Windows 8 pc将会启动得非常快,部分原因是下一代启动规范被称为统一可扩展固件接口(Unified Extensible Firmware Interface, UEFI)。4月8日发布的最新UEFI包括一个安全引导协议,这是Windows 8客户端所需要的。安全UEFI旨在通过在允许可执行文件或驱动程序加载到设备上之前要求密钥来阻止rootkit感染。
如果机器上安装了一个厂商密钥,让代码用该密钥签名的唯一方法就是让厂商执行签名。一台机器可能安装了几个密钥,但如果您无法让其中任何一个对您的二进制文件签名,那么它将无法安装. ...微软需要符合Windows 8标识程序并运行Windows 8客户端版本的机器必须启用安全启动。
更新09/26亦见:微软解释了UEFI安全引导,但没有回答一些大问题和Red Hat警告说,一些W8电脑不会关闭安全启动
微软对安全UEFI的要求得到了验证一个演示在微软首席项目经理Arie van der Hoeven主持的BUILD会议上。幻灯片11说:
- 引导的当前问题
- 不断增长的恶意软件以引导路径为目标
- 通常唯一的解决办法就是重新安装操作系统
- UEFI和secure boot加固引导过程
- 引导过程中的所有固件和软件都必须由可信的证书颁发机构(CA)签名。
- Windows 8客户端所需(强调我的)
- 不需要可信平台模块(TPM)
- 减少引导套件,rootkit和勒索软件的可能性
安全引导使用PKI方案,这样UEFI 2.3.1固件将只运行数字签名的EFI引导加载程序和设备驱动程序。一个最近在H注意到它可以“设计为接受软件密钥管理服务(KMS)、网络可访问密钥服务器或硬件安全模块(HSM)”。硬件模块很可能是一个可信平台模块(TPM 1.2),尽管van der Hoeven指出,TPM不是必需的。
Linux社区对安全UEFI已经警惕了几个月了,根据6月的一篇文章LWN.net:
“安全引导背后的基本思想是使用公钥加密方案(RSA以2048位密钥和SHA-1或SHA-256作为散列)对可执行文件进行签名。”“平台密钥”(PK)的公共部分可以存储在固件中作为根密钥使用。额外的“密钥交换密钥”(KEKs)也可以将其公开部分存储在固件中,称为“特征数据库”。该数据库包含公共密钥,可用于验证不同的组件,可能被UEFI使用(例如,驱动程序),引导加载程序,以及从外部来源(磁盘,USB设备,网络,等等)加载的操作系统。签名库还将包含“禁止的”签名,这些签名对应于先前有效密钥的撤销列表。签名库包含了UEFI组织确定的授权和禁止密钥的当前列表。”
Linux社区在6月表达的担忧是,专有操作系统供应商可能要求实现安全UEFI,而设备制造商不能或不能与设备的买家/用户共享私钥。否则,只有特征库中的实体才能验证硬件的驱动程序和操作系统。
Garrett说,微软有两种方法可以实现其所要求的安全UEFI。Windows可以用微软密钥进行签名,该密钥的公开部分可以包含在所有系统中。或者,每个OEM都可以有自己的私钥,因此可以签署自己的Windows预安装版本。
如果没有密钥,Linux将无法从机器上启动。Linux发行版制造商可能以某种方式提供Linux的签名版本,但这也是有问题的,因为这将需要一个未被GPL覆盖的引导加载程序。它也不能帮助那些想要运行自己定制的Linux版本的人。
企业用户应该向他们的硬件供应商(戴尔、IBM、惠普、东芝等)表达他们的担忧。让他们知道,仅仅因为技术的存在剥夺了你的选择,并不意味着他们应该使用它。