- Estetty
- #1
UEFI-standardin myötä tuli kaikkiin PC-koneisiin myös ns. Secure Boot -toiminto (jolle oikeampi nimitys olisi Restricted Boot), joka päällä ollessaan estää tietokoneen firmwarea käynnistämästä muita kuin ns. luotetuilla julkisilla avaimilla allekirjoitettuja ohjelmabinäärejä. Microsoft käytännössä pakotti kaikki emolevyvalmistajat ottamaan Secure Bootin käyttöön eväämällä "Windows 8 ready"-sertifikaatin emolevyiltä ja pakettikoneilta, joissa ei CMOSin oletusasetuksilla ole Secure Boot päällä niin, että tietokone suostuu käynnistämään ainoastaan Microsoftin allekirjoittamat ohjelmabinäärit.
Käytännössä useimpiin emolevyihin ei noita avaimia pysty itse vaihtamaan ja "vaihtoehtoisten" käyttöjärjestelmien, suoraan BIOSista bootattavien diagnostiikkatyökalujen, MBR-käynnistettävien pelien ym. käyttäminen onnistuukin vain ottamalla Secure Boot pois päältä. UEFI-standardi vaatii, että x86-prosessorilla olevassa tietokoneessa saa sen Secure Bootin otettua pois päältä - muuten sitä ei saa myydä UEFI-yhteensopivana. Muilla käskykannoilla Secure Boottia ei tarvitse UEFI-standardin mukaan saada pois päältä.
Tähän asti käytännössä kaikista UEFI-BIOSeista on löytynyt myös mahdollisuus käyttää perinteistä MBR-käynnistystapaa, joka toimii niin, että tallennusvälineen ensimmäinen sektori ladataan ennalta määrättyyn muistiosoitteeseen ja suoritetaan se ohjelmakoodina. MBR-käynnistystapaan verrattuna UEFI-käynnistystapa on paljon monimutkaisempi ja tietoturvankin kannalta arveluttavampi, koska UEFI-firmwaren pitää osata parsia tiedostojärjestelmää ja hakea sieltä käynnistettävä binääri muistiin. UEFIn implementoiminen vaatii tuhansia kertoja enemmän koodia verrattuna MBR-käynnistystapaan. UEFI-binääreissähän on headerissa mm. kokonainen DOS-ohjelma, vaikka sitä ei pysty oikein mistään levykäyttöjärjestelmästä ajamaan. Myös muita älyttömyyksiä siitä standardista löytyy.
Viime aikoina kuitenkin useat emolevyvalmistajat ovat alkaneet julkaisemaan firmwarepäivityksiä, jotka poistavat MBR-käynnistystavan ja/tai tekevät Secure Bootin pois päältä ottamisesta mahdotonta. Sen lisäksi, että se rajoittaa merkittävästi tietokoneen käyttömahdollisuuksia, niin luonnollisesti se myös johtaa "mielenkiintoisiin" tilanteisiin, jos tietokoneelle sattuu olemaan jo asennettuna käyttöjärjestelmä, joka käynnistyy joko MBR-bootloaderilla tai EFI-bootloaderilla jota ei ole allekirjoitettu firmwareen kovakoodatuilla luotetuilla avaimilla, ja BIOS-päivitys sitten tekee kyseisen jo asennetun käyttöjärjestelmän käynnistämisestä yhtäkkiä mahdotonta.
Jos nyt ostaa vaikka jonkun uuden halpisläppärin, niin saako sillä enää käynnistettyä mitään muita ohjelmia kuin Microsoft Windowsin viimeisimpiä versioita? Kuinka suuri osa uusista tietokoneista ja/tai emolevyistä on lukittu Secure Boottiin, vaikka niitä virheellisesti myydäänkin UEFI-yhteensopivina? Mitkä emolevyt varmuudella osaavat myös MBR-käynnistystavan ja UEFI-käynnistystavan ilman Secure Boottia, ja antaako joku valmistaja takuut sille, että kyseisiä toimintoja ei poisteta missään päivityksessä?
Käytännössä useimpiin emolevyihin ei noita avaimia pysty itse vaihtamaan ja "vaihtoehtoisten" käyttöjärjestelmien, suoraan BIOSista bootattavien diagnostiikkatyökalujen, MBR-käynnistettävien pelien ym. käyttäminen onnistuukin vain ottamalla Secure Boot pois päältä. UEFI-standardi vaatii, että x86-prosessorilla olevassa tietokoneessa saa sen Secure Bootin otettua pois päältä - muuten sitä ei saa myydä UEFI-yhteensopivana. Muilla käskykannoilla Secure Boottia ei tarvitse UEFI-standardin mukaan saada pois päältä.
Tähän asti käytännössä kaikista UEFI-BIOSeista on löytynyt myös mahdollisuus käyttää perinteistä MBR-käynnistystapaa, joka toimii niin, että tallennusvälineen ensimmäinen sektori ladataan ennalta määrättyyn muistiosoitteeseen ja suoritetaan se ohjelmakoodina. MBR-käynnistystapaan verrattuna UEFI-käynnistystapa on paljon monimutkaisempi ja tietoturvankin kannalta arveluttavampi, koska UEFI-firmwaren pitää osata parsia tiedostojärjestelmää ja hakea sieltä käynnistettävä binääri muistiin. UEFIn implementoiminen vaatii tuhansia kertoja enemmän koodia verrattuna MBR-käynnistystapaan. UEFI-binääreissähän on headerissa mm. kokonainen DOS-ohjelma, vaikka sitä ei pysty oikein mistään levykäyttöjärjestelmästä ajamaan. Myös muita älyttömyyksiä siitä standardista löytyy.
Viime aikoina kuitenkin useat emolevyvalmistajat ovat alkaneet julkaisemaan firmwarepäivityksiä, jotka poistavat MBR-käynnistystavan ja/tai tekevät Secure Bootin pois päältä ottamisesta mahdotonta. Sen lisäksi, että se rajoittaa merkittävästi tietokoneen käyttömahdollisuuksia, niin luonnollisesti se myös johtaa "mielenkiintoisiin" tilanteisiin, jos tietokoneelle sattuu olemaan jo asennettuna käyttöjärjestelmä, joka käynnistyy joko MBR-bootloaderilla tai EFI-bootloaderilla jota ei ole allekirjoitettu firmwareen kovakoodatuilla luotetuilla avaimilla, ja BIOS-päivitys sitten tekee kyseisen jo asennetun käyttöjärjestelmän käynnistämisestä yhtäkkiä mahdotonta.
Jos nyt ostaa vaikka jonkun uuden halpisläppärin, niin saako sillä enää käynnistettyä mitään muita ohjelmia kuin Microsoft Windowsin viimeisimpiä versioita? Kuinka suuri osa uusista tietokoneista ja/tai emolevyistä on lukittu Secure Boottiin, vaikka niitä virheellisesti myydäänkin UEFI-yhteensopivina? Mitkä emolevyt varmuudella osaavat myös MBR-käynnistystavan ja UEFI-käynnistystavan ilman Secure Boottia, ja antaako joku valmistaja takuut sille, että kyseisiä toimintoja ei poisteta missään päivityksessä?
