Page d'accueil » comment » Si j'achète un ordinateur avec Windows 8 et un démarrage sécurisé, puis-je toujours installer Linux?

    Si j'achète un ordinateur avec Windows 8 et un démarrage sécurisé, puis-je toujours installer Linux?

    Le nouveau système UEFI Secure Boot de Windows 8 a créé plus que de la confusion, en particulier parmi les systèmes à double démarrage. Continuez votre lecture pour dissiper les idées fausses concernant le double démarrage avec Windows 8 et Linux.

    La séance de questions et réponses d'aujourd'hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses dirigé par la communauté..

    La question

    Le lecteur de SuperUser, Harsha K, s’interroge sur le nouveau système UEFI. Il écrit:

    J'ai beaucoup entendu parler de la manière dont Microsoft implémente UEFI Secure Boot dans Windows 8. Apparemment, cela empêche les chargeurs d'amorçage «non autorisés» de s'exécuter sur l'ordinateur, afin d'empêcher les logiciels malveillants. Il existe une campagne de la Free Software Foundation contre le démarrage sécurisé, et beaucoup de gens ont dit en ligne que Microsoft avait pour objectif de «supprimer les systèmes d'exploitation libres»..

    Si je dispose d'un ordinateur sur lequel Windows 8 et Secure Boot sont préinstallés, pourrai-je toujours installer Linux (ou un autre système d'exploitation) ultérieurement? Ou bien un ordinateur avec Secure Boot ne fonctionne-t-il jamais avec Windows??

    Alors, quel est l'affaire? Les doubles booters sont-ils vraiment hors de chance??

    La réponse

    Nathan Hinkle, contributeur au SuperUser, offre un aperçu fantastique de ce que l’UEFI est et n’est pas:

    Tout d’abord, la réponse simple à votre question:

    • Si vous avez une tablette ARM sous Windows RT (comme le Surface RT ou l’Asus Vivo RT), puis vous ne pourrez pas désactiver le démarrage sécurisé ni installer d'autres systèmes d'exploitation. Comme beaucoup d’autres tablettes ARM, ces appareils seulement exécuter le système d'exploitation avec lequel ils viennent.
    • Si vous avez un ordinateur non-ARM sous Windows 8 (comme le Surface Pro ou l'un des innombrables ultrabooks, ordinateurs de bureau et tablettes équipés d'un processeur x86-64), vous pouvez désactiver complètement le démarrage sécurisé, ou vous pouvez installer vos propres clés et signer votre propre chargeur de démarrage. D'une manière ou d'une autre, vous pouvez installer un système d'exploitation tiers comme une distribution Linux ou FreeBSD ou DOS ou tout ce qui vous plait.

    Passons maintenant aux détails de la façon dont fonctionne tout ce qui concerne le démarrage sécurisé: Il existe de nombreuses informations erronées sur le démarrage sécurisé, en particulier de la part de la Free Software Foundation et de groupes similaires. Il est donc difficile de trouver des informations sur ce que fait Secure Boot. Je vais donc faire de mon mieux pour vous expliquer. Notez que je n'ai aucune expérience personnelle du développement de systèmes d'initialisation sécurisée ou quoi que ce soit du genre; c'est juste ce que j'ai appris en lisant en ligne.

    Tout d'abord, Le démarrage sécurisé est ne pas quelque chose que Microsoft est venu avec. Ils sont les premiers à l’appliquer à grande échelle, mais ils ne l’ont pas inventé. Cela fait partie de la spécification UEFI, qui est fondamentalement un remplacement plus récent de l'ancien BIOS auquel vous êtes probablement habitué. UEFI est essentiellement le logiciel qui dialogue entre le système d'exploitation et le matériel. Les normes UEFI sont créées par un groupe appelé «UEFI Forum», composé de représentants de l'industrie informatique, notamment Microsoft, Apple, Intel, AMD et de nombreux fabricants d'ordinateurs..

