1.UEFI-(Unified Extensible Firmware Interface ) Secure Boot является интерфейсом, который отвечает за предзагрузочное окружение операционной системы.Если точнее то UEFI это интерфейс между операционной системой и микропрограммами,управляющими низкоуровневыми функциями оборудования.Его конкретное предназначение корректно инициализировать оборудование при включении системы и передать управление загрузчику ОС.
2)secure boot это версия протокола загрузки,а не функция Windows8
3)UEFI secure boot является частью обеспечения загрузки Windows8
4)Windows 8 использует secure boot,чтоб убедиться в безопасности загрузочной среды для ОС.
5)Oem-производители имеют право сами настраивать свои прошивки с микрокодом,настраивать уровни сертификатов и управлять политикой на своих платформах.
Если кратко, то UEFI Secure Boot позволяет зашивать в железо ключи для проверки сигнатур загрузочного кода, и отказываться на аппаратном уровне от выполнения тех загрузчиков, которые не проходят проверку подписи.
Как это работает?
Питание на КОМПЬЮТЕРЕ включает процесс исполнения кода, который настраивает процессор, память и периферийные устройства в рамках подготовки к загрузки операционной системы на выполнение. Этот процесс является единым для всех платформ, независимо от лежащих в основе (x86, ARM и т.д.).
Вскоре после включения питания и перед передачей в загрузку операционной системы специальная зашитая в ПЗУ прошивка будет проверять цифровую подпись микрокодов который существует на периферийных устройствах таких как сетевые карты,жесткие диски,видеокарта.Прошивка будет сравнивать цифровые подписи с базой данных зашитых в ПЗУ ,списки разделены на две категории «Можно» и «Запрещено»
Кто же кем управляет? Можно ли будет отключить Secure Boot ?
В Microsoft ответили так.
«Покупатель ПК в состоянии полностью контролировать свое железо ,для тех кто хочет загружать другие ОС отличные от Windows8 функцию «Secure boot» можно будет отключить,но в этом случае Windows8 загружаться не будет.
НО Метью Гарет из компании RedHat пообщавшись с производителями железа и раскрыл кое какие дели этого общения.
1)Win-8 сертификация требует от от производителей поставлять оборудование со включенной Secure Boot.
2)Win-8 сертификация не требует от производителя предусматривать возможность отключения Secure Boot.
3)Win-8 сертификация не требует наличия в системе ключей, отличных от ключей MS.
и MS будет поощрять поставщиков, если они будут соблюдать требования Win-8 Secure Boot по-минимуму (то есть, ключи только от MS без возможности отключить).
Мэтью утверждает, что системы с такой минимальной Secure Boot конфигурацией будут производится. Так что, следите за тем, что покупаете. При этом, проверять надо наличие jumper’а или специальной кнопочки, или какой секретной последовательности нажатия на кнопки, потому что (опять же из обсуждения на MSDN) Win-8 сертификация запрещает отключение Secure Boot программно.
Почему это плохо?
Потому что это ограничит тебя в выборе ПО, ты не сможешь установить любимую ubuntu или другое свободное ПО без UEFI сертификата ,если коненчо они не найдут выход..
А выход предлагатеся пока такой:
Fedora и Ubuntu продемонстрировали два разных способа решения проблема.
Подход Fedora заключается в том, что ключом Microsoft подписывается промежуточный загрузчик, который сразу передаёт управление загрузчику GRUB 2, программе под лицензией GPLv3.
План Ubuntu предусматривает разные методы распространения дистрибутива и отказ от использования загрузчика GRUB. Фонд свободного программного обеспечения настоятельно рекомендует компании Canonical передумать, пока не поздно, и вернуть совместимость с GPLv3.
Другое мнение:
Внедрение UEFI Secure Boot радикально меняет ситуацию. ПО жестко привязывается к оборудованию и появятся все основания говорить о едином аппаратно-программном комплексе. На практике это может привести к тому, что потребителю наконец удасться отстоять свое право на возврат денег в случае неисправности какого-либо элемента операционной системы. (с) Сергей Голубев
Чтобы зарегистрировать бинарник для запуска на UEFI-компьютере, нужно оформить сертификат Verisign стоимостью $99. Вот что сказал Линус Торвальдс: «Я определённо не большой фанат UEFI, но в то же время я понимаю, зачем пользователю может понадобиться загрузка с проверкой цифровых подписей и т.д. И если получить ключ для Fedora стоит всего 99 долларов, я не вижу тут какой-то большой проблемы».
Также Фонд свободного программного обеспечения (Free Software Foundation, FSF) опубликовал рекомендации, как поступать дистрибутивам свободных ОС в связи с внедрением механизма цифровых подписей Secure Boot и опубликовал на своем сайте публичное заявлением, открытое для подписания.
Текст заявления
Мы, нижеподписавшиеся, призываем всех производителей компьютеров реализовывать так называемую «Безопасную загрузку» UEFI таким образом, чтобы позволить устанавливать бесплатные операционные системы. Чтобы уважать свободу пользователей и по-настоящему защитить их безопасность, производители обязаны либо позволить владельцам компьютеров отключать ограничения загрузки, либо предоставить надёжный способ установки и запуска свободных операционных систем. Мы обязуемся никогда не покупать и не рекомендовать другим компьютеры, которые лишают пользователя этой критически важной свободы, и мы будем активно призывать людей в нашем сообществе всячески избегать подобных ограниченных систем.
