UEFI Secure Boot – použít či nikoliv?

uefiV dnešním malém zamyšlení se pokusíme pochopit, proč byl vůbec vymyšlen UEFI Secure Boot a jak ovlivňuje používání a šíření námi milovaného Linux Mintu.

Unified Extensible Firmware Interface (UEFI),  je specifikace, která definuje softwarové rozhraní mezi operačním systémem a platformou firmware. UEFI by měl nahradit Basic Input/Output System (BIOS) rozhraní firmwaru, původně přítomném ve všech osobních počítačích IBM PC. V praxi, UEFI má většinou podporu pro novější firmware a BIOS podporuje starší služby. UEFI také může podporovat vzdálenou diagnostiku a správu počítačů, a to i bez dalšího operačního systému.

 

Téměř všichni majitelé nových základních desek jsou jsou tedy i uživateli UEFI. V souladu s tím je podporován i tzv. Secure Boot. Otázka ohledně bezpečnosti: Musím i já použít UEFI Secure Boot nebo ne?

Zatímco BIOS je v podstatě velmi těžkopádný a prakticky beze změn kódu svého speciálního firmwaru, systém UEFI je poměrně flexibilní, programovatelné rozhraní. A je to rozhraní, mající pro všechny hardwarové komponenty počítače vlastní mikrokód. Na rozdíl od kódu BIOSu, který je vždy umístěn v příslušném čipu na základní desce, jsou mnohem rozsáhlejší kódy UEFI umístěny ve speciálním adresáři /EFI/. Fyzické umístění pak může být velmi pestré – od paměťových čipů na základní desce, oddílu na pevném disku počítače, až po externí úložiště na síti.

V důsledku této pružnosti se systém UEFI stává mnohem významnějším a zcela nezávislým na operačním systému. To znamená, že se v počítači nejprve načte UEFI a pod jeho řízením pak v podstatě libovolný soubor požadovaných akcí, třeba se spustí načítání skutečného operačního systému.

Linux rozhodně podporuje UEFI, ale to je spíše povrchní známost než nějaké efektivní partnerství. Mac OS X je již poněkud dále, částečně využívá UEFI a částečně správce bootování Bootcamp. U Microsoftu byla podpora UEFI zavedena u systému Windows 8. Tento operační systém se stal prvním z hlavních OS, kde se intenzivně využívají „výhody“ UEFI, včetně obnovení, aktualizace, zabezpečení bootování a dost možná i něco jiného.

Já jen tajně doufám, že se ze strany Microsoftu nejedná o nekalou soutěž. Firma totiž odrazila útok některých uživatelů Linuxu tak, že se prý z jejich strany jedná jen o zlepšení bezpečnosti v práci se systémem Windows. A ani se nesnaží ovlivňovat způsob, jakým výrobci hardwaru vydávají své kryptografické klíče. Dále pak společnost Microsoft ani nevyloučila vydávání klíčů pro jiné operační systémy.

Ve světě desktopových systémů, kde se nyní téměř neprodávají počítače s předinstalovaným Linuxem není tak docela jasné, jaké pobídky mohou být vytvořeny pro výrobce hardwaru, aby vydávali své kryptografické klíče pro různé linuxové distribuce. Jediná věc, kterou můžeme říci s jistotou – Microsoft se do řešení tohoto problému zapojovat nebude.

Teď se ale snažme odpovědět na otázku v názvu článku.

Můj názor je: Ne, nepoužívejte UEFI Secure Boot. Samozřejmě, zainteresovaní budou tvrdit, že vytvořili UEFI pro naší informovanost, že je to pouze kvůli naší bezpečnosti, a že malware je věcí minulosti. Jaký je však výsledek? Je v systému Windows méně virů? Ne, je jich stále více. Jsou zaměstnanci antivirových firem bez práce a samotné antivirové firmy jsou v konkurzu? Ne, nejsou a vesele vydělávají dál, UEFI neUEFI.

Co tedy dál? Microsoft udělá těžší instalaci Linuxu na nových počítačích se systémem Windows 10. Proč byl tedy UEFI vůbec vytvořen?

Nyní tedy můžeme přeformulovat mou úvodní otázku takto: Máme používat funkci, vytvořenou výhradně pro klamání kupujících a pro nekalou soutěž? Asi mi potvrdíte, že nikoliv. Alespoň ne do té doby, dokud nebude možné jí zakázat. A zatím se zdá, že tímto směrem vlak nejede.

