Microsoft가 Windows 8에서 UEFI 보안 부팅을 구현하는 방법에 대해 많이 들었습니다. 분명히 "권한이없는"부트 로더가 컴퓨터에서 실행되는 것을 막아 맬웨어를 방지합니다. 보안 부팅에 대한 자유 소프트웨어 재단 (Free Software Foundation)의 캠페인이 진행되고 있으며 많은 사람들이 온라인에서 "무료 운영 체제를 제거"하는 것이 "파워 잡기"라고 말하고 있습니다.
Windows 8 및 Secure Boot가 사전 설치된 컴퓨터를 구입 한 후에도 나중에 Linux (또는 다른 OS)를 설치할 수 있습니까? 또는 보안 부팅 기능이있는 컴퓨터가 Windows에서만 작동합니까?
답변:
우선, 귀하의 질문에 대한 간단한 답변 :
Windows RT를 실행 하는 ARM 태블릿 (Surface RT 또는 Asus Vivo RT 등)이있는 경우 보안 부팅을 비활성화하거나 다른 OS를 설치할 수 없습니다 . 다른 많은 ARM 태블릿과 마찬가지로 이러한 장치는 함께 제공되는 OS 만 실행합니다.
Windows 8을 실행하는 ARM이 아닌 컴퓨터 (Surface Pro 또는 x86-64 프로세서가 장착 된 무수한 울트라 북, 데스크탑 및 태블릿) 를 사용하는 경우 보안 부팅을 완전히 비활성화 하거나 자체 키를 설치할 수 있습니다 자신의 부트 로더에 서명하십시오. 어느 쪽이든 Linux 배포판 , FreeBSD 또는 DOS 와 같은 타사 OS 또는 원하는 것을 설치할 수 있습니다.
이제이 전체 Secure Boot 작업의 실제 작동 방식에 대한 자세한 내용은 다음과 같습니다. Secure Boot에 대한 많은 잘못된 정보, 특히 Free Software Foundation 및 유사한 그룹의 정보가 있습니다. 이로 인해 Secure Boot가 실제로 수행하는 작업에 대한 정보를 찾기가 어려웠으므로 최선을 다해 설명하겠습니다. 보안 부팅 시스템이나 그와 비슷한 것을 개발하는 데 개인적인 경험이 없습니다. 이것이 바로 온라인에서 읽은 내용입니다.
우선, 보안 부팅은 Microsoft가 생각 해낸 것이 아닙니다 . 그들은 그것을 널리 구현 한 최초의 사람이지만 그것을 발명하지는 않았습니다. UEFI 사양 의 일부로 기본적으로 이전 BIOS를 대체 할 새로운 대체품입니다. UEFI는 기본적으로 OS와 하드웨어간에 통신하는 소프트웨어입니다. UEFI 표준은 Microsoft, Apple, Intel, AMD 및 소수의 컴퓨터 제조업체를 포함한 컴퓨팅 업계 대표로 구성된 " UEFI 포럼 " 이라는 그룹에 의해 만들어졌습니다 .
두 번째로 중요한 점 은 컴퓨터에서 보안 부팅을 사용 한다고해서 컴퓨터가 다른 운영 체제를 부팅 할 수 없다는 의미 는 아닙니다 . 실제로 Microsoft 자체의 Windows 하드웨어 인증 요구 사항에 따르면 ARM 이외의 시스템의 경우 보안 부팅을 비활성화하고 키를 변경하여 다른 OS를 허용 할 수 있어야합니다. 그래도 나중에 더.
기본적으로 부팅 시퀀스를 통해 맬웨어가 컴퓨터를 공격하는 것을 방지합니다. 부트 로더를 통해 들어오는 악성 코드는 운영 체제의 하위 수준 기능에 침투하여 바이러스 백신 소프트웨어에 보이지 않게되므로 탐지 및 중지가 매우 어려울 수 있습니다. Secure Boot가 실제로하는 일은 부트 로더가 신뢰할 수있는 소스에서 왔으며 변조되지 않았는지 확인하는 것입니다. "뚜껑이 튀어 나오거나 씰이 훼손된 경우 열지 마십시오"라는 병의 팝업 캡과 같이 생각하십시오.
최고 수준의 보호에는 플랫폼 키 (PK)가 있습니다. 모든 시스템에는 PK가 하나만 있으며 제조 과정에서 OEM에 의해 설치됩니다. 이 키는 KEK 데이터베이스를 보호하는 데 사용됩니다. KEK 데이터베이스에는 다른 보안 부팅 데이터베이스를 수정하는 데 사용되는 키 교환 키가 있습니다. 여러 개의 KEK가있을 수 있습니다. 그런 다음 세 번째 레벨 인 Authorized Database (db)와 Forbidden Datbase (dbx)가 있습니다. 여기에는 각각 인증 기관, 추가 암호화 키 및 UEFI 장치 이미지에 대한 정보가 포함되어 있습니다. 부트 로더에 대한 주문이 실행이 허용 될 수에서는, 암호 열쇠로 서명해야합니다 입니다 DB에, 그리고 하지 DBX에.
Windows 8 빌드 이미지 : UEFI를 사용하여 사전 OS 환경 보호
OEM은 자체 PK를 생성하고 Microsoft는 KEK 데이터베이스에 OEM을 사전로드하는 데 필요한 KEK를 제공합니다. 그런 다음 Microsoft는 Windows 8 Bootloader에 서명하고 KEK를 사용하여이 서명을 Authorized Database에 넣습니다. UEFI는 컴퓨터를 부팅 할 때 PK를 확인하고 Microsoft의 KEK를 확인한 다음 부트 로더를 확인합니다. 모든 것이 좋아 보인다면 OS가 부팅 될 수 있습니다.
