UEFI

Średnia UEFI (angielskiego Unified Extensible Firmware Interface , co oznacza w języku francuskim  : "Unified Extensible Firmware Interface") definiuje interfejs pomiędzy oprogramowaniem ( firmware ) i systemu operacyjnego (OS) z komputerem . Ten interfejs przejmuje od BIOSu na niektórych płytach głównych .

Historia

UEFI jest następcą EFI ( Extensible Firmware Interface ), zaprojektowanego przez firmę Intel dla procesorów Itanium .

AMD , American Megatrends , Apple , Dell , HP , Intel , IBM , Insyde Software, Microsoft i Phoenix Technologies są promotorami UEFI Forum, które wyznacza standardy dla tej technologii.

UEFI Forum pracuje nad specyfikacją UEFI od 2005 roku i opublikował pierwsze oficjalne specyfikacje UEFI 2.0 na początku 2006 r UEFI nie jest więc norma , ale standard techniczny wynikający z porozumienia z grupą przemysłowców.

Opis

UEFI zapewnia BIOSowi wiele korzyści: standardowe funkcje sieciowe, dobrą rozdzielczość GUI, zintegrowane zarządzanie wieloma instalacjami systemów operacyjnych i ogranicza liczbę dysków pocztowych do 2,2  TB .

BIOS napisany w języku asemblera , ograniczone modyfikacje i / lub zamienniki, gwarancja bezpieczeństwa i ochrony operacyjnej.

Interfejs UEFI jest napisany w języku C , dzięki czemu jego konserwacja jest bardziej elastyczna i pozostaje akceptowalna ze względu na malejące koszty pamięci. Opracowany w celu zapewnienia niezależności między systemem operacyjnym a platformą sprzętową, na której działa, UEFI jest dostępny na platformach Itanium (IA-64), x86 ( 32 i 64  bity ) oraz ARM .

Generał

Jedną z funkcji UEFI jest uruchamianie systemu operacyjnego, wcześniej zapewnianego przez BIOS.

Specyfikacje UEFI definiują menedżera rozruchu, którego rolą jest przechowywanie sterowników i programu ładującego system operacyjny wymaganych do rozruchu. Ten program ładujący jest klasą aplikacji UEFI przechowywanych jako pliki w systemie plików dostępnym dla oprogramowania układowego. Obsługiwane systemy plików to FAT32, FAT16 i FAT12 (ale nie exFAT lub NTFS). Obsługiwane tabele partycji obejmują formaty MBR i GPT . W przeciwieństwie do systemu BIOS, UEFI nie wymaga, aby sektor rozruchowy znajdował się w określonej lokalizacji.

Architektura UEFI

Wiele płyt głównych nadal opiera się na hybrydowym oprogramowaniu układowym opartym na pakiecie CSM ( Compatiblity Support Module ) , dzięki czemu stare przerwania BIOS-u mogą być używane dla niektórych usług.

Oficjalna terminologia UEFI dzieli sześć odrębnych stanów w procesach uruchamiania systemu operacyjnego:

System operacyjny

funkcje

Zarządzanie dyskiem

Oprócz klasycznego partycjonowania przez MBR (ograniczone do 2,2  TB ), UEFI zarządza dyskami, nowym systemem partycjonowania zwanym GPT ( globalnie unikalna tablica partycji ). GPT pozwala na 128 partycji podstawowych na nośnikach o pojemności do  9,4BB (zettabajt, miliard terabajtów). W ten sposób UEFI umożliwia uruchamianie z dysków o pojemności 2,2  TB i większej.

Dzięki zarządzaniu dyskami niskiego poziomu klonowanie dysków jest możliwe bez przechodzenia przez system operacyjny , co znacznie ułatwia kopiowanie dysków obsługujących wiele systemów operacyjnych.

Powłoka UEFI

UEFI zapewnia środowisko powłoki podobne do tego, które można znaleźć w powłoce systemu Unix . Może być używany do uruchamiania innych aplikacji UEFI, w tym programów ładujących UEFI . Możliwe jest uzyskanie szerokiej gamy informacji o systemie i oprogramowaniu , modyfikowanie zmiennych lub edycja plików tekstowych, a także pisanie lub uruchamianie plików skryptowych z rozszerzeniem .nsh.

Metody uruchamiania powłoki UEFI zależą od producenta i modelu płyty głównej. Najczęściej oprogramowanie układowe umożliwia bezpośrednie uruchomienie. W przypadku wersji skompilowanych dla x86-64 potrzebny jest plik <EFI_SYSTEM_PARTITION>/SHELLX64.EFI. Musisz użyć polecenia, bcfgaby zmodyfikować skojarzoną powłokę.

