Windows 8과 Secure Boot가 설치된 컴퓨터를 구입해도 Linux를 설치할 수 있나요?

Question

우선, 귀하의 질문에 대한 간단한 답변은 다음과 같습니다.

ARM 태블릿이 있는 경우Windows RT(예: Surface RT 또는 Asus Vivo RT)를 실행 중인 경우보안 부팅을 비활성화하거나 다른 OS를 설치할 수 없습니다.. 다른 많은 ARM 태블릿과 마찬가지로 이러한 장치도오직함께 제공되는 OS를 실행하세요.
ARM이 아닌 컴퓨터를 사용하는 경우Windows 8(예: Surface Pro 또는 x86-64 프로세서가 탑재된 수많은 울트라북, 데스크톱, 태블릿)을 실행 중인 경우보안 부팅을 완전히 비활성화할 수 있습니다, 또는 자체 키를 설치하고 자체 부트로더에 서명할 수 있습니다. 어느 쪽이든,Linux 배포판과 같은 타사 OS를 설치할 수 있습니다FreeBSD나 DOS 등 원하는 대로 선택하세요.

이제 전체 보안 부팅이 실제로 어떻게 작동하는지 자세히 설명하겠습니다. 특히 자유 소프트웨어 재단(Free Software Foundation) 및 이와 유사한 그룹에서 보안 부팅에 대한 잘못된 정보가 많이 있습니다. 이로 인해 Secure Boot가 실제로 수행하는 작업에 대한 정보를 찾기가 어려워졌으므로 최선을 다해 설명하겠습니다. 저는 보안 부팅 시스템이나 그와 유사한 것을 개발한 개인적인 경험이 없습니다. 이것은 제가 온라인에서 읽은 내용입니다.

가장 먼저,보안 부팅은~ 아니다Microsoft가 생각해 낸 것입니다.그들은 그것을 널리 구현한 최초의 사람들이지만 그것을 발명하지는 않았습니다. 그것은UEFI 사양의 일부, 이는 기본적으로 아마도 익숙했던 기존 BIOS를 새롭게 대체한 것입니다. UEFI는 기본적으로 OS와 하드웨어 간에 통신하는 소프트웨어입니다. UEFI 표준은 "UEFI 포럼"는 Microsoft, Apple, Intel, AMD 및 소수의 컴퓨터 제조업체를 포함한 컴퓨팅 업계 대표자들로 구성되어 있습니다.

두 번째로 중요한 점,컴퓨터에서 보안 부팅을 활성화하면~ 아니다이는 컴퓨터가 다른 운영 체제를 부팅할 수 없음을 의미합니다.. 실제로 Microsoft 자체 Windows 하드웨어 인증 요구 사항에는 ARM이 아닌 시스템의 경우 보안 부팅을 비활성화하고 키를 변경할 수 있어야 한다고 명시되어 있습니다(다른 OS를 허용하려면). 나중에 더 자세히 설명하겠습니다.

보안 부팅은 무엇을 합니까?

기본적으로 이는 부팅 순서를 통해 맬웨어가 컴퓨터를 공격하는 것을 방지합니다. 부트로더를 통해 유입되는 악성 코드는 운영 체제의 하위 수준 기능에 침투하여 바이러스 백신 소프트웨어에 보이지 않게 할 수 있기 때문에 탐지 및 차단이 매우 어려울 수 있습니다. Secure Boot가 실제로 수행하는 작업은 부트로더가 신뢰할 수 있는 소스에서 왔으며 변조되지 않았는지 확인하는 것입니다. "뚜껑이 튀어 나오거나 밀봉이 훼손된 경우 열지 마십시오"라고 적힌 병의 팝업 캡과 같다고 생각하십시오.

정품 씰이 파손되면 버튼이 팝업됩니다.

