Bude Linux fungovat se Secure Boot?

Většina hlavních distribucí ano – Ubuntu, Fedora, Debian, openSUSE všechny dodává podepsané shims, které fungují hned po vybalení. Některá menší distribuce a vlastní sestavení vyžadují ruční registraci klíče. Arch Linux vyžaduje více nastavení, ale je plně podporován.

Jaký je rozdíl mezi Secure Boot a Verified Boot?

Stejný obecný koncept, různé ekosystémy. Secure Boot je standard UEFI/PC. Verified Boot je ekvivalent Androidu (a termín, který Apple používá pro části bootování macOS Big Sur+). Termín ChromeOS je také Verified Boot. Všechny řetězové kryptografické podpisy od firmwaru po jádro.

Mohu nainstalovat Windows 11 bez Secure Boot?

Oficiálně ne – je to povinné. Existují neoficiální řešení, ale společnost Microsoft signalizuje, že nebudou dlouhodobě podporována a aktualizace mohou přestat fungovat. Pro praktické účely Windows 11 = Secure Boot = TPM 2.0.

Je Secure Boot zadní vrátka pro Microsoft?

Podpisový klíč UEFI společnosti Microsoft je všeobecně důvěryhodný; binární soubory Značky společnosti Microsoft běží na každém počítači s bezpečným spouštěním. To je pákový efekt, ale ne ve skutečnosti zadní vrátka – Microsoft nevidí vaše data, neposílá kód do vašeho počítače mimo Windows Update. Architektonický zájem (jedna strana s širokou podpisovou autoritou) je skutečný, ale praktický dopad je omezený.

Co se stane během aktualizací systému BIOS pomocí funkce Secure Boot?

Aktualizace firmwaru jsou samy podepsány a ověřeny. Infrastruktura podepisování je oddělená od databáze při spouštění systému; prodejci mohou zavádět aktualizace firmwaru bez přerušení bootování. Uživatelé nástroje BitLocker mohou po velkých aktualizacích firmwaru vidět výzvu k obnovení, protože se změnila měření zaváděcího řetězce.

Vysvětlení zabezpečeného spouštění: Jak váš počítač ověřuje operační systém před jeho spuštěním

Před načtením operačního systému se spustí několik vrstev kódu — firmware, bootloader, jádro. Každý z nich je potenciálním cílem útoku. Secure Boot je řetězec kryptografického ověření, který zajišťuje, že při spouštění běží pouze podepsaný schválený kód. Tiše zastaví kategorii malwaru před operačním systémem, který byl kdysi zničující a nyní je vzácný.

Celé tělo článku je uvedeno níže v angličtině.

Secure Boot je funkce UEFI, která ověřuje kryptografické podpisy na každé součásti spouštěné během spouštění a odmítá spouštět cokoli, co není podepsáno důvěryhodným klíčem. Chrání proti bootkitům a rootkitům, které se pokoušejí načíst dříve, než se operační systém může bránit.

Zaváděcí řetězec

A moderní PC se spouští v několika fázích:

UEFI firmware — nahrazuje starší BIOS, spouští se nejprve na flashovém čipu SPI základní deska
Bootloader — Windows Boot Manager, GRUB, systemd-boot nebo shim
Kernel — Windows, Linux, macOS (XNU) nebo dalšíXPLZ20Z2232Xit službyXPLZ20Z2322X —X1 služby ovladače, démoni

Bez zabezpečeného spouštění může malware, který jednou získal správce, nahradit zavaděč, aby bylo zajištěno, že se načte při každém dalším spuštění dříve, než jej dokáže detekovat jakýkoli antivirus. Bootkity jako Mebroot (2007), Olmasco (2010) a Mosaic Regressor (2020) používaly přesně tuto techniku.

Jak funguje Secure Boot

Firmware UEFI obsahuje databázi veřejných klíčů představujících důvěryhodné signatáře. Při načítání bootloaderu firmware ověřuje svůj podpis proti těmto klíčům. Pokud je podpis neplatný nebo chybí a soubor není v databázi whitelistu, firmware jej odmítne spustit a boot se nezdaří.

Klíče jsou:

PK (Platform Key) — root. Obvykle klíč výrobce hardwaru. Řídí, kdo může aktualizovat další klíče.
KEK (klíče pro výměnu klíčů) — klíče autorizované k aktualizaci databáze a DBX.
DB (databáze podpisů) — seznam povolených binárních souborů a podpisových klíčů. (Databáze zakázaných podpisů) — explicitně blokované binární soubory a klíče. Aktualizováno, když jsou objeveny zavaděče, o kterých je známo, že jsou kompromitovány.

Podpisový klíč UEFI společnosti Microsoft je již z výroby prakticky v každé databázi počítače. Bootloadery Znaky Microsoftu jsou všeobecně povoleny; zavaděče podepsané jinými CA vyžadují explicitní položky DB.

Linux a shim

Většina linuxových distribucí dodává malý zavaděč s názvem shim podepsaný společností Microsoft. Shim je jediná linuxová komponenta, které Secure Boot předem důvěřuje. Na oplátku ověřuje skutečný zavaděč distribuce (GRUB) a jádro proti klíčům, které distribuce vkládá. Tento třívrstvý řetězec umožňuje Linuxu pracovat se Secure Boot, aniž by každé distribuce vyžadovalo vyjednávání důvěry v klíč UEFI s každým dodavatelem hardwaru.

