,是不是就有不少人的電腦被入侵成為殭屍網路 (Botnet) 的一員而不自知哩 !

Credit Tricksme.in
Secure Boot 是一種 BIOS 的安全機制,但是,不算是什麼太新的技術,而且,據說,現在的電腦主機板其實是有內建的,只是,都沒有啟用而已,但是,最近為什麼會被炒熱起來呢 ? 因為,微軟的 Windows 8 可能會要求主機板的BIOS 要預設啟用 Secure Boot 的功能才能讓 Windows 8 開機,所以,硬體廠商就得要將 Windows 8 設定為信任的作業系統才行哩 !

Secure Boot 基本上是依賴一組憑證來識別啟動的作業系統是否為信任的,如果不是,就不能開機啟動,可是,在 BIOS 放入安全憑證的人不是使用者自己,而是電腦的製造商 (為了避免使用者放入錯的憑證,這種做法,阿舍覺得合理也算不合理哩 ! 因為,還是有很多方式可用的),因此,當阿舍買了一台 Windows 8 的筆電,然後,想要安裝 Ubuntu 的話,那就對不起了,所以,Ubuntu 和 Redhat 就挫著等了,像阿舍這種同時安裝二套作業系統來用 Linux 的人,不算少哩 !

為此,Canonical 和 redhat 聯合發佈了這一份「UEFI Secure Boot Impact on Linux」的白皮書,裡面有詳細的介紹 Secure Boot 的功能和用途及好處和缺點,並且,在最後對硬體廠商提出一些建議和喊話,主要的,就是希望硬體廠商能夠開放界面讓使用者可以容易的自行決定是否啟用 Secure Boot 及請硬體廠商提供標準的機制來讓其他的作業系統也能把自家的憑證放入 BIOS 裡,最後,還希望硬體廠商出貨時,不要用預裝而是設定模式,讓使用者可以自行選擇作業系統哩 ! 硬體廠商買不買單,就還無法得知哩 !

就阿舍來說,如果有二台筆電要選,一台可以停用 Secure Boot,一台不行,那阿舍一定是選可以停用的那一台囉 ! 不過,這也要看硬體廠商和微軟之間的關係是如何的,如果微軟用授權費來威脅硬體廠商,那麼,就要看看誰拿的市場比較大誰比較有力,或是,誰比較有勇氣吧 ! 但是,話說回來,Secure Boot 的機制對於和電腦有點熟又不太熟的使用者來說,多少都能達到一些防堵被駭的效果哩 ! 所以,阿舍比較傾向支持硬體廠多花些時間多放一些作業系統的憑證進去,這樣對大家都會比較好吧 !

延伸閱讀
Google 的 Android 肥了微軟 ?


[+] Ubuntu 指令新手會用到的35個技法 - 這是以阿舍的使用經驗編寫出來的電子書,三天內應該就看的完,學的起來哩 ! 有空就參考一下囉 ! ... ^^=

關於阿舍

好文不藏私,請多分享囉!! ^^=



2 則留言 :

Vinix 提到...

對Linux來說,最大的問題是,如果每位使用者都可以自行加入憑證,那Secure Boot就失去意義了。而且部分Linux的用戶會自己compile kernal,這樣會不會導致開機失敗也未可知。

Arthur Yu 提到...

Hello,

阿舍目前已改使用 Macbook,目前會用到 Ubuntu 的時候,多是在伺服器或虛擬機器上使用,所以,對 Secure Boot 後續的發展就沒再研究了哩 ....

張貼留言

如果留言後,發現留言不見了,這通常是因為 Goolge 把它認為是垃圾留言了,請用信件通知阿舍調整 ( ayubiz@gmail.com )。謝謝 !