    Deuxième point le plus important, l'activation de Secure Boot sur un ordinateur ne pas signifie que l'ordinateur ne peut jamais démarrer un autre système d'exploitation. En fait, les propres exigences de certification matérielle Windows de Microsoft stipulent que, pour les systèmes non-ARM, vous devez pouvoir désactiver le démarrage sécurisé et modifier les clés (pour autoriser les autres systèmes d'exploitation). Plus sur cela plus tard si.

    Que fait Secure Boot??

    Essentiellement, il empêche les logiciels malveillants d’attaquer votre ordinateur par le biais de la séquence de démarrage. Les logiciels malveillants qui pénètrent dans le chargeur de démarrage peuvent être très difficiles à détecter et à arrêter, car ils peuvent infiltrer les fonctions de bas niveau du système d’exploitation, en le maintenant invisible pour les logiciels antivirus. Tout ce que fait réellement Secure Boot, c’est qu’il vérifie que le chargeur de démarrage provient d’une source approuvée et qu’il n’a pas été falsifié. Pensez-y comme aux bouchons sur les bouteilles qui disent "ne pas ouvrir si le couvercle est relevé ou si le sceau a été falsifié".

    Au plus haut niveau de protection, vous avez la clé de plate-forme (PK). Il n’existe qu’une seule PK sur un système et elle est installée par le fabricant lors de la fabrication. Cette clé est utilisée pour protéger la base de données KEK. La base de données KEK contient les clés d’échange de clés, qui sont utilisées pour modifier les autres bases de données d’amorçage sécurisé. Il peut y avoir plusieurs KEK. Il existe alors un troisième niveau: la base de données autorisée (db) et la base de données interdite (dbx). Ils contiennent des informations sur les autorités de certification, des clés cryptographiques supplémentaires et des images de périphériques UEFI à autoriser ou à bloquer, respectivement. Pour qu'un chargeur de démarrage puisse s'exécuter, il doit être signé de manière cryptographique avec une clé est dans le db, et n'est pas dans le dbx.

    Image de Windows 8: Protection de l'environnement pré-OS avec UEFI

    Comment cela fonctionne-t-il sur un système réel certifié Windows 8?

    Le fabricant OEM génère son propre PC et Microsoft fournit une clé KEK que le fabricant OEM doit précharger dans la base de données KEK. Microsoft signe ensuite le chargeur de démarrage Windows 8 et utilise leur KEK pour placer cette signature dans la base de données autorisée. Lorsque UEFI démarre l'ordinateur, il vérifie le PC, le KEK de Microsoft, puis le chargeur de démarrage. Si tout semble bon, le système d'exploitation peut démarrer.


    Image de Windows 8: Protection de l'environnement pré-OS avec UEFI

    D'où viennent les systèmes d'exploitation tiers, comme Linux,?

    Tout d'abord, toute distribution Linux pourrait choisir de générer une KEK et demander aux OEM de l'inclure par défaut dans la base de données KEK. Ils auraient alors autant de contrôle sur le processus de démarrage que Microsoft. Comme l'explique Matthew Garrett de Fedora, le problème est que, a) il serait difficile de faire inclure la clé de Fedora à chaque fabricant de PC, et b) que ce serait injuste pour les autres distributions Linux, car leur clé ne serait pas incluse. , car les petites distributions n’ont pas autant de partenariats OEM.

    Ce que Fedora a choisi de faire (et d’autres distributions suivent son exemple), c’est utiliser les services de signature de Microsoft. Ce scénario nécessite de payer 99 $ à Verisign (l'autorité de certification utilisée par Microsoft) et donne aux développeurs la possibilité de signer leur chargeur de démarrage à l'aide du KEK de Microsoft. Comme la clé KEK de Microsoft sera déjà installée sur la plupart des ordinateurs, cela leur permet de signer le programme d’amorçage pour qu’il utilise Secure Boot, sans avoir à utiliser leur propre clé KEK. En fin de compte, il est plus compatible avec un plus grand nombre d’ordinateurs et coûte globalement moins cher que de mettre en place son propre système de signature et de distribution de clés. Il y a quelques détails supplémentaires sur la façon dont cela fonctionnera (en utilisant GRUB, les modules de noyau signés et d'autres informations techniques) dans l'article de blog susmentionné, que je vous recommande de lire si vous êtes intéressé par ce genre de chose..