Pro uživatele, kteří chtějí plnou suverenitu, můžete PK nahradit svým vlastním klíčem a podepsat vše sami. Vyžaduje hlubší znalosti Linuxu, ale poskytuje plně soběstačný bootovací trust.

Bootkit BlackLotus a to, co učil

V roce 2023 byl bootkit BlackLotus prvním veřejně zdokumentovaným malwarem, který ve volné přírodě obešel Secure Boot. Zneužil známou, ale neopravenou chybu zabezpečení (CVE-2022-21894, "Baton Drop") v bootloaderu společnosti Microsoft. Bootloader byl podepsaný a důvěryhodný; tato chyba zabezpečení umožnila útočníkům spustit kód, který porazil následné kontroly zabezpečeného spouštění.

Oprava: zrušte zranitelný zavaděč přidáním jeho hash do DBX. Nasazení bylo komplikované, protože prosazování aktualizací DBX na miliardy počítačů s sebou nese rizika kompatibility. Microsoft to řešil postupně prostřednictvím 2023-2024.

Secure Boot a TPM společně

Secure Boot zabraňuje spuštění neoprávněného kódu. TPM zaznamenává, co běželo prostřednictvím registrů konfigurace platformy. Kombinace poskytuje measured boot — prokazatelný záznam toho, co přesně bylo načteno, ověřitelné vzdálenými službami pro atestaci stavu zařízení.

BitLocker se integruje s oběma: šifrování disku je zapečetěno v TPM, který uvolní klíč pouze v případě, že Secure Boot proběhne normálně a PCR se shodují. Upravte zavaděč i s platnými podpisy a BitLocker vyžaduje obnovu.

Omezení

Nechrání po spuštění. Jakmile je operační systém spuštěn, malware s dostatečnými oprávněními může vykonávat svou práci. Secure Boot je obrana při bootování.
Závisí na integritě úložiště klíčů. Útočník s fyzickým přístupem může někdy vložit klíče do DB. Implementace výrobců se liší v odolnosti.
Neověřuje samotný firmware. Ověřování provádí firmware UEFI. Narušené UEFI je případ selhání kořene důvěryhodnosti. Intel Boot Guard, AMD Platform Secure Boot a podobné rozšiřují důvěru ve firmware.
Tření kompatibility. Některé starší nástroje, konfigurace s duálním spouštěním a neobvyklá nastavení se s bezpečným spouštěním nehrají dobře. Většina uživatelů si toho nevšimne; některé konkrétní případy použití ano.

Měli byste to vypnout?

Pro typické uživatele: ne. Ochrana je skutečná, tření je malé a Windows 11 ji vyžaduje. Linuxové distribuce široce podporují Secure Boot přes shim. Důvody pro jeho deaktivaci existují (vlastní jádra bez opětovného podepisování, určité virtualizační scénáře, velmi stará hardwarová kompatibilita), ale jsou úzce specializované a skutečné zabezpečení vyměňují za menší pohodlí.

Často kladené otázky

Bude Linux fungovat se Secure Boot?: Většina hlavních distribucí ano – Ubuntu, Fedora, Debian, openSUSE všechny dodává podepsané shims, které fungují hned po vybalení. Některá menší distribuce a vlastní sestavení vyžadují ruční registraci klíče. Arch Linux vyžaduje více nastavení, ale je plně podporován.
Jaký je rozdíl mezi Secure Boot a Verified Boot?: Stejný obecný koncept, různé ekosystémy. Secure Boot je standard UEFI/PC. Verified Boot je ekvivalent Androidu (a termín, který Apple používá pro části bootování macOS Big Sur+). Termín ChromeOS je také Verified Boot. Všechny řetězové kryptografické podpisy od firmwaru po jádro.
Mohu nainstalovat Windows 11 bez Secure Boot?: Oficiálně ne – je to povinné. Existují neoficiální řešení, ale společnost Microsoft signalizuje, že nebudou dlouhodobě podporována a aktualizace mohou přestat fungovat. Pro praktické účely Windows 11 = Secure Boot = TPM 2.0.
Je Secure Boot zadní vrátka pro Microsoft?: Podpisový klíč UEFI společnosti Microsoft je všeobecně důvěryhodný; binární soubory Značky společnosti Microsoft běží na každém počítači s bezpečným spouštěním. To je pákový efekt, ale ne ve skutečnosti zadní vrátka – Microsoft nevidí vaše data, neposílá kód do vašeho počítače mimo Windows Update. Architektonický zájem (jedna strana s širokou podpisovou autoritou) je skutečný, ale praktický dopad je omezený.
Co se stane během aktualizací systému BIOS pomocí funkce Secure Boot?: Aktualizace firmwaru jsou samy podepsány a ověřeny. Infrastruktura podepisování je oddělená od databáze při spouštění systému; prodejci mohou zavádět aktualizace firmwaru bez přerušení bootování. Uživatelé nástroje BitLocker mohou po velkých aktualizacích firmwaru vidět výzvu k obnovení, protože se změnila měření zaváděcího řetězce.