Windows 8 및 10에서의 Secure Boot 작동 방식 및 Linux의 의미
최신 PC에는 "보안 부팅"기능이 활성화되어 제공됩니다. 이것은 전통적인 PC BIOS를 대체하는 UEFI의 플랫폼 기능입니다. PC 제조업체가 "Windows 10"또는 "Windows 8"로고 스티커를 자신의 PC에 배치하려면 Microsoft에서 보안 부팅을 사용하도록 설정하고 몇 가지 지침을 따르십시오..
아쉽게도 일부 Linux 배포판을 설치할 수 없으므로 상당히 번거 롭습니다..
어떻게 PC의 부팅 프로세스를 보안 부팅 보안
시큐어 부트는 리눅스 운영을 더욱 어렵게 만들지 않습니다. 시큐어 부팅이 가능하다면 보안상의 실질적인 이점이 있습니다. 심지어 리눅스 사용자도 시큐어 부팅을 사용할 수 있습니다..
기존 BIOS는 모든 소프트웨어를 부팅합니다. PC를 부팅하면 구성한 부팅 순서에 따라 하드웨어 장치를 확인하고 부팅 순서를 시도합니다. 일반적인 PC는 일반적으로 Windows 부트 로더를 찾아서 부팅합니다.이 부트 로더는 전체 Windows 운영 체제를 부팅합니다. Linux를 사용하는 경우 BIOS는 GRUB 부트 로더를 찾아서 부팅합니다. 대부분의 Linux 배포판에서 사용합니다.
그러나 루트 킷과 같은 맬웨어가 부트 로더를 대체 할 수 있습니다. 루트 킷은 정상적인 운영 체제를로드 할 수 있습니다. 아무런 잘못 표시가 없으며 시스템에서 완전히 보이지 않고 탐지되지 않습니다. BIOS는 맬웨어와 신뢰할 수있는 부트 로더의 차이점을 알지 못합니다..
Secure Boot는이를 막기 위해 고안되었습니다. Windows 8 및 10 PC는 UEFI에 저장된 Microsoft의 인증서와 함께 제공됩니다. UEFI는 부트 로더를 시작하기 전에 부트 로더를 검사하여 Microsoft에서 서명했는지 확인합니다. 루트 킷이나 다른 악성 코드가 부트 로더를 대체하거나 훼손하면 UEFI가 부팅을 허용하지 않습니다. 이렇게하면 맬웨어가 부팅 과정을 가로 채고 운영 체제에서 자신을 숨길 수 없게됩니다..
Microsoft가 Linux 배포가 보안 부팅으로 부팅하는 방법
이 기능은 이론 상으로는 악성 코드로부터 보호하기위한 것입니다. 따라서 Microsoft는 Linux 배포판을 부팅 할 수있는 방법을 제공합니다. 이것이 바로 Ubuntu 및 Fedora와 같은 일부 최신 Linux 배포판이 Secure Boot가 활성화 된 경우에도 최신 PC에서 "단지 작동"할 수있는 이유입니다. Linux 배포판은 Microsoft Sysdev 포털에 액세스하기 위해 99 달러의 일회성 수수료를 지불 할 수 있습니다.이 포털에서는 부트 로더에 서명하도록 신청할 수 있습니다.
Linux 배포판에는 일반적으로 "shim"이 서명되어 있습니다. shim은 리눅스 배포판의 메인 GRUB 부트 로더를 단순히 부팅시키는 작은 부트 로더입니다. Microsoft가 서명 한 shim은 Linux 배포판에서 서명 한 부트 로더를 부팅하는지 확인한 다음 정상적으로 부팅됩니다.
우분투, 페도라, 레드햇 엔터프라이즈 리눅스, 오픈 수세는 현재 시큐어 부트 (Secure Boot)를 지원하며, 현대 하드웨어의 개조없이 작동 할 것입니다. 다른 것이있을 수도 있지만, 우리가 알고있는 것들입니다. 일부 Linux 배포판은 Microsoft에서 서명하도록 신청하는 것에 철학적으로 반대합니다..
보안 부팅을 비활성화하거나 제어하는 방법
모든 Secure Boot가 수행 한 경우 Microsoft에서 승인하지 않은 운영 체제를 PC에서 실행할 수 없습니다. 하지만 PC의 UEFI 펌웨어에서 Secure Boot를 제어 할 수 있습니다.이 펌웨어는 구형 PC의 BIOS와 같습니다..
