Windows 8とセキュアブートを搭載したコンピュータを購入した場合でもLinuxをインストールできますか?
Windows 8の新しいUEFIセキュアブートシステムは、特にデュアルブートの間で、かなりの混乱を招いています。 Windows 8とLinuxでのデュアルブートについての誤解を解消するために読んでください。.
本日の質疑応答セッションは、コミュニティ主導のQ&A Webサイトのグループである、Stack Exchangeの下位区分であるSuperUserの好意により提供されます。.
質問
SuperUser読者のHarsha Kは、新しいUEFIシステムに興味を持っています。彼は書く:
マイクロソフトがWindows 8にUEFIセキュアブートをどのように実装しているかについて多くのことを耳にしました。どうやらそれはマルウェアを防ぐために、コンピュータ上での "不正な"ブートローダの実行を防ぎます。 Free Software Foundationによるセキュアブートに対するキャンペーンがあり、多くの人がオンラインで「無料のオペレーティングシステムを排除する」ことがマイクロソフトによる「パワーグラブ」だと言っています。.
Windows 8とSecure Bootがプリインストールされているコンピュータを入手した場合でも、後でLinux(または他のOS)をインストールすることはできますか?またはセキュアブートを搭載したコンピュータは、Windowsでしか動作しません。?
それで、契約は何ですか?デュアルブータは本当に運が悪いですか?
答え
SuperUserの寄稿者であるNathan Hinkleが、UEFIの概要とそうでないものについての素晴らしい概要を説明しています。
まず第一に、あなたの質問に対する簡単な答えです。
- ARMタブレットをお持ちの場合 Windows RT(Surface RTやAsus Vivo RTなど)を実行してから、 セキュアブートを無効にしたり、他のOSをインストールしたりすることはできません。. 他の多くのARMタブレットと同様に、これらのデバイスは のみ 付属のOSを実行する.
- ARM以外のコンピュータをお持ちの場合 Windows 8(Surface Proや、x86-64プロセッサ搭載の無数のウルトラブック、デスクトップ、タブレットなど)を実行してから、 セキュアブートを完全に無効にすることができます, または、自分の鍵をインストールして自分のブートローダーに署名することもできます。どちらにしても, あなたはLinuxディストリビューションのようなサードパーティのOSをインストールすることができます あるいはFreeBSDあるいはDOSあるいはあなたが喜ぶものは何でも.
さて、このSecure Boot全体が実際にどのように機能するのかについての詳細を見てみましょう。Secure Bootについては、特にFree Software Foundationや同様のグループから、たくさんの誤報があります。これがSecure Bootが実際に何をするのかについての情報を見つけるのを難しくしているので、私は説明するために最善を尽くします。私はセキュアブートシステムなどを開発した経験はありません。これは私がオンラインで読むことから学んだことです.
まず第一に, セキュアブートは ではない Microsoftが思い付いたこと. 彼らはそれを広く実装した最初の人ですが、彼らはそれを発明しませんでした。これはUEFI仕様の一部です。これは基本的に、おそらく慣れ親しんでいる古いBIOSの新しい代替品です。 UEFIは基本的にOSとハードウェアの間で対話をするソフトウェアです。 UEFI標準は、「UEFIフォーラム」と呼ばれるグループによって作成されています。このグループは、Microsoft、Apple、Intel、AMD、および一握りのコンピュータ製造業者を含む、コンピュータ業界の代表者で構成されています。.
2番目に重要な点, セキュアブートをコンピュータで有効にしても ではない つまり、コンピュータは他のオペレーティングシステムを起動できません。. 実際、Microsoft自身のWindows Hardware Certification Requirementsでは、非ARMシステムでは、セキュアブートを無効にし、キーを変更して(他のOSを許可する)ことができる必要があると述べています。その詳細は後で.
セキュアブートとは何ですか?
基本的に、それはマルウェアがブートシーケンスを通してあなたのコンピュータを攻撃するのを防ぎます。ブートローダを介して侵入するマルウェアは、オペレーティングシステムの低レベルの機能に侵入してウイルス対策ソフトウェアから見えないようにする可能性があるため、検出および停止が非常に困難です。 Secure Bootが実際に行うことは、ブートローダが信頼できるソースからのものであること、および改ざんされていないことを確認することだけです。それは「ふたが飛び出したり、シールが改ざんされていたら開けないでください」というボトルのポップアップキャップのように考えてください。.
最高レベルの保護では、プラットフォームキー(PK)があります。どのシステムにもPKは1つしかなく、製造時にOEMによってインストールされます。このキーはKEKデータベースを保護するために使用されます。 KEKデータベースは、他のセキュアブートデータベースを変更するために使用されるキー交換キーを保持します。複数のKEKが存在する可能性があります。それから3番目のレベルがあります:許可データベース(db)と禁止データベース(dbx)。これらには、認証局、追加の暗号化キー、および許可またはブロックするUEFIデバイスイメージに関する情報がそれぞれ含まれています。ブートローダが実行されるためには、暗号化された鍵で暗号化されている必要があります。 です データベース内 ではない dbxで.
Windows 8のビルドからの画像:UEFIを使用してOS前の環境を保護する
これが実際のWindows 8認定システムでどのように機能するか
OEMは独自のPKを生成し、MicrosoftはKEKデータベースに事前ロードするためにOEMが必要であるとKEKを提供します。その後、MicrosoftはWindows 8ブートローダに署名し、自分のKEKを使用してこの署名を認証データベースに格納します。 UEFIがコンピュータを起動すると、PKを確認し、MicrosoftのKEKを確認してから、ブートローダを確認します。すべてがよさそうなら、OSは起動できます。.
