Beranda » bagaimana » Jika Saya Membeli Komputer dengan Windows 8 dan Boot Aman, Dapatkah Saya Masih Menginstal Linux?

    Jika Saya Membeli Komputer dengan Windows 8 dan Boot Aman, Dapatkah Saya Masih Menginstal Linux?

    Sistem Boot Aman UEFI baru di Windows 8 telah menyebabkan kebingungan yang adil, terutama di antara dual booters. Baca terus saat kami menjernihkan kesalahpahaman tentang dual boot dengan Windows 8 dan Linux.

    Sesi Tanya Jawab hari ini datang kepada kami berkat SuperUser-subdivisi Stack Exchange, pengelompokan situs web Q&A berbasis komunitas.

    Pertanyaan

    Pembaca SuperUser Harsha K ingin tahu tentang sistem UEFI baru. Dia menulis:

    Saya telah mendengar banyak tentang bagaimana Microsoft menerapkan UEFI Secure Boot di Windows 8. Tampaknya itu mencegah bootloader "tidak sah" dari berjalan di komputer, untuk mencegah malware. Ada kampanye oleh Free Software Foundation terhadap boot aman, dan banyak orang mengatakan secara online bahwa itu adalah "perebutan kekuasaan" oleh Microsoft untuk "menghilangkan sistem operasi gratis".

    Jika saya mendapatkan komputer yang sudah menginstal Windows 8 dan Boot Aman, apakah saya masih dapat menginstal Linux (atau OS lain) nanti? Atau apakah komputer dengan Boot Aman hanya berfungsi dengan Windows?

    jadi, apa kesepakatannya? Apakah dual booters benar-benar kurang beruntung?

    Jawabannya

    Kontributor SuperUser, Nathan Hinkle, menawarkan tinjauan fantastis tentang apa UEFI itu dan tidak:

    Pertama-tama, jawaban sederhana untuk pertanyaan Anda:

    • Jika Anda memiliki tablet ARM menjalankan Windows RT (seperti Surface RT atau Asus Vivo RT), lalu Anda tidak akan dapat menonaktifkan Boot Aman atau menginstal OS lain. Seperti banyak tablet ARM lainnya, perangkat ini akan melakukannya hanya jalankan OS yang mereka datangi.
    • Jika Anda memiliki komputer non-ARM menjalankan Windows 8 (seperti Surface Pro atau semua ultrabook, desktop, dan tablet segudang dengan prosesor x86-64), lalu Anda dapat menonaktifkan Boot Aman sepenuhnya, atau Anda dapat menginstal kunci Anda sendiri dan menandatangani bootloader Anda sendiri. Either way, Anda dapat menginstal OS pihak ketiga seperti distro Linux atau FreeBSD atau DOS atau apa pun yang menyenangkan Anda.

    Sekarang, lanjutkan ke detail bagaimana keseluruhan proses Boot Aman ini bekerja: Ada banyak informasi yang salah tentang Boot Aman, terutama dari Free Software Foundation dan grup serupa. Ini membuat sulit untuk menemukan info tentang apa sebenarnya Boot Aman sebenarnya, jadi saya akan mencoba yang terbaik untuk menjelaskan. Perhatikan bahwa saya tidak punya pengalaman pribadi dengan mengembangkan sistem boot yang aman atau yang seperti itu; inilah yang saya pelajari dari membaca online.

    Pertama-tama, Boot Aman adalah tidak sesuatu yang muncul dengan Microsoft. Mereka adalah orang pertama yang mengimplementasikannya secara luas, tetapi mereka tidak menemukannya. Ini adalah bagian dari spesifikasi UEFI, yang pada dasarnya merupakan pengganti yang lebih baru untuk BIOS lama yang mungkin sudah biasa Anda gunakan. UEFI pada dasarnya adalah perangkat lunak yang berbicara antara OS dan perangkat keras. Standar UEFI dibuat oleh kelompok yang disebut "Forum UEFI", yang terdiri dari perwakilan industri komputasi termasuk Microsoft, Apple, Intel, AMD, dan beberapa produsen komputer.

    Poin terpenting kedua, memiliki Boot Aman diaktifkan di komputer tidak tidak berarti bahwa komputer tidak pernah dapat mem-boot sistem operasi lain. Faktanya, Persyaratan Sertifikasi Perangkat Keras Windows Microsoft menyatakan bahwa untuk sistem non-ARM, Anda harus dapat menonaktifkan Boot Aman dan mengubah kunci (untuk mengizinkan OS lain). Lebih lanjut tentang itu nanti.

