Sistem UEFI Secure Boot yang baru di Windows 8 telah menyebabkan lebih dari cukup banyak kebingungan, terutama di antara dual-boot. Baca terus ketika kami menjernihkan kesalahpahaman tentang dual boot dengan Windows 8 dan Linux.
Sesi Tanya & Jawab hari ini hadir untuk memberi kami hak milik SuperUser-sub divisi Stack Exchange, pengelompokan situs web Q & A berbasis komunitas.
Pembaca SuperUser Harsha K ingin tahu tentang sistem UEFI baru. Dia menulis:
Saya telah mendengar banyak tentang bagaimana Microsoft mengimplementasikan UEFI Secure Boot di Windows 8. Tampaknya ini mencegah bootloader "tidak sah" berjalan di komputer, untuk mencegah malware. Ada kampanye oleh Yayasan Perangkat Lunak Bebas terhadap boot aman, dan banyak orang mengatakan online bahwa itu adalah "perebutan kekuasaan" oleh Microsoft untuk "menghilangkan sistem operasi gratis".
Jika saya mendapatkan komputer yang telah dipasangi Windows 8 dan Secure Boot, apakah saya masih bisa menginstal Linux (atau OS lain) nanti? Atau apakah komputer dengan Boot Aman hanya pernah bekerja dengan Windows?
jadi, apa kesepakatannya? Apakah dual booter benar-benar kurang beruntung?
Kontributor SuperUser Nathan Hinkle menawarkan gambaran fantastis tentang apa UEFI dan bukan:
Pertama-tama, jawaban sederhana untuk pertanyaan Anda:
- Jika Anda memiliki tablet ARM menjalankan Windows RT (seperti Surface RT atau Asus Vivo RT), laluAnda tidak akan dapat menonaktifkan Secure Boot atau menginstal OS lain. Seperti banyak tablet ARM lainnya, perangkat ini akanhanya jalankan OS yang mereka gunakan.
- Jika Anda memiliki komputer non-ARM menjalankan Windows 8 (seperti Surface Pro atau dari segudang ultrabook, desktop, dan tablet dengan prosesor x86-64), laluAnda dapat menonaktifkan Secure Boot sepenuhnya, atau Anda dapat menginstal kunci Anda sendiri dan menandatangani bootloader Anda sendiri. Either way,Anda dapat menginstal OS pihak ketiga seperti distro Linux atau FreeBSD atau DOS atau apa pun yang menyenangkan Anda.
Sekarang, pada rincian tentang bagaimana hal Boot Aman keseluruhan ini benar-benar bekerja: Ada banyak informasi yang salah tentang Secure Boot, terutama dari Free Software Foundation dan grup serupa. Ini telah menyulitkan untuk menemukan info tentang apa sebenarnya sebenarnya Boot Aman, jadi saya akan mencoba sebaik mungkin untuk menjelaskan. Perhatikan bahwa saya tidak memiliki pengalaman pribadi dengan mengembangkan sistem boot aman atau semacam itu; ini hanya apa yang saya pelajari dari membaca online.
Pertama-tama,Boot Aman adalahtidak sesuatu yang dibuat Microsoft. Mereka yang pertama menerapkannya secara luas, tetapi mereka tidak menciptakannya. Ini adalah bagian dari spesifikasi UEFI, yang pada dasarnya merupakan pengganti baru untuk BIOS lama yang mungkin Anda gunakan. UEFI pada dasarnya adalah perangkat lunak yang berbicara antara OS dan perangkat keras. Standar UEFI dibuat oleh kelompok yang disebut "UEFI Forum", yang terdiri dari perwakilan industri komputasi termasuk Microsoft, Apple, Intel, AMD, dan beberapa produsen komputer.
Poin terpenting kedua,mengaktifkan Secure Boot pada komputertidak berarti komputer itu tidak pernah bisa boot sistem operasi lain. Bahkan, Persyaratan Sertifikasi Perangkat Keras Windows milik Microsoft menyatakan bahwa untuk sistem non-ARM, Anda harus dapat menonaktifkan Secure Boot dan mengubah kunci (untuk mengizinkan OS lain). Lebih lanjut tentang itu nanti.
Apa yang dilakukan dengan Secure Boot?