W większości poleceń nie jest rozróżniana wielkość liter, ale nie zawsze ścieżki i nazwy plików, w zależności od typu używanego systemu plików. Użycie polecenia help -bumożliwia wyświetlanie pomocy strona po stronie. Opcja -bznajduje się w większości poleceń, aby wyświetlać stronę po stronie. Znaku >można użyć do przekierowania strumienia wyjściowego polecenia do pliku tekstowego. Na przykład polecenie help > aide.txtzapisuje pomoc w pliku aide.txt.

Kod źródłowy powłoki UEFI można pobrać ze strony projektu TianoCore.

Uruchom bezpieczny ( bezpieczny rozruch )

Od wersji 2.3.1 UEFI zawiera funkcję, która umożliwia uruchamianie tylko w rozpoznawanych systemach operacyjnych. Ta funkcja ma na celu zablokowanie uruchamiania systemu operacyjnego uszkodzonego w szczególności przez wirusa lub rootkita . Kiedy została wydana, ta funkcja powodowała problemy z niektórymi dystrybucjami Linuksa, które nie były kompatybilne.

W trybie „ bezpiecznego rozruchu ” UEFI wykorzystuje mechanizm weryfikacji podpisu cyfrowego . Oprogramowanie układowe zabrania ładowania sterownika lub jądra, którego sygnatura nie odpowiada tej zapisanej w pamięci ROM.

Bezpieczny rozruch i bezpłatne oprogramowanie

W wolnym oprogramowaniem świata The EFR i Linus Torvalds wypowiedzą jak nienormalnym tej funkcji „  utrudniających instalację i korzystanie z dowolnym systemem operacyjnym konkurującego z Windows  ”, Torvalds krytykuje kompromisów zaakceptowane przez Red Hat i Canonical dla móc zainstalować Linux na maszynach gdzie bezpieczny rozruch jest aktywowany (zakup klucza bezpieczeństwa).

Do połowy 2012 roku nie wszystkie dystrybucje przyjęły sygnaturę systemu operacyjnego , a niektóre z nich nie mogły jej przyjąć ze względu na swój status.

Od początku 2013 r. Istniały dwa programy ładujące podpisane przez Microsoft, a zatem rozpoznawane przez komputery z certyfikatem Windows 8  : Shim i Linux Foundation Secure Boot System .

Dystrybucja Bezpieczna pozycja rozruchowa
Ubuntu Obsługiwane od wersji 12.10 i 12.04.2 LTS
Fedora Obsługiwane od wersji 18
openSUSE Obsługiwane od wersji 12.3
RHEL Obsługiwane od wersji 7
Debian Obsługiwane od wersji 10
OpenBSD Z powodu braku współpracy z firmą Microsoft ta funkcja nie jest obsługiwana.
Windows

Microsoft Windows 8 opcjonalnie obsługuje bezpieczny rozruch dzięki podpisowi cyfrowemu wysyłanemu do producentów płyt głównych.

Zgodnie z programem certyfikacji systemu Windows urządzenia inne niż ARM muszą obowiązkowo oferować dwa bezpieczne tryby rozruchu , „Standardowy” i „Niestandardowy”, w których użytkownik może nie tylko dodawać lub usuwać dodatkowe podpisy, ale także dezaktywować bezpieczny rozruch (wymagana fizyczna obecność użytkownika ).

Wręcz przeciwnie, na urządzeniach ARM Microsoft zabrania producentom dezaktywacji bezpiecznego rozruchu .

Sprawa Ubuntu

Forum Ubuntu przedstawia dwa sposoby uruchomienia tej dystrybucji:

  1. niezależnie od UEFI;
  2. lub przez uznanie go przez UEFI.

Pierwsze rozwiązanie w zasadzie może działać, ponieważ omija UEFI z inną dystrybucją Linuksa, zainstalowaną na dysku SSD podłączonym na przykład przez USB3, eSATA lub USB2. To postanowienie zezwalające na nieautoryzowany dostęp (prawdopodobnie złośliwy) będzie wymagało monitorowanego lub zablokowanego dostępu fizycznego lub szyfrowania informacji na dysku za pomocą na przykład VeraCrypt lub równoważnego, wraz z rygorystycznymi kopiami zapasowymi.

Krytyka i kontrowersje

Zgodność z alternatywnymi systemami operacyjnymi

Nie wszystkie systemy operacyjne obsługują bezpieczny rozruch .

Jeśli użytkownik nie wyłączy bezpiecznego rozruchu w UEFI, może to uniemożliwić korzystanie z niektórych bezpłatnych lub alternatywnych systemów operacyjnych .

W świecie wolnego oprogramowania pojawia się kilka głosów, które potępiają fakt, że podpis pochodzi głównie lub nawet wyłącznie od firmy Microsoft , a nie od innych wydawców oprogramowania .