    Apa yang dilakukan Boot Aman?

    Pada dasarnya, ini mencegah malware menyerang komputer Anda melalui urutan boot. Malware yang masuk melalui bootloader bisa sangat sulit dideteksi dan dihentikan, karena dapat menyusup ke fungsi sistem operasi tingkat rendah, sehingga tidak terlihat oleh perangkat lunak antivirus. Semua yang dilakukan Secure Boot benar-benar memverifikasi bahwa bootloader berasal dari sumber tepercaya, dan itu belum dirusak. Anggap saja seperti topi pop-up pada botol yang mengatakan "jangan buka jika tutupnya muncul atau segel telah dirusak".

    Di tingkat perlindungan teratas, Anda memiliki kunci platform (PK). Hanya ada satu PK pada sistem apa pun, dan diinstal oleh OEM selama manufaktur. Kunci ini digunakan untuk melindungi basis data KEK. Basis data KEK menampung Key Exchange Key, yang digunakan untuk memodifikasi basis data boot aman lainnya. Mungkin ada beberapa KEK. Kemudian ada tingkat ketiga: Database Resmi (db) dan Forbidden Datbase (dbx). Ini berisi informasi tentang Otoritas Sertifikat, kunci kriptografi tambahan, dan gambar perangkat UEFI untuk masing-masing mengizinkan atau memblokir. Agar bootloader diizinkan untuk berjalan, itu harus ditandatangani secara kriptografi dengan kunci itu aku s di db, dan tidak di dbx.

    Gambar dari Building Windows 8: Melindungi lingkungan pra-OS dengan UEFI

    Bagaimana ini bekerja pada sistem Bersertifikat Windows 8 dunia nyata

    OEM menghasilkan PK sendiri, dan Microsoft menyediakan KEK yang diminta oleh OEM untuk dimuat sebelumnya ke dalam basis data KEK. Microsoft kemudian menandatangani Bootloader Windows 8, dan menggunakan KEK mereka untuk meletakkan tanda tangan ini di Database Resmi. Ketika UEFI mem-boot komputer, itu memverifikasi PK, memverifikasi KEK Microsoft, dan kemudian memverifikasi bootloader. Jika semuanya terlihat bagus, maka OS bisa boot.


    Gambar dari Building Windows 8: Melindungi lingkungan pra-OS dengan UEFI

    Di mana OS pihak ketiga, seperti Linux, masuk?

    Pertama, setiap distro Linux dapat memilih untuk membuat KEK dan meminta OEM untuk memasukkannya ke dalam basis data KEK secara default. Mereka kemudian akan memiliki setiap bit sebanyak kontrol atas proses boot seperti halnya Microsoft. Masalah dengan ini, seperti yang dijelaskan oleh Matthew Garrett dari Fedora, adalah bahwa a) akan sulit untuk membuat setiap produsen PC memasukkan kunci Fedora, dan b) itu tidak adil untuk distro Linux lain, karena kunci mereka tidak akan disertakan , karena distro yang lebih kecil tidak memiliki banyak kemitraan OEM.

    Apa yang telah dipilih Fedora untuk dilakukan (dan distro lainnya mengikuti) adalah menggunakan layanan penandatanganan Microsoft. Skenario ini mensyaratkan pembayaran $ 99 untuk Verisign (Otoritas Sertifikat yang digunakan Microsoft), dan memberikan pengembang kemampuan untuk menandatangani bootloader mereka menggunakan KEK Microsoft. Karena KEK Microsoft sudah ada di sebagian besar komputer, ini memungkinkan mereka untuk menandatangani bootloader mereka untuk menggunakan Boot Aman, tanpa memerlukan KEK mereka sendiri. Akhirnya menjadi lebih kompatibel dengan lebih banyak komputer, dan biaya keseluruhan kurang dari berurusan dengan mengatur sistem penandatanganan dan distribusi kunci mereka sendiri. Ada beberapa rincian lebih lanjut tentang bagaimana ini akan bekerja (menggunakan GRUB, modul Kernel yang ditandatangani, dan info teknis lainnya) di posting blog tersebut, yang saya sarankan baca jika Anda tertarik pada hal semacam ini.

