Дискуссии и отчеты об UEFI и Secure Boot возникли во многих кругах Linux, но может ли кто-нибудь резюмировать, как это влияет на Ubuntu и как это влияет на обычных пользователей?
Я знаю, что UEFI и Secure Boot являются отдельными (не взаимозаменяемыми), при этом Secure Boot является частью спецификации BIOS Unified Extensible Firmware Interface .
PS Я знаю, как это влияет на Ubuntu, этот вопрос на благо общественности.
Чтобы действительно понять, как это влияет на пользователей и Ubuntu, я думаю, что полезно понять, что такое UEFI и что оно меняет. Затем обсудите возможности безопасной загрузки и то, как это может повлиять на установку:
UEFI - это спецификация, определяющая программный интерфейс между операционной системой и прошивкой
Он предназначен для замены BIOS. BIOS старый, и он был разработан для более старого оборудования. Он может поддерживать только 16-разрядный режим процессора, только 1 МБ адресуемого пространства, максимальную загрузку не более 2 ТБ, 4 раздела и т. Д. DOS и более старые ОС используют BIOS для базового ввода-вывода ... но важны загрузчики когда операционная система запущена, сегодня она значительно сокращается. Поймите, что многие все еще будут называть UEFI BIOS.
Некоторые важные изменения в UEFI:
Независимая от процессора архитектура и драйверы
Возможности сети до загрузки ОС.
Поскольку UEFI может быть 64-битным, он позволяет ему читать всю память, к которой может обращаться 64-битный компьютер.
Таблица разделов GUID вместо MBR, которая позволяет более 4 разделов и более 2 ТБ с загрузочного диска (8ZiB)
предоставляет параметры времени выполнения для ОС, такие как получение даты / времени / доступа к NVRAM
UEFI позволяет для SECUREBOOT:
Secure Boot не позволяет драйверам и загрузчикам ОС загружаться микропрограммой, если они не подписаны цифровой подписью, записанной в микропрограмме. Это может быть очень полезно для остановки руткитов. Вы можете добавить дополнительные ключи, чтобы другие программы могли работать в «Пользовательском» режиме.
При этом вы можете прочитать множество ограничений о безопасной загрузке, о том, как ее можно использовать, чтобы одна ОС доминировала в системе, и т. Д. Из-за этой Windows 8 требуется, чтобы SecureBoot мог входить в пользовательский режим или быть отключенным, чтобы быть Windows 8 сертифицированных. Когда он отключен, вы теряете все преимущества безопасной загрузки, но вы все равно можете использовать UEFI. С его помощью в пользовательском режиме вы можете добавлять открытые ключи, которые не совпадают с закрытым ключом в системе, так что другие программы могут работать, кроме тех, которые имеют закрытый ключ.
Для Ubuntu
Когда вы устанавливаете Ubuntu, если ваша система настроена на загрузку в UEFI, она будет установлена как EFI.
Начиная с Ubuntu 12.10 он поддерживает безопасную загрузку
Если вы добавляете Ubuntu в качестве второй ОС, важно иметь ОС того же типа, что и ваш загрузчик (т.е. 64-битная или 32-битная). Так что если у вас 64-битная Windows и вы загружаете UEFI, вы должны выбрать 64-битную Ubuntu. Если вы этого не сделаете, он не будет загружаться. Я пытался загрузить UEFI с 32-битной Ubuntu (13.10) и даже не мог заставить его читать USB, пока я не отключил UEFI. Я установил 32-битную версию с отключенной. Когда я понял свою ошибку, я перезагрузил 64-битную Ubuntu на ключ, включил UEFI, и он обнаружил это замечательно. Я тогда переустанавливал.
Использование UEFI позволяет вам иметь много основных разделов при установке, поэтому не беспокойтесь о руководствах, которые заставят вас начать использовать логические после того, как у вас будет 4 раздела.
Все еще не идеально. Например, GRUB имеет проблему с загрузкой Windows 8 с безопасной загрузкой. Сначала я могу выбрать загрузку с диска Windows, он работает нормально. Я могу сначала загрузить GRUB и загрузить Ubuntu под безопасной загрузкой. Но когда GRUB загружается, он не загружает Windows 8 с безопасной загрузкой. Вот хороший сайт об этой проблеме, а внизу - отчет об ошибке, который подтверждается: http://falstaff.agner.ch/2012/12/18/ubuntu-12-10-and-windows-8-with -Secure-загрузочный режим /
Об этом на пленарном заседании говорил Джереми Керр во время UDS. Презентация была основана на документе, который он был соавтором с Мэтью Гарреттом и Джеймсом Боттомли. Вы можете найти этот документ здесь .
Мои два цента в том, что это система для проверки того, что программное обеспечение, которое вы используете для загрузки вашей машины, было подписано с использованием авторизованной подписи, доступной во внутренней базе данных. Это не опасно, если у вас есть возможность редактировать базу данных действительных подписей. Тем не менее, крупный отраслевой игрок, похоже, хочет, чтобы OEM-производители включали в базу данных только одну подпись и не могли ее обновить, и это большая проблема, поскольку ни одна другая ОС не сможет загружаться на оборудовании, к которому были применены эти ограничения.