최상위 보호 수준에는 플랫폼 키(PK)가 있습니다. 모든 시스템에는 단 하나의 PK가 있으며 제조 과정에서 OEM에 의해 설치됩니다. 이 키는 KEK 데이터베이스를 보호하는 데 사용됩니다. KEK 데이터베이스는 다른 보안 부팅 데이터베이스를 수정하는 데 사용되는 키 교환 키를 보유합니다. KEK는 여러 개 있을 수 있습니다. 그런 다음 세 번째 수준인 승인된 데이터베이스(db)와 금지된 데이터베이스(dbx)가 있습니다. 여기에는 각각 허용하거나 차단할 인증 기관, 추가 암호화 키, UEFI 장치 이미지에 대한 정보가 포함되어 있습니다. 부트로더를 실행하려면 다음과 같은 키를 사용하여 암호화 서명해야 합니다.~이다db에서, 그리고아니다dbx에서.

플랫폼 키 > KEK > (허용되는 해시 / 허용되지 않는 해시)
^{이미지 출처:Windows 8 구축: UEFI로 OS 이전 환경 보호}

실제 Windows 8 인증 시스템에서 이것이 어떻게 작동하는지

OEM은 자체 PK를 생성하고 Microsoft는 OEM이 KEK 데이터베이스에 사전 로드하는 데 필요한 KEK를 제공합니다. 그런 다음 Microsoft는 Windows 8 부트로더에 서명하고 KEK를 사용하여 이 서명을 승인된 데이터베이스에 저장합니다. UEFI는 컴퓨터를 부팅할 때 PK를 확인하고 Microsoft의 KEK를 확인한 다음 부트로더를 확인합니다. 모든 것이 양호해 보인다면 OS가 부팅될 수 있습니다.

Windows 8의 보안 부팅: 기본 UEFI > 검증된 OS 로더만 > OS 시작/UEFI는 검증된 OS 로더만 실행/맬웨어는 부트 로더를 전환할 수 없음
^{이미지 출처:Windows 8 구축: UEFI로 OS 이전 환경 보호}

Linux와 같은 타사 OS는 어디에 사용되나요?

첫째, 모든 Linux 배포판은 KEK를 생성하고 OEM에게 기본적으로 이를 KEK 데이터베이스에 포함하도록 요청할 수 있습니다. 그러면 그들은 Microsoft만큼 부팅 프로세스에 대한 모든 제어권을 갖게 됩니다. 이에 대한 문제점은 다음과 같습니다.Fedora의 Matthew Garrett이 설명함, a) 모든 PC 제조업체에 Fedora의 키를 포함시키는 것이 어려울 것이며 b) 다른 Linux 배포판에는 키가 포함되지 않고 소규모 배포판에는 OEM이 많지 않기 때문에 불공평할 것입니다. 파트너십.

Fedora가 선택한 것은(다른 배포판도 이를 따르고 있음) Microsoft의 서명 서비스를 사용하는 것입니다. 이 시나리오에서는 Verisign(Microsoft가 사용하는 인증 기관)에 99달러를 지불해야 하며 개발자에게 Microsoft의 KEK를 사용하여 부트로더에 서명할 수 있는 권한을 부여합니다. Microsoft의 KEK는 이미 대부분의 컴퓨터에 있으므로 이를 통해 자체 KEK 없이도 부트로더에 서명하여 보안 부팅을 사용할 수 있습니다. 결국 더 많은 컴퓨터와 더 잘 호환되고 자체 키 서명 및 배포 시스템을 설정하는 것보다 전반적인 비용이 저렴합니다. 앞서 언급한 블로그 게시물에는 이것이 어떻게 작동하는지(GRUB, 서명된 커널 모듈 및 기타 기술 정보 사용)에 대한 자세한 내용이 나와 있습니다. 이런 종류의 내용에 관심이 있다면 읽어 보시기 바랍니다.