    Misalkan Anda tidak ingin berurusan dengan kerumitan mendaftar untuk sistem Microsoft, atau tidak ingin membayar $ 99, atau hanya memiliki dendam terhadap perusahaan besar yang dimulai dengan M. Ada opsi lain untuk tetap menggunakan Boot Aman dan menjalankan OS selain Windows. Sertifikasi perangkat keras Microsoft membutuhkan bahwa OEM memungkinkan pengguna memasuki sistem mereka ke mode "kustom" UEFI, di mana mereka dapat secara manual memodifikasi basis data Boot Aman dan PK. Sistem ini dapat dimasukkan ke Mode Pengaturan UEFI, di mana pengguna bahkan dapat menentukan PK mereka sendiri, dan menandatangani bootloader sendiri.

    Selain itu, persyaratan sertifikasi Microsoft sendiri mewajibkan bagi OEM untuk memasukkan metode untuk menonaktifkan Boot Aman pada sistem non-ARM. Anda dapat mematikan Boot Aman! Satu-satunya sistem di mana Anda tidak dapat menonaktifkan Boot Aman adalah sistem ARM yang menjalankan Windows RT, yang fungsinya lebih mirip dengan iPad, di mana Anda tidak dapat memuat OS khusus. Meskipun saya berharap bahwa itu mungkin untuk mengubah OS pada perangkat ARM, itu adil untuk mengatakan bahwa Microsoft mengikuti standar industri sehubungan dengan tablet di sini.

    Jadi boot yang aman tidak secara inheren jahat?

    Jadi seperti yang Anda harapkan, Secure Boot tidak jahat, dan tidak terbatas hanya untuk digunakan dengan Windows. Alasan FSF dan lainnya sangat kesal karena FSF menambah langkah-langkah tambahan untuk menggunakan sistem operasi pihak ketiga. Distro Linux mungkin tidak suka membayar untuk menggunakan kunci Microsoft, tetapi ini adalah cara termudah dan paling hemat biaya untuk membuat Boot Aman berfungsi untuk Linux. Untungnya, mudah untuk mematikan Boot Aman, dan memungkinkan untuk menambahkan kunci yang berbeda, sehingga menghindari kebutuhan untuk berurusan dengan Microsoft.

    Mengingat jumlah malware yang semakin canggih, Secure Boot sepertinya ide yang masuk akal. Ini tidak dimaksudkan untuk menjadi rencana jahat untuk mengambil alih dunia, dan jauh lebih tidak menakutkan daripada beberapa pakar perangkat lunak bebas akan membuat Anda percaya.

    Bacaan tambahan:

    • Persyaratan Sertifikasi Perangkat Keras Microsoft
    • Membangun Windows 8: Melindungi lingkungan pra-OS dengan UEFI
    • Presentasi Microsoft tentang penyebaran Boot Aman dan manajemen kunci
    • Menerapkan UEFI Secure Boot di Fedora
    • Ikhtisar Boot Aman TechNet
    • Artikel Wikipedia tentang UEFI

    TL; DR: Boot aman mencegah malware menginfeksi sistem Anda pada level rendah dan tidak terdeteksi selama boot. Siapa saja dapat membuat kunci yang diperlukan untuk membuatnya berfungsi, tetapi sulit meyakinkan pembuat komputer untuk mendistribusikan anda kunci untuk semua orang, jadi Anda bisa memilih untuk membayar Verisign untuk menggunakan kunci Microsoft untuk menandatangani bootloader Anda dan membuatnya berfungsi. Anda juga dapat menonaktifkan Boot Aman apa saja komputer non-ARM.

    Pikiran terakhir, berkaitan dengan kampanye FSF terhadap Secure boot: Beberapa kekhawatiran mereka (mis. Itu membuatnya lebih sulit untuk menginstal sistem operasi gratis) valid ke suatu titik. Mengatakan bahwa pembatasan akan "mencegah siapa pun dari mem-boot apa pun kecuali Windows" terbukti salah, karena alasan yang diilustrasikan di atas. Mengkampanyekan UEFI / Secure Boot sebagai sebuah teknologi adalah cara pandang pendek, informasi yang salah, dan tidak mungkin efektif. Lebih penting untuk memastikan bahwa produsen benar-benar mengikuti persyaratan Microsoft untuk membiarkan pengguna menonaktifkan Boot Aman atau mengubah kunci jika mereka menginginkannya.


    Punya sesuatu untuk ditambahkan ke penjelasan? Berbunyi dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang mengerti teknologi lainnya? Lihat utas diskusi lengkap di sini.