Очень много споров в последнее время возникаем о функции Secure Boot. Хотелось бы прояснить некоторые нюансы, касательно этого момента.
Secure Boot - это выдумка Microsoft
Это не совсем так. Данная функция является неотъемлемой частью стандарта UEFI (Unified Extensible Firmware Interface), который пришел на смену Intel EFI, который в свою очередь заменял архаичный BIOS IBM-PC.
UEFI - это определенный интерфейс материнских плат, который позволяет частям операционной системы взаимодействовать с оборудованием. Secure Boot - не что иное, как модуль сравнения криптографических ключей загружаемых компонентов, с базой ключей находящихся в материнской плате. Каждый современный производитель материнских плат ведет подобную базу доверенных компонентов для загрузки, но никто не мешает Вам добавлять собственные ключи в эту базу, прямо через UEFI.
- Единственное в чем можно обвинить Micosoft - так это в том, что ключи их операционной системы всегда находятся в базе производителей, поскольку их продукция всегда проходит проверку на безопасность, в обязательном порядке.
- Можно их так же обвинить в том, что компьютеры с наклейкой "Сертифицировано с Windows 10, 8 или 7" всегда поставляются с включенной опцией Secure Boot, однако даже в этом случае, ее можно отключить в ручную.
К тому же многие разработчики дистрибутивов Linux сотрудничают с Microsoft и ключи от их загружаемых модулей или "ядер" так же попадают в доверенные базы производителей материнских плат.
Secure Boot навязана для контроля DRM
Еще одно заблуждение! Secure Boot не способна обеспечить DRM. Она лишь проверяет загружаемые компоненты во время старта ОС, дальше она ничего не делает.
Многие путают эту функцию с TPM ( Trusted Platform Module), т.н. чипом Фрица, который действительно встраивается во многие современные платформы. Он действительно может привязывать ключи ПО или приобретенной музыки к определенной аппаратной части и вы не сможете ими пользоваться на другой машине. Но для этого, его нужно включить и поставщик DRM продукции должен его поддерживать.
Secure Boot - бесполезен!
Тут все зависит от случая, возможно конкретно для Вас - эта функция полностью бесполезна!
Но, допустим у Вас две операционные системы на ПК - Windows и Linux, одна полностью зашифрована, вторая нет. Пуская Windows осталась без паролей и шифрования и теоретически, кто-то может этим воспользоваться. В файлы initramfs могут быть помещены модули, которые запустятся при загрузке Linux, зафиксируют ваши пароли и вот, уже обе ваши операционные системы оказались скомпрометированы.
Этого не произойдет если у Вас включена функция Secure Boot, поскольку она проверить все что запускается на старте и выявит файл, который не имеет ключа безопасности.
Возможно я что-то упустил, но надеюсь я внес немного ясности в этот вопрос! Secure Boot - точно не бесполезная функция, в любом случае, ее всегда можно отключить или перенастроить.
Не забываем ставить палец вверх и подписываться на канал. Впереди еще много интересного!