Microsoft 시스템에 가입하는 번거로움을 겪고 싶지 않거나, 99달러를 지불하고 싶지 않거나, M으로 시작하는 대기업에 대해 원한을 품고 있다고 가정해 보세요. Secure Boot를 계속 사용하는 또 다른 옵션이 있습니다. Windows가 아닌 다른 OS를 실행합니다.Microsoft의 하드웨어 인증 필요하다OEM은 사용자가 시스템을 UEFI "사용자 정의" 모드로 전환하여 보안 부팅 데이터베이스와 PK를 수동으로 수정할 수 있도록 허용합니다. 시스템을 UEFI 설정 모드로 전환할 수 있으며, 여기서 사용자는 자신의 PK를 지정하고 부트로더에 직접 서명할 수도 있습니다.

또한 Microsoft 자체 인증 요구 사항에 따라 OEM은 비ARM 시스템에서 보안 부팅을 비활성화하는 방법을 포함해야 합니다.보안 부팅을 끌 수 있습니다!보안 부팅을 비활성화할 수 없는 유일한 시스템은 Windows RT를 실행하는 ARM 시스템입니다. 이 시스템은 사용자 지정 OS를 로드할 수 없는 iPad와 더 유사하게 작동합니다. ARM 장치에서 OS를 변경할 수 있으면 좋겠지만 여기서는 Microsoft가 태블릿과 관련하여 업계 표준을 따르고 있다고 말하는 것이 타당합니다.

그렇다면 보안 부팅은 본질적으로 악한 것이 아닌가요?

보시다시피 보안 부팅은 나쁘지 않으며 Windows에서만 사용하도록 제한되지 않습니다. FSF와 다른 사람들이 이에 대해 그렇게 화를 내는 이유는 타사 운영 체제를 사용하는 데 추가 단계를 추가하기 때문입니다. Linux 배포판은 Microsoft 키를 사용하기 위해 비용을 지불하는 것을 좋아하지 않을 수 있지만 Linux에서 보안 부팅을 작동시키는 가장 쉽고 비용 효율적인 방법입니다. 다행히 보안 부팅을 쉽게 끌 수 있고 다른 키를 추가할 수 있으므로 Microsoft와 거래할 필요가 없습니다.

점점 더 발전하는 맬웨어의 양을 고려할 때 Secure Boot는 합리적인 아이디어처럼 보입니다. 이는 세계를 장악하려는 사악한 음모가 아니며 일부 자유 소프트웨어 전문가들이 믿는 것보다 훨씬 덜 무섭습니다.

사악한 UEFI 로고

추가 자료:

요약:보안 부팅은 부팅 중에 감지할 수 없는 낮은 수준에서 맬웨어가 시스템을 감염시키는 것을 방지합니다. 누구나 작동에 필요한 키를 만들 수 있지만 컴퓨터 제조업체가 배포하도록 설득하기는 어렵습니다.당신의키를 모두에게 부여하므로 Verisign에 비용을 지불하고 Microsoft 키를 사용하여 부트로더에 서명하고 작동하게 할 수도 있습니다.보안 부팅을 비활성화할 수도 있습니다.어느ARM이 아닌 컴퓨터.

보안 부팅에 반대하는 FSF의 캠페인과 관련하여 마지막 생각은 다음과 같습니다.더 세게무료 운영 체제를 설치하는 경우)가 유효합니다.어느 시점까지. 그러나 제한 사항이 "Windows 이외의 다른 부팅을 방지한다"고 말하는 것은 위에 설명된 이유로 명백히 거짓입니다. 기술로서의 UEFI/보안 부팅에 반대하는 캠페인은 근시안적이고, 잘못된 정보를 갖고 있으며, 어차피 효과적이지 않을 것입니다. 사용자가 원하는 경우 보안 부팅을 비활성화하거나 키를 변경할 수 있도록 제조업체가 실제로 Microsoft의 요구 사항을 따르는지 확인하는 것이 더 중요합니다.

Answer 1

우선, 귀하의 질문에 대한 간단한 답변은 다음과 같습니다.