 

Štítky , , , .Záložka pro permanentní odkaz.

17 reakcí na UEFI Secure Boot – použít či nikoliv?

  1. baron říká:

    Jsem sice docela pokročilým uživatelem windows anově i trochu Kubuntu 15.04, ale zjištovat co to UEFI je mě trklo až ted.
    Chci se zeptat, při instalaci Kubuntu/Ubuntu mě to varovalo že v modu UEFI to nebude dobře fungovat, taky že nefungovalo, nenabootovalo to.
    Když to Linux podporuje jak to zapnout? Prej před instalací nejlíp čisteho systému na čistý disk se to má zvolit, co když ho už 2roky používám? To ho musím komplet naformátovat?
    Mám ten pocit že ani windows 7 SP1 mě to nepřechroustali a musel jsem bootovat klasicky. Někde na foru psali že W7 SP1 to už podporují.
    Pak mě taky vrtá hlavou to …ať UEFI mod tak neUEFI BIOS na desce mě přijde furt stejný, a to mám ani ne rok starý model od Asusu, H97M-E

  2. baron říká:

    No a pak jste taky nevysvětlil proč Secure boot nezapínat, když to Linux vlastně podporuje

  3. Tomáš Potocký říká:

    Zdravím, chtěl bych se zeptat. Vlastním notebook Toshiba Sattelite C55-A-1H9 a něco mi také vrtá hlavou.

    Když doporučujete UEFI secure boot vypnout, tak ho asi vypnu já, nevím, zda to má nějaký vliv, já osobně sem nezaznamenal rozdíl, a teď k mé otázce. Je lepší používat pro mint AHCI nebo IDE, konkrétně pro můj notebook? Testoval sem a také sem nenašel moc extra rozdíl, ale někde bylo psáno, že v jednom to běží rychleji. Nebyl by i článek o tom, jak správně a co nejvýhodněji nastavit bios pro mint? AHCI nebo IDE?

  4. vxmery říká:

    Len doplním, že Secure Boot sa musí vypnúť, ak chceme aby nám fungoval dual boot (Win+Linux) z Grubu.

  5. Jamesso říká:

    Když zruším Secure boot, který mi brání v nabootování Linuxu z flashky, nebude s tím mít problém Windows boot manager?

  6. Vlasta říká:

    Vůbec nevadí, že si Tom všiml, že se jedná o překlad (přepis) citovaného článku. Ne každý vládne angličtinou na takové úrovni, aby si v klidu přečetl vše a všemu rozuměl. My starší oceňujeme české prostředí, pokud něco potřebujeme mrkneme se k Rusům. Jakýkoliv překlad, přepis, manuál v češtině je velice záslužný čin. Bez lidí, kteří se v propagaci a při zavádění Linuxu angažují, by tento systém nebyl tam, kde je. Opakování je matkou moudrosti a stále přicházejí začátečníci, kteří potřebují pomoc i těch méně zkušených uživatelů Linuxu. Nebylo by dobře nechat ty zkušené vyhořet neustálým opakováním dotazů dávno zodpovězených. Omlouvám se, že jsem se nevěnoval UEFI a psal o něčem jiném.

  7. theseuszn říká:

    Základní desky pro stolní pc mají možnost přepínání mezi UEFI a Legacy v současnosti snad všechny, pročpak asi… V „UEFI BIOSu“ změním místo „Windows“ na „Other“, tím je „Secure Boot“ vypnut (dokonce je to od výrobců desek takto defaultně nastaveno). V „Boot Settingu“ stačí pro boot v případě dvou rozdílně připravených disků nastavit oba režimy: UEFI & Legacy, zbytek položek na „Legacy“, takže když disk s Windowsama bude s GPT a disk s Linuxem s MBR, tak stačí v „Boot Menu“ zvolit, co chci a fungují obě varianty. Nehledě na to, že i disk s tabulkou GPT může být připraven pro „Legacy“ režim. S tou „svižností“ je to taky sporné. Mě na Asusu i na Gigabyte deskách jede linux očividně rychleji v Legacy režimu s MBR tabulkou, než při UEFI režimu s GPT tabulkou. Inspirace, jak to udělat je třeba tady:
    https://forums.linuxmint.com/viewtopic.php?f=42&t=223015
    a mám to vyzkoušené „křížem krážem“ a šlape to jak víno. Co si budem namlouvat, kdo používá systémové disky větší než 2TB? Nikdo. Kdo potřebuje mít X particií jako primáry? Nikdo. Navíc se dělení disků nijak zvlášť nepreferuje a zvlášť u SSD, u nich to disky přímo degraduje. Jaké zabezpečení pro linux má „Secure Boot“? Žádné. UEFI má neustálé problémy se SATA řadiči… Takže celé UEFI se Secure-Bootem je jen volovina pro wokenice (windows) a linux jej nepotřebuje a od prdlosoftu a intelu už vůbec ne a mohl bych pokračovat. Pro mě, jakožto domácího uživatele pc je UEFI se Secure Bootem na 2 věci: na hov.. a na nic a výsledky při používání ve windows mě nezajímají. Ikdyby byly a jakože nejsou x-krát lepší, ten nešťastný M$-OS je stejně zdegraduje, takže o ničem.

