Существует плагин MultipleSearch для энергии. Описание:
MultipleSearch позволяет Вам иметь результаты нескольких поисков, отображенных на экране одновременно. Каждый поиск выделяет свои результаты в различном цвете, и все поиски отображены сразу. После того, как максимальное количество цветов используется, сценарий запускается с первого цвета.
Этот процесс будет препятствовать тому, чтобы незасвидетельствованное программное обеспечение загрузилось. Это может обладать преимуществами, хотя я не вижу их.
У Вас есть новый механизм защиты для управления тем, что может и что не может загрузиться от аппаратных средств. Средство защиты. Вы не чувствуете необходимости в нем, пока не слишком поздно. Но я отступаю.
Я считал поток в списке рассылки Linux, где Красный сотрудник шляпы просит, чтобы Linus Torvalds вытянул changeset, который реализует средство, чтобы проанализировать двоичные файлы PE и взять сложный набор действий, чтобы позволить ядру загрузиться в режиме Secure Boot (насколько я могу понять).
Драйверы, как Ваше встроенное микропрограммное обеспечение GPU, должны быть подписаны в соответствии с Защищенной загрузкой, иначе это может быть еще один руткит. Статус-кво - то, что те драйверы подписываются в формате PE. Ядро может загрузиться без тех так или иначе, но аппаратные средства не будут работать. Парсинг формата PE в ядре является просто технически более простым выбором для этого, чем просьба, чтобы каждый поставщик оборудования подписал их блобы для каждого дистрибутива или установку платформа пространства пользователя, чтобы сделать это. Linus решает не высосать dick Microsoft. Это не технический аргумент.
Какую выгоду я получу с UEFI и Защищенной загрузкой как домашний пользователь?
Самой видимой функцией является быстрая загрузка UEFI. У меня есть руки на несколько рабочих столов логотипа Windows 8, и они загружаются настолько быстро, что я часто отсутствую для появления меню начальной загрузки. Intel и OEMs имеют некоторую разработку на этом.
Если Вы - тип пользователей Linux, которые ненавидят чрезмерно увеличенный в размерах и кодируют дублирование со страстью, можно также хотеть справиться с мультиначальной загрузкой на микропрограммном уровне и избавиться от загрузчиков в целом. UEFI предоставляет диспетчеру начальной загрузки, с которым можно загрузиться непосредственно в ядро или принять решение загрузить другую ОС с микропрограммным меню. Хотя, возможно, требуется некоторое лужение.
Кроме того, более необычная графика в течение времени начальной загрузки и в микропрограммном меню. Лучшая безопасность во время начальной загрузки (Защищенная загрузка). Другие функции (IPv4/6 netboot, 2 ТБ + устройства загрузки, и т.д.) главным образом предназначаются для корпоративных пользователей.
Так или иначе, как Linus сказал, BIOS/UEFI предполагается к "просто загрузке ОС, и получите ад из там", и UEFI, конечно, появляется так для домашних пользователей с быстрой загрузкой. Это, конечно, больше наполняет, чем BIOS под капотом, но если мы будем говорить о домашних пользователях, то они не будут заботиться об этом.
Как это подписывается сделанный?
Теоретически, двоичный файл шифруется с закрытым ключом для создания подписи. Затем подпись может быть проверена с открытым ключом, чтобы доказать, что двоичный файл подписывается владельцем закрытого ключа, затем проверенный двоичный файл. Посмотрите больше на Википедию.
Технически, только хеш двоичного файла подписывается, и подпись встраивается в двоичный файл с форматом PE и дополнительным вертящим форматом.
Процедурно, открытый ключ хранится в Вашем встроенном микропрограммном обеспечении Вашей OEM, и это от Microsoft. У Вас есть два варианта:
Кто может получить подписи/сертификаты? Это заплачено? Это может быть общедоступно? (Это должно быть доступно в исходном коде Linux, не так ли?)
Поскольку подписи/сертификаты встраиваются в двоичные файлы, все пользователи, как ожидают, получат их. Любой может настроить их собственный CA и генерировать сертификат для себя. Но если Вы хотите, чтобы Microsoft генерировала сертификат для Вас, необходимо пройти Verisign для проверки идентификационных данных. Производственные издержки 99$. Открытый ключ находится во встроенном микропрограммном обеспечении. Закрытый ключ находится в сейфе Microsoft. Сертификат находится в двоичном файле со знаком. Никакой исходный код не включен.
Действительно ли Microsoft является единственными полномочиями для обеспечения подписей? Разве независимая основа не должна там быть для обеспечения их?
Техническая сторона довольно тривиальна, по сравнению с процессом руководящего PKI, проверяя идентификационные данные, координируя с каждой известной OEM и поставщиком оборудования. Это стоит дорогого. Microsoft, оказывается, имеет инфраструктуру (WHQL) и испытывает для этого в течение многих лет. Таким образом, они предлагают подписывать двоичные файлы. Любой, которого независимая основа может повысить для предложения того же самого, но ни один не сделал это до сих пор.
От сессии UEFI в 2013 IDF я вижу Канонический, также начал помещать их собственный ключ к некоторому встроенному микропрограммному обеспечению планшета. Таким образом Канонический может подписать их собственные двоичные файлы, не проходя Microsoft. Но они вряд ли подпишут двоичные файлы для Вас, потому что они не знают, кто Вы.
Как это повлияет на и свободные ядра с открытым исходным кодом, разработчиков ядра человека, увлеченного своим хобби, / академических разработчиков ядра и т.д.
Ваше сделанное на заказ ядро не загрузится под Защищенной загрузкой, потому что это не подписывается. Можно выключить его все же.