ARM 태블릿이 있는 경우Windows RT(예: Surface RT 또는 Asus Vivo RT)를 실행 중인 경우보안 부팅을 비활성화하거나 다른 OS를 설치할 수 없습니다.. 다른 많은 ARM 태블릿과 마찬가지로 이러한 장치도오직함께 제공되는 OS를 실행하세요.
ARM이 아닌 컴퓨터를 사용하는 경우Windows 8(예: Surface Pro 또는 x86-64 프로세서가 탑재된 수많은 울트라북, 데스크톱, 태블릿)을 실행 중인 경우보안 부팅을 완전히 비활성화할 수 있습니다, 또는 자체 키를 설치하고 자체 부트로더에 서명할 수 있습니다. 어느 쪽이든,Linux 배포판과 같은 타사 OS를 설치할 수 있습니다FreeBSD나 DOS 등 원하는 대로 선택하세요.

이제 전체 보안 부팅이 실제로 어떻게 작동하는지 자세히 설명하겠습니다. 특히 자유 소프트웨어 재단(Free Software Foundation) 및 이와 유사한 그룹에서 보안 부팅에 대한 잘못된 정보가 많이 있습니다. 이로 인해 Secure Boot가 실제로 수행하는 작업에 대한 정보를 찾기가 어려워졌으므로 최선을 다해 설명하겠습니다. 저는 보안 부팅 시스템이나 그와 유사한 것을 개발한 개인적인 경험이 없습니다. 이것은 제가 온라인에서 읽은 내용입니다.

가장 먼저,보안 부팅은~ 아니다Microsoft가 생각해 낸 것입니다.그들은 그것을 널리 구현한 최초의 사람들이지만 그것을 발명하지는 않았습니다. 그것은UEFI 사양의 일부, 이는 기본적으로 아마도 익숙했던 기존 BIOS를 새롭게 대체한 것입니다. UEFI는 기본적으로 OS와 하드웨어 간에 통신하는 소프트웨어입니다. UEFI 표준은 "UEFI 포럼"는 Microsoft, Apple, Intel, AMD 및 소수의 컴퓨터 제조업체를 포함한 컴퓨팅 업계 대표자들로 구성되어 있습니다.

두 번째로 중요한 점,컴퓨터에서 보안 부팅을 활성화하면~ 아니다이는 컴퓨터가 다른 운영 체제를 부팅할 수 없음을 의미합니다.. 실제로 Microsoft 자체 Windows 하드웨어 인증 요구 사항에는 ARM이 아닌 시스템의 경우 보안 부팅을 비활성화하고 키를 변경할 수 있어야 한다고 명시되어 있습니다(다른 OS를 허용하려면). 나중에 더 자세히 설명하겠습니다.

보안 부팅은 무엇을 합니까?

기본적으로 이는 부팅 순서를 통해 맬웨어가 컴퓨터를 공격하는 것을 방지합니다. 부트로더를 통해 유입되는 악성 코드는 운영 체제의 하위 수준 기능에 침투하여 바이러스 백신 소프트웨어에 보이지 않게 할 수 있기 때문에 탐지 및 차단이 매우 어려울 수 있습니다. Secure Boot가 실제로 수행하는 작업은 부트로더가 신뢰할 수 있는 소스에서 왔으며 변조되지 않았는지 확인하는 것입니다. "뚜껑이 튀어 나오거나 밀봉이 훼손된 경우 열지 마십시오"라고 적힌 병의 팝업 캡과 같다고 생각하십시오.

정품 씰이 파손되면 버튼이 팝업됩니다.

