Nové počítače a notebooky sú už dávno vybavené starým systémom BIOS „uefi“. Argument „zabezpečenie“ sa však nesprávne používa na to, aby sťažil zavedenie systému z disku CD alebo USB (napríklad GParted, obnova škodlivého softvéru alebo distribúcia Linuxu). V tomto článku si môžete prečítať, prečo tomu tak je a ako môžete stále bootovať, ako chcete.
Čo je to uefi?
Než začneme, nezaškodí si prejsť niektorými pojmami. Uefi je skratka pre „unified extensible firmware interface“ (rozhranie unifikovaného rozšíriteľného firmvéru) a je akoby vlastným počítačovým operačným systémom. Klasický bios (základný vstupno / výstupný systém) je firmvér, ale uefi leží medzi firmvérom a operačným systémom. Uefi a bios môžu koexistovať na rovnakom počítači.
V minulosti existovalo aj efi (rozšíriteľné rozhranie firmvéru). Vyvinula ju spoločnosť Intel, ale od roku 2005 sa Intel zúčastňuje fóra UEFI: konzorcia spoločností z počítačového priemyslu, ktoré ďalej rozvíja uefi. Uefi je „zjednotený“, pretože je založený výlučne na softvéri: predtým bol systém BIOS zostavený osobitne pre každý čip, uefi je omnoho všeobecnejší.
V tomto článku sa ponoríme do sveta uefi. Každý počítač alebo notebook je dnes vybavený rozhraním UEFI. Je to zmena, ktorá sa pre niektorých používateľov zrejme zmenila veľmi náhle. Uefi má veľa pozitívneho: základné nastavenie počítača sa ovláda ľahšie, je tu viac funkcií a počítač sa rýchlejšie naštartuje.
Bohužiaľ však existujú aj nevýhody: pre používateľov je zavedenie z iného média, napríklad z USB kľúča, o niečo zložitejšie a komplikovanejšie. Mnoho výrobcov počítačov nastúpilo na svoje uefi takým spôsobom, že to nie je len možné. Situácia sa navyše skomplikovala kvôli spätnej kompatibilite, takže stále môžete začať od biosu v prostredí uefi.
V tomto článku sa pozrieme na to, ako presne bootovanie z uefi funguje s USB kľúčmi, ako a prečo je to zabednené. A tieto vedomosti tiež aplikujeme praktickým spôsobom na rozbeh s alternatívnymi médiami.
01 čln Uefi
V okamihu, keď sa počítač spustí, správca zavedenia uefi začne pracovať. Prezerá konfiguráciu bootovania a načíta nastavenia firmvéru do pamäte. Potom sa spustí jadro predvoleného operačného systému. Nastavenia firmvéru, ktoré sú uložené v nvram, obsahujú cestu k súboru efi, ktorý sa má spustiť. Mimochodom, Nvram znamená energeticky nezávislú pamäť s náhodným prístupom, ktorá sa nachádza na základnej doske. Energeticky nezávislé znamená, že údaje sa uchovávajú v pamäti, aj keď je napájanie vypnuté.
Spúšťacie súbory sa nachádzajú v oddiele efi, známom tiež ako ESP (systémový oddiel efi). Takýto oddiel je jednoduchý oddiel fat32 a má priečinok pre každý operačný systém v počítači. Každý priečinok obsahuje jeden súbor efi vytvorený nainštalovaným operačným systémom. Takýto súbor EFI je vytvorený v programovacom jazyku UEFI veľmi podobnom jazyku C a tento súbor spúšťa skutočný operačný systém.
Výhodou uefi je, že dokáže automaticky detekovať nové bootovacie ciele uefi. Takto môžete ľahko zaviesť systém z iného média. Na povolenie tejto funkcie uefi používa štandardné cesty na definovanie bootloaderu. Takáto cesta a názov súboru sú napr /efi/boot/boot_x64.efi pre 64bitový systém a pre architektúru ARM by to bol súbor bootaa64.efi zavolal.
Najmä na začiatku zavedenia UEFI niekedy nastali problémy so začatím činnosti. Každý bootloader mal svoje vlastné problémy alebo zvláštnosti. Napríklad Windows 7 vytvoril nový fat32-ESP, aj keď už existoval s fat16. Potom zlyhala inštalácia. Mnoho distribúcií Linuxu používalo na vytvorenie fat16-ESP. Ubuntu 11.04 a 11.10 mali navyše vážnu chybu, pri ktorej sa ESP niekedy nechtiac vyprázdnil.
Pri bootovaní je dôležitý ešte jeden termín: CSM, čo je skratka pre modul podpory kompatibility a poskytuje podporu pre staršie bootovanie poskytovaním podpory pre BIOS. CSM môžete povoliť, iba ak je vypnutá možnosť Secure Boot, ale viac o tom v sekcii 3.
02 Gpt
GPT alebo „tabuľka rozdelenia GUID“ nahrádza starý MBR (hlavný zavádzací záznam), spôsob, akým sa predtým delili disky. GPT je súčasťou uefi. Od systému Windows Vista sa systém Windows dá zaviesť iba z diskov gpt v uefi. Hlavička oddielu disku gpt obsahuje informácie o tom, ktoré bloky je možné na disku použiť. Táto hlavička obsahuje aj „guid“ disku: všeobecný jedinečný identifikátor, jedinečné identifikačné číslo. Disk gpt môže byť základný alebo dynamický, rovnako ako mbr. GPT podporuje až 128 oddielov a automaticky zálohuje tabuľku oddielov GPT.
Problémom hlavného bootovacieho záznamu bolo, že bol zastaraný: napríklad sa nedali spustiť disky väčšie ako 2 TB. GPT podporuje disky s veľkosťou až 9,4 ZB. To sú zetabyty alebo 9,4 x 10 ^ 21. Mimochodom, gpt v úplne prvom bloku stále obsahuje mbr z dôvodov kompatibility. Toto je v bloku 0. V bloku 1 je hlavička gpt a zvyšok sú oddiely.
03 Zabezpečené spustenie
Secure Boot je súčasťou uefi a má zabrániť malvéru napadnúť firmvér. Takýto malware je veľmi nepríjemný, pretože môže prežiť preinštalovanie operačného systému, pretože sa usadí vo firmvéri. Princíp bezpečného spustenia je veľmi jednoduchý: spúšťajú sa iba binárne súbory (iba s kódom), ktoré sú podpísané dôveryhodnou stranou. Malware teoreticky nie je možné podpísať, čo blokuje malware. Spoločnosti si môžu nechať svoj binárny súbor uefi podpísať spoločnosťou Microsoft. Väčšina serverov UEFI obsahuje verejné kľúče spoločnosti Microsoft. Keď má spoločnosť podpísaný svoj binárny kód, robí sa to pomocou súkromného kľúča spoločnosti Microsoft, aby firmvér tento binárny súbor rozpoznal a spustil.
Ubuntu už videlo búrku, a preto získalo svoje binárne súbory podpísané spoločnosťou Microsoft. Preto môžete Ubuntu v systémoch uefi používať od roku 2012. Ak chcete používať distribúciu systému Linux, ktorá nie je podpísaná, môžete buď zakázať zabezpečené spustenie v rozhraní uefi, alebo môžete nainštalovať vlastné kľúče do rozhrania uefi. Nakoniec sa pre zabezpečené spustenie použije architektúra verejného a súkromného kľúča, takže môžete nainštalovať verejný kľúč binárneho súboru, potom ho možno spustiť obvyklým spôsobom.