    Supposons que vous ne vouliez pas vous soucier de l'inscription au système de Microsoft, ou que vous ne vouliez pas payer 99 €, ou que vous ayez simplement une rancune envers les grandes entreprises commençant par un M. et exécutez un système d'exploitation autre que Windows. Certification matérielle de Microsoft a besoin les OEM permettent aux utilisateurs d’entrer dans leur système en mode «personnalisé» UEFI, où ils peuvent modifier manuellement les bases de données Secure Boot et la PK. Le système peut être mis en mode de configuration UEFI, où l'utilisateur peut même spécifier son propre PK et signer les chargeurs de démarrage eux-mêmes..

    De plus, les propres exigences de certification de Microsoft obligent les constructeurs OEM à inclure une méthode de désactivation de Secure Boot sur les systèmes non-ARM.. Vous pouvez désactiver le démarrage sécurisé! Les seuls systèmes pour lesquels vous ne pouvez pas désactiver Secure Boot sont les systèmes ARM exécutant Windows RT, qui fonctionnent de manière plus similaire à celle de l'iPad, où vous ne pouvez pas charger de systèmes d'exploitation personnalisés. Bien que je souhaite qu’il soit possible de changer le système d’exploitation sur des dispositifs ARM, il est juste de dire que Microsoft respecte la norme de l’industrie en ce qui concerne les tablettes..

    Donc, démarrage sécurisé n'est pas intrinsèquement mauvais?

    Donc, comme vous pouvez l'espérer, le démarrage sécurisé n'est pas un mal, et son utilisation ne se limite pas à Windows. La FSF et les autres sont si mécontents que cela, car elle ajoute des étapes supplémentaires à l’utilisation d’un système d’exploitation tiers. Les distributions Linux peuvent ne pas aimer payer pour utiliser la clé de Microsoft, mais il s’agit du moyen le plus simple et le plus rentable de faire fonctionner Secure Boot pour Linux. Heureusement, il est facile de désactiver le démarrage sécurisé et d'ajouter différentes clés, ce qui vous évite d'avoir à traiter avec Microsoft..

    Compte tenu de la quantité de logiciels malveillants de plus en plus avancés, Secure Boot semble être une idée raisonnable. Ce n'est pas censé être un complot diabolique pour conquérir le monde, et est beaucoup moins effrayant que certains experts en logiciels libres voudront bien vous faire croire..

    Lecture complémentaire:

    • Exigences de certification du matériel Microsoft
    • Construction de Windows 8: Protection de l'environnement pré-OS avec UEFI
    • Présentation de Microsoft sur le déploiement de Secure Boot et la gestion des clés
    • Implémentation de UEFI Secure Boot dans Fedora
    • Présentation de TechNet Secure Boot
    • Article de Wikipedia sur l'UEFI

    TL; DR: Le démarrage sécurisé empêche les logiciels malveillants d’infecter votre système à un niveau bas et indétectable au cours du démarrage. Tout le monde peut créer les clés nécessaires à son bon fonctionnement, mais il est difficile de convaincre les fabricants d’ordinateurs de distribuer votre clé pour chacun, afin que vous puissiez alternativement choisir de payer Verisign pour utiliser la clé de Microsoft pour signer vos chargeurs de démarrage et les faire fonctionner. Vous pouvez également désactiver le démarrage sécurisé sur tout ordinateur non-ARM.

    Dernière pensée, en ce qui concerne la campagne de la FSF contre le démarrage sécurisé: certaines de leurs préoccupations (c'est-à-dire Plus fort installer des systèmes d'exploitation libres) sont valables vers un point. Dire que les restrictions «empêcheront quiconque de démarrer autre que Windows» est manifestement faux, pour les raisons illustrées ci-dessus. La campagne contre UEFI / Secure Boot est une technologie à courte vue, mal informée et peu susceptible d'être efficace de toute façon. Il est plus important de veiller à ce que les fabricants respectent les exigences de Microsoft afin de permettre aux utilisateurs de désactiver le démarrage sécurisé ou de modifier les clés s'ils le souhaitent..


    Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.