최상위 보호 수준에는 플랫폼 키(PK)가 있습니다. 모든 시스템에는 단 하나의 PK가 있으며 제조 과정에서 OEM에 의해 설치됩니다. 이 키는 KEK 데이터베이스를 보호하는 데 사용됩니다. KEK 데이터베이스는 다른 보안 부팅 데이터베이스를 수정하는 데 사용되는 키 교환 키를 보유합니다. KEK는 여러 개 있을 수 있습니다. 그런 다음 세 번째 수준인 승인된 데이터베이스(db)와 금지된 데이터베이스(dbx)가 있습니다. 여기에는 각각 허용하거나 차단할 인증 기관, 추가 암호화 키, UEFI 장치 이미지에 대한 정보가 포함되어 있습니다. 부트로더를 실행하려면 다음과 같은 키를 사용하여 암호화 서명해야 합니다.~이다db에서, 그리고아니다dbx에서.

플랫폼 키 > KEK > (허용되는 해시 / 허용되지 않는 해시)
^{이미지 출처:Windows 8 구축: UEFI로 OS 이전 환경 보호}

실제 Windows 8 인증 시스템에서 이것이 어떻게 작동하는지

OEM은 자체 PK를 생성하고 Microsoft는 OEM이 KEK 데이터베이스에 사전 로드하는 데 필요한 KEK를 제공합니다. 그런 다음 Microsoft는 Windows 8 부트로더에 서명하고 KEK를 사용하여 이 서명을 승인된 데이터베이스에 저장합니다. UEFI는 컴퓨터를 부팅할 때 PK를 확인하고 Microsoft의 KEK를 확인한 다음 부트로더를 확인합니다. 모든 것이 양호해 보인다면 OS가 부팅될 수 있습니다.

Windows 8의 보안 부팅: 기본 UEFI > 검증된 OS 로더만 > OS 시작/UEFI는 검증된 OS 로더만 실행/맬웨어는 부트 로더를 전환할 수 없음
^{이미지 출처:Windows 8 구축: UEFI로 OS 이전 환경 보호}

Linux와 같은 타사 OS는 어디에 사용되나요?

첫째, 모든 Linux 배포판은 KEK를 생성하고 OEM에게 기본적으로 이를 KEK 데이터베이스에 포함하도록 요청할 수 있습니다. 그러면 그들은 Microsoft만큼 부팅 프로세스에 대한 모든 제어권을 갖게 됩니다. 이에 대한 문제점은 다음과 같습니다.Fedora의 Matthew Garrett이 설명함, a) 모든 PC 제조업체에 Fedora의 키를 포함시키는 것이 어려울 것이며 b) 다른 Linux 배포판에는 키가 포함되지 않고 소규모 배포판에는 OEM이 많지 않기 때문에 불공평할 것입니다. 파트너십.

Fedora가 선택한 것은(다른 배포판도 이를 따르고 있음) Microsoft의 서명 서비스를 사용하는 것입니다. 이 시나리오에서는 Verisign(Microsoft가 사용하는 인증 기관)에 99달러를 지불해야 하며 개발자에게 Microsoft의 KEK를 사용하여 부트로더에 서명할 수 있는 권한을 부여합니다. Microsoft의 KEK는 이미 대부분의 컴퓨터에 있으므로 이를 통해 자체 KEK 없이도 부트로더에 서명하여 보안 부팅을 사용할 수 있습니다. 결국 더 많은 컴퓨터와 더 잘 호환되고 자체 키 서명 및 배포 시스템을 설정하는 것보다 전반적인 비용이 저렴합니다. 앞서 언급한 블로그 게시물에는 이것이 어떻게 작동하는지(GRUB, 서명된 커널 모듈 및 기타 기술 정보 사용)에 대한 자세한 내용이 나와 있습니다. 이런 종류의 내용에 관심이 있다면 읽어 보시기 바랍니다.

Microsoft 시스템에 가입하는 번거로움을 겪고 싶지 않거나, 99달러를 지불하고 싶지 않거나, M으로 시작하는 대기업에 대해 원한을 품고 있다고 가정해 보세요. Secure Boot를 계속 사용하는 또 다른 옵션이 있습니다. Windows가 아닌 다른 OS를 실행합니다.Microsoft의 하드웨어 인증 필요하다OEM은 사용자가 시스템을 UEFI "사용자 정의" 모드로 전환하여 보안 부팅 데이터베이스와 PK를 수동으로 수정할 수 있도록 허용합니다. 시스템을 UEFI 설정 모드로 전환할 수 있으며, 여기서 사용자는 자신의 PK를 지정하고 부트로더에 직접 서명할 수도 있습니다.