Доверительная модель Защищенной загрузки блокирует вниз некоторые аспекты ядра. Как Вы не может уничтожить Ваше ядро путем записи в/dev/kmem, даже если Вы - корень теперь. Вы не можете быть в спящем режиме к диску (работал в восходящем направлении), потому что нет никакого способа гарантировать, что изображение ядра не изменяется на bootkit при возобновлении. Вы не можете вывести ядро, когда Ваше ядро паникует, потому что механизм kdump (kexec) может использоваться для начальной загрузки bootkit (также работал в восходящем направлении). Они спорны и не принятые Linus в ядро магистрали, но некоторыми дистрибутивами (Fedora, RHEL, Ubuntu, openSUSE, SUSE) поставка с их собственными патчами Защищенной загрузки так или иначе.
Лично подписание модуля, требуемое для создания ядра Защищенной загрузки, стоит 10 минут, в то время как фактическая компиляция только занимает 5 минут. Если я выключаю подписание модуля и включаю кэш, ядро, создающее только, занимает одну минуту.
UEFI является совершенно другим путем начальной загрузки от BIOS. Весь загрузочный код BIOS не назовет встроенное микропрограммное обеспечение UEFI.
Испанская группа пользователя Linux под названием Hispalinux зарегистрировала жалобу на Microsoft на этом предмете к Европанорамированию Comission.
Как сказано выше, никто кроме Microsoft не повысился, чтобы сделать услуги общего пользования. В настоящее время нет никакого доказательства намерения Microsoft выполнения никакого зла с этим, но нет также ничего, чтобы препятствовать тому, чтобы Microsoft злоупотребила своей фактической монополией и пошла на прохождение питания. Таким образом, в то время как FSF и группы пользователя Linux не могли бы выглядеть довольно прагматически настроенными и иметь не, на самом деле садятся для решения проблем конструктивно, это - довольно необходимые люди, оказывает давление на Microsoft и предупреждают его о последствиях.
Я должен быть заинтересован? Я отклоняю для использования ни собственного программного обеспечения, ни программного обеспечения, подписанного доверяемыми компаниями. Я сделал поэтому до настоящего времени, и я хочу продолжить так.
Причины охватить Защищенную загрузку:
Я просто прошел это с недавней покупкой ноутбука, которая шла с Windows 8 и UEFI безопасная начальная загрузка. После большого количества времени и исследования, вот то, на что я могу ответить:
Преимущества UEFI, который заметит средний пользователь, - то, что первой вещью, которую они видят на их экране, будет Microsoft/Поставщик выпущенный под брендом дисплей загрузчика UEFI. Ни одна из тех страшных вещей как "Не нажимает Del for Setup, F11 для выбора устройства загрузки", и т.д.
Это затем перейдет приятно в ядро/загрузчик Microsoft, ожидают экран. Это представляет 'питание предложить' Microsoft тематический опыт. Если это - фактическое преимущество, находится в глазу наблюдателя, которого я предполагаю. Я был довольно отмечен, что у меня не было нормальной информации, которую я ожидаю видеть на начальной загрузке. Например, удача, если Ваш поставщик не использует стандартный ключ для ввода основной установки UEFI/Bios.
О, да, и теория то, что это остановит загрузочные вирусы или по крайней мере заставит создателей создать/украсть someones идентификатор и выплатить 99$ Verisign (маршрут Fedora Redhat. Google это.)
Для некоторой информации о том, как фактическое подписание сделано, проверьте это: http://al.robotfuzz.com/playing-with-uefi-secure-boot-part-2-basic-authenticode-signing-with-ms-tools/
Кто? Только Microsoft?
А-ч, и существует протирание. Любой может подписать код с любым ключом. Проблема состоит в том, что машина только выполнит код, который подписывается доверяемым ключом полномочий. Общедоступная половина ключа установлена в системах ядро UEFI на фабрике и используется для проверки подписи программ UEFI (загрузочный код), подписанный с закрытым ключом.
Угадайте, кто открытый ключ, установлен на фабрике? Угадайте, кто требует, чтобы Защищенная загрузка была включена по умолчанию?
Каждый производитель системы, очевидно, поместит ключ Microsoft там. Они могли также вставить Canonical (Ubuntu) ключ, ключ Red Hat, ключ Apple, и т.д. Больше ключей, хотя средства больше точек для нарушений, и существует, очевидно, физический предел тому, сколько они могли сохранить.
И каково решение для мятежного пользователя компьютера как себя?
Надеюсь, что Ваш поставщик системы позволяет Вам получать доступ к конфигурации начальной загрузки системы
Надежда они позволяют Вам выключать безопасную начальную загрузку. Загрузочный код Windows будет все еще работать без безопасной начальной загрузки.
Если Вы будете действительно удачливы, то поставщик системы позволит Вам помещать свои собственные ключи центра сертификации, и можно подписать собственный материал. Это только действительно необходимо, если Вы хотите играть вокруг с Защищенной загрузкой.
Мой Ноутбук MSI позволяет мне делать все вышеупомянутое.
Я хотел бы видеть мир, где любой может взять бесплатный экземпляр Дистрибутива Linux и заменить их ОС. Это - то, что мы имели перед Защищенной загрузкой. У нас также было много загрузочных вирусов. Необходимость отключить безопасную начальную загрузку в Вашей конфигурации системы является, вероятно, достаточно маленьким препятствием, чтобы проверить, что у Вас есть интеллектуальная мощь установить ОС или знать кого-то, кто делает.
Наличие способности выключить его является плохой вещью, и это до Производителя. Не обвиняйте Microsoft, если они не 'убеждают' производителя предотвращать отключение безопасная начальная загрузка.