    • Míra, ok1ufc říká:

      Docela jste mi promluvil z duše. A uvedl důvody, které jsou důležité a zopakuji je – dokud budou zákl. desky podporovat Legacy a systémové disky větší než 2T se nestanou nutnou výbavou, vystačím s organizací MBR. Bohužel musím potvrdit, že se chystám použít dva stejné HDD a rychlost ověřit, protože subjektivně se mi rovněž zdálo, že nejen Linux, ale i Windows 10 mi jely a startovaly očividně rychleji s MBR, než v UEFI s GPT organizací disku. S MBR vystačím i pokud mám na HDD současně stará WinXP, nové Win10 a několik Linuxů. Win10 jdou bezproblémově instalovat do jediného primárního oddílu v organizaci MBR, dokonce najdou starší verze Windows a udělají si dualboot. Zajímavé bylo, že i když jsem potom skryl písmeno disku s druhým systémem, dualboot Microsoftu fungoval a systém byl nalezen na skrytém disku a bylo mu přiřazeno c: Windows Linuxové OS nenajdou, ale není nic jednoduššího, než použít grub, vyhledat je a udělat pomocí grub multiboot. Takže UEFI se Secure Bootem nepotřebujete ani pro Windows 10, zkoušel jsem s buildy 1803 a 1809. Mimochodem, na Dell Vostro 3350 mi z HDD Western Digital (750M, modrý) od dualbootu nebo multibootu uplyne doba necelých 20 sekund do zobrazení obrazovky s PIN. Také jsem domácí uživatel a secure boot nepotřebuji vůbec k ničemu, Windows je nepotřebují také k ničemu. Stažení ISO image Win10 z Linuxu je rychlejší, než pod Windows. ISO mají cca 4.3 G pro 64 bit verzi Pro 1803, 4.6G pro verzi 1809 Pro a asi 3.3 G. Instalace do určeného oddílu trvá necelou hodinu, mě se vždy nainstalovaly všechny ovladače. Aktivace systému se vždy provedla automaticky pomocí mého MS účtu a multiboot jsem musel vždy opravit, pokud už na HDD byly Linuxy. Pro mě je nová instalace Windows vedle Linuxů vždy první volbou. Všechny nástroje, které používáme jsou vyzkoušené, spolehlivé, v ničem nepřekvapí a později velmi snadno opravujeme bootování jakéhokoliv systému. Dokonce jsem si tak rozvrtal HDD, že ho odmítl opravit GParted. Neformátoval jsem Disk jsem dal na USB kšandy a z druhého PC jsem spustil Ease US Partition manager, opravil MBR, a to tak, aby šly bootovat jen Windows (bootování jsem vyzkoušel). Jednu partition jsem odstranil a udělal z ní tímto programem další ntfs. Partition se SWAP a Linuxy jsem nechal. Potom už si při instalaci grub poradil, nový linux nainstaloval do té ntfs, kterou jsem ale při instalaci přeformátoval na ext4 a našel všechny systémy. Proto jsem stále příznivcem MBR alespoň na HDD, kde jsou systémy, příznivcem Bios, (Uefi Legacy).

  8. klon říká:

    Lenze je mnoho druhov notebookov a vyrobenych uz len s uefi a legacy neni k dispozici.
    Potom len skusat hladat navody ako spojazdnit, byva to gulas .
    Tak vyrobcovia robua horor s toho

Napsat komentář

Vaše emailová adresa nebude zveřejněna.