또한 Microsoft 자체 인증 요구 사항에 따라 OEM은 비ARM 시스템에서 보안 부팅을 비활성화하는 방법을 포함해야 합니다.보안 부팅을 끌 수 있습니다!보안 부팅을 비활성화할 수 없는 유일한 시스템은 Windows RT를 실행하는 ARM 시스템입니다. 이 시스템은 사용자 지정 OS를 로드할 수 없는 iPad와 더 유사하게 작동합니다. ARM 장치에서 OS를 변경할 수 있으면 좋겠지만 여기서는 Microsoft가 태블릿과 관련하여 업계 표준을 따르고 있다고 말하는 것이 타당합니다.

그렇다면 보안 부팅은 본질적으로 악한 것이 아닌가요?

보시다시피 보안 부팅은 나쁘지 않으며 Windows에서만 사용하도록 제한되지 않습니다. FSF와 다른 사람들이 이에 대해 그렇게 화를 내는 이유는 타사 운영 체제를 사용하는 데 추가 단계를 추가하기 때문입니다. Linux 배포판은 Microsoft 키를 사용하기 위해 비용을 지불하는 것을 좋아하지 않을 수 있지만 Linux에서 보안 부팅을 작동시키는 가장 쉽고 비용 효율적인 방법입니다. 다행히 보안 부팅을 쉽게 끌 수 있고 다른 키를 추가할 수 있으므로 Microsoft와 거래할 필요가 없습니다.

점점 더 발전하는 맬웨어의 양을 고려할 때 Secure Boot는 합리적인 아이디어처럼 보입니다. 이는 세계를 장악하려는 사악한 음모가 아니며 일부 자유 소프트웨어 전문가들이 믿는 것보다 훨씬 덜 무섭습니다.

사악한 UEFI 로고

추가 자료:

요약:보안 부팅은 부팅 중에 감지할 수 없는 낮은 수준에서 맬웨어가 시스템을 감염시키는 것을 방지합니다. 누구나 작동에 필요한 키를 만들 수 있지만 컴퓨터 제조업체가 배포하도록 설득하기는 어렵습니다.당신의키를 모두에게 부여하므로 Verisign에 비용을 지불하고 Microsoft 키를 사용하여 부트로더에 서명하고 작동하게 할 수도 있습니다.보안 부팅을 비활성화할 수도 있습니다.어느ARM이 아닌 컴퓨터.

보안 부팅에 반대하는 FSF의 캠페인과 관련하여 마지막 생각은 다음과 같습니다.더 세게무료 운영 체제를 설치하는 경우)가 유효합니다.어느 시점까지. 그러나 제한 사항이 "Windows 이외의 다른 부팅을 방지한다"고 말하는 것은 위에 설명된 이유로 명백히 거짓입니다. 기술로서의 UEFI/보안 부팅에 반대하는 캠페인은 근시안적이고, 잘못된 정보를 갖고 있으며, 어차피 효과적이지 않을 것입니다. 사용자가 원하는 경우 보안 부팅을 비활성화하거나 키를 변경할 수 있도록 제조업체가 실제로 Microsoft의 요구 사항을 따르는지 확인하는 것이 더 중요합니다.

Windows 8과 Secure Boot가 설치된 컴퓨터를 구입해도 Linux를 설치할 수 있나요?

답변1

보안 부팅은 무엇을 합니까?

실제 Windows 8 인증 시스템에서 이것이 어떻게 작동하는지

Linux와 같은 타사 OS는 어디에 사용되나요?

그렇다면 보안 부팅은 본질적으로 악한 것이 아닌가요?

추가 자료:

관련 정보