Secure Boot를 제어하는 두 가지 방법이 있습니다. 가장 쉬운 방법은 UEFI 펌웨어로 이동하여 완전히 비활성화하는 것입니다. UEFI 펌웨어는 서명 된 부트 로더를 실행하고 있는지 확인하지 않으며 부팅되는 모든 항목이 표시됩니다. 모든 Linux 배포판을 부팅하거나 Secure Boot를 지원하지 않는 Windows 7을 설치할 수도 있습니다. Windows 8 및 10은 정상적으로 작동하므로 Secure Boot로 부팅 프로세스를 보호하면 보안상의 이점을 잃게됩니다.
또한 Secure Boot를 사용자 정의 할 수 있습니다. Secure Boot가 제공하는 서명 인증서를 제어 할 수 있습니다. 새 인증서를 설치하고 기존 인증서를 제거 할 수 있습니다. 예를 들어 PC에서 Linux를 실행 한 조직은 Microsoft의 인증서를 제거하고 조직의 자체 인증서를 대신 설치할 수 있습니다. 그런 다음 해당 PC는 특정 조직에서 승인하고 서명 한 부트 로더 만 부팅합니다.
개인도이를 수행 할 수 있습니다. 자신의 Linux 부트 로더에 서명하고 PC가 개인적으로 컴파일하고 서명 한 부트 로더 만 부팅 할 수 있도록 할 수 있습니다. 이것이 Secure Boot가 제공하는 제어 및 전원의 종류입니다..
Microsoft가 PC 제조업체에 요구하는 것
Microsoft는 PC에 좋은 "Windows 10"또는 "Windows 8"인증 스티커가 필요한 경우 Secure Boot를 사용하도록 PC 공급 업체에 요구합니다. Microsoft는 PC 제조업체가 특정 방식으로이를 구현하도록 요구합니다..
Windows 8 PC의 경우 제조업체는 Secure Boot를 해제하는 방법을 제공해야했습니다. Microsoft는 PC 제조업체에 사용자의 손에 Secure Boot kill 스위치를 설치하도록 요구했습니다..
Windows 10 PC의 경우 더 이상 필수 사항이 아닙니다. PC 제조업체는 Secure Boot를 사용하도록 선택하고 사용자가 끌 수있는 방법을 제공하지 않을 수 있습니다. 그러나 실제로이 작업을 수행하는 PC 제조업체는 없습니다..
마찬가지로 PC 제조사는 Windows가 부팅 할 수 있도록 Microsoft의 주요 "Microsoft Windows Production PCA"키를 포함해야하지만 "Microsoft Corporation UEFI CA"키를 포함 할 필요가 없습니다. 이 두 번째 키는 권장됩니다. Microsoft가 Linux 부트 로더에 서명하는 데 사용하는 두 번째 옵션 키입니다. Ubuntu의 설명서에서 이에 대해 설명합니다..
다른 말로하면, 모든 PC가 반드시 Secure Boot가 켜져있는 서명 된 Linux 배포판을 부팅하는 것은 아닙니다. 실제로, 우리는 이것을 한 어떤 PC도 보지 못했습니다. 아마도 어떤 PC 제조업체도 Linux를 설치할 수없는 유일한 노트북 라인을 만들고 싶어 할 것입니다..
현재 주류 Windows PC는 원하는 경우 Secure Boot를 비활성화 할 수 있어야하며 Secure Boot를 비활성화하지 않은 경우에도 Microsoft에서 서명 한 Linux 배포를 부팅해야합니다.
Windows RT에서는 보안 부팅을 사용할 수 없지만 Windows RT는 죽었습니다.
위의 모든 사항은 표준 Intel x86 하드웨어의 표준 Windows 8 및 10 운영 체제에 해당됩니다. ARM과 다르다..
Windows RT (Microsoft의 Surface RT 및 Surface 2에서 제공되는 ARM 하드웨어 용 Windows 8 버전)에서 Secure Boot를 비활성화 할 수 없습니다. 현재 Windows 10 Mobile 하드웨어에서는 보안 부팅을 사용하지 않도록 설정할 수 있습니다. 다시 말해 Windows 10을 실행하는 전화.
Microsoft는 ARM 기반 Windows RT 시스템을 PC가 아닌 "장치"라고 생각하기를 원합니다. 마이크로 소프트가 모질라에게 말했듯이, 윈도우 RT는 더 이상 윈도우가 아니다. "
그러나 Windows RT는 이제 죽었습니다. ARM 하드웨어 용 Windows 10 데스크톱 운영 체제 버전이 없으므로 더 이상 걱정할 필요가 없습니다. 그러나 Microsoft가 Windows RT 10 하드웨어를 다시 가져 오면 보안 부팅을 비활성화 할 수 없을 것입니다.
이미지 크레디트 : 대사, John Bristowe