Pada dasarnya, ini mencegah malware menyerang komputer Anda melalui urutan boot. Malware yang masuk melalui bootloader bisa sangat sulit dideteksi dan dihentikan, karena dapat menyusup ke fungsi sistem operasi tingkat rendah, membuatnya tidak terlihat oleh perangkat lunak antivirus. Semua yang Aman Boot lakukan adalah memverifikasi bahwa bootloader dari sumber terpercaya, dan bahwa itu belum dirusak. Anggap saja seperti tutup pop-up pada botol yang mengatakan "jangan buka jika tutupnya muncul atau segel telah dirusak".
Pada tingkat perlindungan teratas, Anda memiliki kunci platform (PK). Hanya ada satu PK pada sistem apa pun, dan itu dipasang oleh OEM selama pembuatan. Kunci ini digunakan untuk melindungi basis data KEK. Database KEK menyimpan Key Exchange Keys, yang digunakan untuk memodifikasi database boot aman lainnya. Bisa ada beberapa KEK. Kemudian ada level ketiga: Basis Data Resmi (db) dan Forbidden Datbase (dbx). Ini berisi informasi tentang Otoritas Sertifikat, kunci kriptografi tambahan, dan gambar perangkat UEFI untuk memungkinkan atau memblokir, masing-masing. Agar bootloader diizinkan untuk dijalankan, itu harus ditandatangani secara kriptografi dengan kunci ituaku s di db, dantidak di dbx.
Gambar dari Membangun Windows 8: Melindungi lingkungan pra-OS dengan UEFI
Bagaimana ini bekerja pada sistem Windows 8 Certified dunia nyata
OEM menghasilkan PK-nya sendiri, dan Microsoft memberikan KEK bahwa OEM diperlukan untuk melakukan pra-muat ke basis data KEK. Microsoft kemudian menandatangani Windows 8 Bootloader, dan menggunakan KEK mereka untuk menempatkan tanda tangan ini di Basis Data Resmi. Ketika UEFI mem-boot komputer, ia memverifikasi PK, memverifikasi KEK Microsoft, dan kemudian memverifikasi bootloader. Jika semuanya terlihat bagus, maka OS bisa boot.
Gambar dari Membangun Windows 8: Melindungi lingkungan pra-OS dengan UEFIDi mana OS pihak ketiga, seperti Linux, masuk?
Pertama, setiap distro Linux dapat memilih untuk menghasilkan KEK dan meminta OEM untuk memasukkannya ke dalam basis data KEK secara default. Mereka akan memiliki sedikit kendali atas proses boot seperti yang dilakukan Microsoft.Masalah dengan ini, seperti yang dijelaskan oleh Fedora's Matthew Garrett, adalah bahwa a) akan sulit untuk membuat setiap produsen PC memasukkan kunci Fedora, dan b) itu tidak adil untuk distro Linux lainnya, karena kunci mereka tidak akan dimasukkan , karena distro yang lebih kecil tidak memiliki banyak kemitraan OEM.
Apa yang Fedora telah pilih untuk lakukan (dan distro lain yang mengikuti) adalah dengan menggunakan layanan penandatanganan Microsoft. Skenario ini mengharuskan membayar $ 99 ke Verisign (Otoritas Sertifikat yang digunakan Microsoft), dan memberi pengembang kemampuan untuk menandatangani bootloader mereka menggunakan Microsoft KEK. Karena Microsoft KEK sudah ada di sebagian besar komputer, ini memungkinkan mereka untuk menandatangani bootloader mereka untuk menggunakan Boot Aman, tanpa membutuhkan KEK mereka sendiri. Ini akhirnya menjadi lebih kompatibel dengan lebih banyak komputer, dan biaya kurang secara keseluruhan daripada berurusan dengan pengaturan penandatanganan kunci dan sistem distribusi mereka sendiri. Ada beberapa rincian lebih lanjut tentang bagaimana ini akan bekerja (menggunakan GRUB, menandatangani modul Kernel, dan info teknis lainnya) di posting blog yang disebutkan di atas, yang saya sarankan untuk membaca jika Anda tertarik pada hal semacam ini.