Windows 8 빌드 이미지 : UEFI를 사용하여 사전 OS 환경 보호
첫째, 모든 Linux 배포판에서 KEK를 생성하도록 선택하고 기본적으로 KEK 데이터베이스에 포함하도록 OEM에 요청할 수 있습니다. 그런 다음 Microsoft와 마찬가지로 부팅 프로세스를 제어 할 수 있습니다. Fedora의 Matthew Garrett 이 설명했듯이이 문제 는 a) 모든 PC 제조업체가 Fedora의 키를 포함시키는 것이 어렵고 b) 다른 Linux 배포판에는 불공평 할 것입니다. 소규모 배포판에는 OEM 파트너십이 많지 않습니다.
Fedora가 선택한 것은 (그리고 다른 배포판은 다음과 같습니다) Microsoft의 서명 서비스를 사용하는 것입니다. 이 시나리오는 Verisign (Microsoft가 사용하는 인증 기관)에 99 달러를 지불해야하며 개발자에게 Microsoft의 KEK를 사용하여 부트 로더에 서명 할 수있는 권한을 부여합니다. Microsoft의 KEK는 이미 대부분의 컴퓨터에 있으므로 KEK를 요구하지 않고도 부트 로더에 보안 부팅을 사용하도록 서명 할 수 있습니다. 결국 더 많은 컴퓨터와 호환되며 자체 키 서명 및 배포 시스템을 설정하는 것보다 전체 비용이 저렴합니다. 앞에서 언급 한 블로그 게시물에 이것이 작동하는 방법 (GRUB, 서명 된 커널 모듈 및 기타 기술 정보 사용)에 대한 자세한 내용이 있습니다. 이런 종류의 내용에 관심이 있다면 읽어보십시오.
Microsoft 시스템에 가입해야하는 번거 로움을 원치 않거나 99 달러를 내고 싶지 않거나 M으로 시작하는 대기업에 대한 원한이 있다고 가정 해 봅시다. 보안 부팅을 사용하는 또 다른 옵션이 있습니다 Windows 이외의 OS를 실행하십시오. Microsoft의 하드웨어 인증을 사용 하려면 OEM을 통해 사용자가 시스템을 UEFI "사용자 지정"모드로 전환하여 Secure Boot 데이터베이스 및 PK를 수동으로 수정할 수 있어야합니다. 시스템을 UEFI 설정 모드로 전환하여 사용자가 자신의 PK를 지정하고 부트 로더 자체에 서명 할 수도 있습니다.
또한 Microsoft의 자체 인증 요구 사항에 따라 OEM은 비 ARM 시스템에서 보안 부팅을 비활성화하는 방법을 포함시켜야합니다. 보안 부팅을 해제 할 수 있습니다! 보안 부팅을 비활성화 할 수없는 유일한 시스템은 Windows RT를 실행하는 ARM 시스템으로, 사용자 지정 OS를로드 할 수없는 iPad와 더 유사하게 작동합니다. ARM 장치에서 OS를 변경할 수 있기를 원하지만 Microsoft가 여기에서 태블릿과 관련하여 업계 표준을 따르고 있다고 말할 수 있습니다.
보시다시피 보안 부팅은 악한 것이 아니며 Windows에서만 사용하도록 제한되지 않습니다. FSF와 다른 사람들이 FSF에 대해 화를내는 이유는 타사 운영 체제 사용에 추가 단계를 추가하기 때문입니다. Linux 배포판은 Microsoft의 키를 사용하는 것을 선호하지 않지만 Linux에서 Secure Boot를 작동시키는 가장 쉽고 비용 효율적인 방법입니다. 다행히 보안 부팅을 쉽게 해제하고 다른 키를 추가 할 수 있으므로 Microsoft를 다룰 필요가 없습니다.
점점 더 많은 맬웨어가 증가함에 따라 Secure Boot는 합리적인 아이디어처럼 보입니다. 그것은 전 세계를 장악하는 악의적 인 음모가 아니며 일부 자유 소프트웨어 전문가가 당신이 믿게하는 것보다 훨씬 덜 무섭습니다.
TL; DR : 보안 부팅은 부팅 중에 악성 프로그램이 감지 할 수없는 낮은 수준에서 시스템을 감염시키는 것을 방지합니다. 아무도 그것이 작동되도록하는 데 필요한 키를 만들 수 있지만, 배포하는 컴퓨터 제조업체를 설득하기 어렵다 당신의 모든 사람에게 열쇠를, 그래서 당신은 양자 택일 당신의 부트 로더에 서명하고 작동하도록 마이크로 소프트의 키를 사용하여 베리사인을 지불하도록 선택할 수 있습니다. 당신은 또한에 안전한 부팅을 비활성화 할 수 있는 비 ARM 컴퓨터.
보안 부팅에 대한 FSF의 캠페인과 관련하여 마지막으로 생각한 것 : 일부 우려 사항 (즉, 무료 운영 체제를 설치 하기 어렵게 함)은 어느 정도 유효 합니다 . 그러나 위에 설명 된 이유로 제한 사항이 "Windows 이외의 다른 어떤 것도 부팅하지 못하도록"하는 것은 명백한 사실입니다. 기술로서 UEFI / Secure Boot에 대한 캠페인은 근시안적이고 정보가 잘못되어 어쨌든 효과적이지 않을 수 있습니다. 제조업체가 사용자가 원하는 경우 보안 부팅을 비활성화하거나 키를 변경할 수 있도록하는 Microsoft의 요구 사항을 실제로 따르는 것이 더 중요합니다.