John Sullivan

John Sullivan ( dyrektor wykonawczy FSF ) nie wierzył, że głównym powodem „  bezpiecznego rozruchu  ”, który raczej nazywa wyłącznym rozruchem , jest bezpieczeństwo, ale utrudnienie instalacji konkurencyjnych systemów operacyjnych (bez podpisu lub bez podpisu zaakceptowanego przez producent sprzętu) i wywołał kontrowersje.

Microsoft i Intel powiedzieli, że zarówno użytkownicy, jak i producenci mogą wyłączyć tę funkcję na komputerach z interfejsem UEFI, które na to pozwolą.

Linus Torvalds

Z drugiej strony Linus Torvalds początkowo powiedział, że sam zakup certyfikatu cyfrowego za 99  dolarów na pokrycie całej dystrybucji nie wydawał mu się „wielką transakcją”.

Uwagi i odniesienia

  1. (in) lista członków na uefi.org, dostęp 31 stycznia 2018.
  2. (w) "Log / Grub2 / changelog" na gnu.org , 4 czerwca 2006 (dostępny na 1 st październik 2013).
  3. (w) "ChangeLog-2.4.20" na kernel.org , 28 listopada 2002 (dostępny na 1 st październik 2013).
  4. (w) „The EFI Boot Stub” na kernel.org (dostęp 12 grudnia 2019).
  5. (w) „ChangeLog-3.3.5” na kernel.org , 7 maja 2012 (dostęp 12 grudnia 2019).
  6. „Secure boot and Linux: Critics Rise and FSF Petition” , na zdnet.fr , 31 stycznia 2013 (dostęp: 6 maja 2013).
  7. „Secure boot and Linux: 'it's not a pipe contest', wściekły Linus Torvalds” , na zdnet.fr , 27 lutego 2013 (dostęp: 6 maja 2013).
  8. „Secure Boot: Canonical będzie miał własny klucz bezpieczeństwa dla Ubuntu” , na pcinpact.com , 27 czerwca 2012 (dostęp: 30 czerwca 2012).
  9. (in) „Bezpieczny bootloader dla dystrybucji już dostępnych” na mjg59.dreamwidth.org , 30 listopada 2012 (dostęp: 14 lutego 2013).
  10. (w) „Wydano Secure Boot System Linux Foundation” na blog.hansenpartnership.com , 8 lutego 2013 (dostęp: 14 lutego 2013).
  11. (in) „  Wydano Ubuntu 12.10 (Quantal Quetzal)!  » , Na ubuntu-news.org (dostęp 12 grudnia 2019 r . ) .
  12. (w) „  Wydano Ubuntu 12.04.2 LTS  ” na stronie ubuntu-news.org (dostęp 12 grudnia 2019 r . ) .
  13. (w) „  Release Notes  ” na docs.fedoraproject.org (dostęp 11 grudnia 2019 ) .
  14. (in) „  openSUSE: UEFI  ” na en.opensuse.org (dostęp 15 czerwca 2015 ) .
  15. (in) „  Unified Extensible Firmware Interface (UEFI) Secure Boot  ” na access.redhat.com (dostęp 12 grudnia 2019 ) .
  16. (w) „  SecureBoot  ” na wiki.debian.org (dostęp 10 grudnia 2019 ) .
  17. „OpenBSD oskarża Red Hat and Canonical o zdradę”, na lemondeinformatique.fr , 27 lipca 2012 (dostęp: 30 lipca 2012).
  18. W przypadku firmy Microsoft bezpieczny rozruch związany z UEFI nie jest problemem w systemie Windows 8. , na stronie generation-nt.com, 23 września 2011 r., Dostęp 26 listopada 2017 r.
  19. (in) „  Microsoft potwierdza obawy dotyczące UEFI, blokuje urządzenia ARM  ” softwarefreedom.org , 12 stycznia 2012 r.
  20. uefi , na ubuntu-fr.org, dostęp 26 listopada 2017
  21. Richard M. Stallman, President , na fsf.org, dostęp 26 listopada 2017
  22. (w) John Sullivan, Zalecenia Free Software Foundation dotyczące bezpłatnych dystrybucji systemów operacyjnych Biorąc pod uwagę Secure Boot  : „  Bez wątpienia jest to przeszkoda, której nie potrzebujemy w tej chwili i jest wysoce wątpliwa. trudności, jakie spowoduje to w praktyce dla użytkowników próbujących faktycznie zapewnić sobie bezpieczeństwo uciekając z Microsoft Windows.  "
  23. (w) „  UEFI secure booting  ” , Strona internetowa Matthew Garretta , programisty Red Hat , 20 września 2011.
  24. (w) „  Bezpieczne uruchamianie UEFI ( część 2 )  ” , witryna internetowa Matthew Garretta , programisty Red Hat , 23 września 2011 r.
  25. (w) „  Ochrona środowiska przed systemem operacyjnym za pomocą UEFI  ” , blogs.msdn.com , 22 września 2011 r.

Zobacz też

Alternatywne rozwiązanie

Linki zewnętrzne