Misalkan Anda tidak ingin berurusan dengan kerumitan mendaftar untuk sistem Microsoft, atau tidak ingin membayar $ 99, atau hanya memiliki dendam terhadap perusahaan besar yang dimulai dengan M. Ada pilihan lain untuk tetap menggunakan Boot Aman dan menjalankan OS selain Windows. Sertifikasi perangkat keras Microsoftmembutuhkan bahwa OEM membiarkan pengguna memasuki sistem mereka ke mode "kustom" UEFI, di mana mereka dapat memodifikasi basis data Boot Aman dan PK secara manual. Sistem ini dapat dimasukkan ke Mode Pengaturan UEFI, di mana pengguna bahkan dapat menentukan PK mereka sendiri, dan menandatangani sendiri bootloader.
Lebih jauh lagi, persyaratan sertifikasi Microsoft sendiri mengharuskan OEM untuk memasukkan metode untuk menonaktifkan Secure Boot pada sistem non-ARM.Anda dapat mematikan Boot Aman! Satu-satunya sistem di mana Anda tidak dapat menonaktifkan Secure Boot adalah sistem ARM yang menjalankan Windows RT, yang berfungsi lebih mirip dengan iPad, di mana Anda tidak dapat memuat OS kustom. Meskipun saya berharap ada kemungkinan untuk mengubah OS pada perangkat ARM, adalah adil untuk mengatakan bahwa Microsoft mengikuti standar industri yang berkaitan dengan tablet di sini.
Jadi, boot yang aman tidak selalu jahat?
Jadi semoga Anda bisa melihat, Secure Boot tidak jahat, dan tidak dibatasi hanya untuk digunakan dengan Windows. Alasan FSF dan yang lain begitu kesal tentang hal itu adalah karena ia menambahkan langkah-langkah tambahan untuk menggunakan sistem operasi pihak ketiga. Distro Linux mungkin tidak suka membayar untuk menggunakan kunci Microsoft, tetapi ini adalah cara termudah dan paling hemat biaya untuk membuat Boot Aman bekerja untuk Linux. Untungnya, mudah untuk mematikan Secure Boot, dan mungkin untuk menambahkan kunci yang berbeda, sehingga menghindari kebutuhan untuk berurusan dengan Microsoft.
Mengingat jumlah malware yang semakin canggih, Secure Boot sepertinya merupakan ide yang masuk akal. Ini tidak dimaksudkan untuk menjadi rencana jahat untuk mengambil alih dunia, dan jauh lebih tidak menakutkan daripada beberapa pakar perangkat lunak bebas yang akan Anda percayai.
Bacaan tambahan:
- Persyaratan Sertifikasi Perangkat Keras Microsoft
- Membangun Windows 8: Melindungi lingkungan pra-OS dengan UEFI
- Presentasi Microsoft tentang penggunaan Secure Boot dan manajemen kunci
- Menerapkan UEFI Secure Boot di Fedora
- Ikhtisar Boot Aman TechNet
- Artikel Wikipedia tentang UEFI
TL; DR: Boot aman mencegah malware menginfeksi sistem Anda pada tingkat rendah dan tidak terdeteksi selama boot. Siapa pun dapat membuat kunci yang diperlukan untuk membuatnya berfungsi, tetapi sulit untuk meyakinkan pembuat komputer untuk mendistribusikananda kunci untuk semua orang, sehingga Anda dapat memilih untuk membayar Verisign menggunakan kunci Microsoft untuk menandatangani bootloader Anda dan membuatnya berfungsi.Anda juga dapat menonaktifkan Boot Amanapa saja komputer non-ARM.
Pemikiran terakhir, berkaitan dengan kampanye FSF terhadap boot Aman: Beberapa kekhawatiran mereka (yaitu membuatnyalebih keras untuk menginstal sistem operasi gratis) berlakuke suatu titik. Mengatakan bahwa pembatasan akan "mencegah siapa pun mem-boot apa pun kecuali Windows" terbukti salah, meskipun, untuk alasan yang digambarkan di atas. Berkampanye melawan UEFI / Secure Boot sebagai teknologi adalah rabun jauh, misinformed, dan tidak mungkin efektif lagian. Lebih penting untuk memastikan bahwa produsen benar-benar mengikuti persyaratan Microsoft untuk membiarkan pengguna menonaktifkan Secure Boot atau mengubah kunci jika mereka menginginkannya.
Memiliki sesuatu untuk ditambahkan ke penjelasan? Bicaralah di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi lainnya? Lihat diskusi lengkap di sini.