Windows 8のビルドからの画像:UEFIを使用してOS前の環境を保護するLinuxのようなサードパーティのOSはどこに入ってくるのですか。?
まず、どのLinuxディストリビューションでもKEKを生成し、それをデフォルトでKEKデータベースに含めるようOEMに依頼することができます。そうすれば、Microsoftが行うのと同じくらいブートプロセスを制御できるようになります。 FedoraのMatthew Garrettが説明しているように、これに関する問題は、a)すべてのPC製造元にFedoraのキーを含めることは困難であり、b)他のLinuxディストリビューションには不公平であることです小さいディストリビューションほど多くのOEMパートナーシップがないため.
Fedoraがすることを選択した(そして他のディストリビューションがそれに従っている)のはMicrosoftの署名サービスを使用することです。このシナリオでは、Verisign(Microsoftが使用している認証局)に99ドルを支払う必要があり、開発者はMicrosoftのKEKを使用してブートローダに署名することができます。 MicrosoftのKEKはすでにほとんどのコンピュータに搭載されているため、これを使用することで、ブートローダに署名してセキュアブートを使用することができます。独自のKEKは必要ありません。それは、より多くのコンピュータとの互換性が増し、独自のキー署名と配布システムを設定するよりも全体的なコストが少なくなります。これがどのように機能するかについての詳細(GRUB、署名入りカーネルモジュール、およびその他の技術情報を使用)は、前述のブログ投稿にあります。このようなことに興味がある場合は読むことをお勧めします。.
Microsoftのシステムにサインアップする煩わしさに対処したくない、または$ 99を支払いたくない、あるいは単にMで始まる大企業に対して恨みを抱かないようにするには、依然としてSecure Bootを使用する別の方法があります。 Windows以外のOSを実行します。マイクロソフトのハードウェア認定 必要 そのOEMは、ユーザーが自分のシステムにUEFIの「カスタム」モードに入ることを許可し、そこでユーザーは手動でSecure BootデータベースとPKを変更できます。システムをUEFIセットアップモードにすることができます。ユーザーは自分のPKを指定し、ブートローダーに自分で署名することさえ可能です。.
さらに、マイクロソフト独自の認定要件により、OEM企業は非ARMシステムでセキュアブートを無効にする方法を含めることが必須になります。. セキュアブートをオフにすることができます! Secure Bootを無効にできない唯一のシステムは、Windows RTを実行しているARMシステムです。これは、カスタムOSをロードできないiPadと同じように機能します。 ARMデバイスのOSを変更することが可能であることを望みますが、ここでマイクロソフトはタブレットに関して業界標準に従っていると言ってもいいでしょう。.
だから安全な起動は本質的に悪ではありません?
お分かりのように、Secure Bootは悪ではなく、Windowsでの使用に限定されるものでもありません。 FSFと他の人たちがそれについてとても怒っているのは、サードパーティのオペレーティングシステムを使うことに余分なステップを追加するからです。 Linuxディストリビューションは、マイクロソフトの鍵を使うためにお金を払うのは好きではないかもしれませんが、それはSecure BootをLinux用に動作させるための最も簡単で最も費用対効果の高い方法です。幸いなことに、セキュアブートをオフにするのは簡単ですし、異なるキーを追加することも可能です。そのため、マイクロソフトに対処する必要がなくなります。.
ますます高度化するマルウェアの量を考えると、セキュアブートは合理的な考えのように思えます。それは世界を征服するための邪悪な計画であることを意味するのではなく、そしていくつかのフリーソフトウェアの専門家があなたに信じさせるよりもはるかに少ない怖いです。.
追加の読み物:
- マイクロソフトハードウェア認定要件
- Windows 8を構築する:UEFIを使用してプレOS環境を保護する
- Secure Bootの展開とキー管理に関するマイクロソフトのプレゼンテーション
- FedoraでUEFIセキュアブートを実装する
- TechNetセキュアブートの概要
- UEFIに関するウィキペディアの記事
TL; DR: セキュアブートは、起動中にマルウェアが低いレベルの検出不可能なレベルでシステムに感染するのを防ぎます。それを機能させるのに必要なキーを誰でも作成できますが、コンピュータメーカーに配布するよう説得するのは困難です。 きみの つまり、マイクロソフトのキーを使用してブートローダーに署名し、それらを機能させるためにVerisignに支払うことを選択できます。. セキュアブートを無効にすることもできます。 どれか 非ARMコンピュータ.
セキュアブートに対するFSFのキャンペーンに関しての最後の考え:彼らの懸念のいくつか(すなわちそれはそれをそれにする) もっと強く 無料のオペレーティングシステムをインストールすることは有効です) ポイントに. ただし、上記の理由から、この制限により「だれでもWindows以外のものを起動することはできなくなります」と言うのは明らかに間違っています。テクノロジとしてのUEFI / Secure Bootに対するキャンペーンは近視眼的であり、誤解されており、とにかく効果があるとは考えにくいです。ユーザーがセキュアブートを無効にしたり、必要に応じてキーを変更したりできるようにするために、製造元がマイクロソフトの要件に実際に従っていることを確認することがより重要です。.
説明に追加するものがありますか?コメントの中で消してください。他の技術に精通したStack Exchangeユーザーからの回答をもっと読みたいですか?こちらのディスカッションスレッドをチェックしてください。.