Nové počítače a notebooky jsou již dlouhou dobu vybaveny „uefi“ místo staromódního systému BIOS. Argument „zabezpečení“ se však nesprávně používá, aby ztěžoval bootování z disku CD nebo USB (například GParted, zotavení po malwaru nebo distribuce Linuxu). V tomto článku si můžete přečíst, proč tomu tak je a jak můžete stále bootovat, jak chcete.
Co je Uefi?
Než skutečně začneme, není na škodu projít si některými pojmy. Uefi je zkratka pro „unified extensible firmware interface“ a jedná se o vlastní počítačový operační systém. Klasický BIOS (základní vstupní / výstupní systém) je firmware, ale uefi leží mezi firmwarem a operačním systémem. Uefi a bios mohou koexistovat na stejném počítači.
V minulosti existovalo také efi (rozšiřitelné rozhraní firmwaru). Byl vyvinut společností Intel, ale od roku 2005 se Intel účastní fóra UEFI: konsorcia společností z počítačového průmyslu, které dále rozvíjí uefi. Uefi je „jednotný“, protože je založen výhradně na softwaru: dříve byl bios kompilován samostatně pro každý čip, uefi je mnohem obecnější.
V tomto článku se ponoříme do světa uefi. Každý počítač nebo notebook dnes přichází s UEFI. Je to změna, která se u některých uživatelů zdá se velmi náhle změnila. Uefi má mnoho pozitivního: základní nastavení počítače se snadněji ovládá, má více funkcí a počítač se spouští rychleji.
Bohužel však existují i nevýhody: spouštění uživatelů z jiných médií, například z USB flash disku, je pro uživatele o něco obtížnější a komplikovanější. Mnoho výrobců počítačů se zapojilo do svého uefi takovým způsobem, že to není jen možné. Situace se navíc komplikovala kvůli zpětné kompatibilitě, takže můžete stále začít od biosu v prostředí uefi.
V tomto článku se podíváme na to, jak přesně bootování z uefi funguje s USB flash disky, jak a proč je zabedněno. A tyto znalosti také aplikujeme praktickým způsobem, abychom mohli začít s alternativními médii.
01 Loď Uefi
V okamžiku, kdy se počítač spustí, správce bootování uefi začne pracovat. Podívá se na konfiguraci zavádění a načte nastavení firmwaru do paměti. Poté se spustí jádro výchozího operačního systému. Nastavení firmwaru, které je uloženo v nvram, obsahuje cestu k souboru EFI, který má být spuštěn. Mimochodem, Nvram znamená energeticky nezávislou paměť s náhodným přístupem, která je přítomna na základní desce. Energeticky nezávislé znamená, že data jsou uložena v paměti, i když je napájení vypnuto.
Spouštěcí soubory jsou umístěny na oddílu EFI, známém také jako ESP (systémový oddíl EFI). Takový oddíl je jednoduchý oddíl fat32 a má složku pro každý operační systém v počítači. Každá složka obsahuje jeden soubor efi vytvořený nainstalovaným operačním systémem. Takový soubor EFI je vytvořen v programovacím jazyce UEFI velmi podobném jazyku C a tento soubor spouští skutečný operační systém.
Výhodou uefi je, že dokáže automaticky detekovat nové spouštěcí cíle uefi. Tímto způsobem můžete snadno zavést systém z jiných médií. Chcete-li tuto funkci povolit, uefi používá standardní cesty k definování zavaděče. Taková cesta a název souboru jsou například /efi/boot/boot_x64.efi pro 64bitový systém a pro architekturu ARM by soubor byl bootaa64.efi volala.
Zejména na začátku zavedení UEFI občas nastaly problémy se spuštěním. Každý zavaděč měl své vlastní problémy nebo zvláštnosti. Například Windows 7 vytvořil nový fat32-ESP, i když existoval jeden s fat16. Poté se instalace nezdařila. Mnoho linuxových distribucí se používalo k vytvoření fat16-ESP. Kromě toho měly Ubuntu 11.04 a 11.10 vážnou chybu, kdy došlo k náhodnému vyprázdnění ESP.
Při zavádění je důležitý ještě jeden termín: CSM, což je zkratka pro modul podpory kompatibility a poskytuje podporu pro starší zavádění poskytováním podpory pro BIOS. CSM můžete povolit, pouze pokud je vypnutá možnost Secure Boot, ale více o tom v části 3.
02 Gpt
GPT neboli „tabulka oddílů s guidem“ nahrazuje starý mbr (hlavní spouštěcí záznam), způsob dělení disků. GPT je součástí uefi. Od Windows Vista může Windows bootovat pouze z disků gpt v uefi. Záhlaví oddílu disku gpt obsahuje informace o tom, které bloky lze na disku použít. Toto záhlaví také obsahuje „guid“ disku: obecný jedinečný identifikátor, jedinečné identifikační číslo. Disk gpt může být základní nebo dynamický, stejně jako mbr. GPT podporuje až 128 oddílů a automaticky zálohuje tabulku oddílů GPT.
Problém hlavního spouštěcího záznamu spočíval v tom, že byl zastaralý: nelze například spustit disky větší než 2 TB. GPT podporuje disky až do velikosti 9,4 ZB. To jsou zetabyty neboli 9,4 x 10 ^ 21. Mimochodem, gpt v prvním bloku stále obsahuje mbr z důvodů kompatibility. To je v bloku 0. V bloku 1 je hlavička gpt a zbytek jsou oddíly.
03 Zabezpečené spuštění
Secure Boot je součástí uefi a má zabránit malwaru napadat firmware. Takový malware je velmi ošklivý, protože může přežít přeinstalaci operačního systému, protože se usazuje ve firmwaru. Princip zabezpečeného spouštění je velmi jednoduchý: spouští se pouze binární soubory (soubory pouze s kódem) podepsané důvěryhodnou stranou. Teoreticky malware nelze podepsat, což blokuje malware. Společnosti mohou mít svůj binární soubor uefi podepsaný společností Microsoft. Většina UEFI obsahuje veřejné klíče Microsoftu. Když má společnost svůj binární podpis podepsaný, je to provedeno pomocí soukromého klíče společnosti Microsoft, aby firmware tento binární soubor rozpoznal a spustil.
Ubuntu již bouři zažilo, a proto nechalo své binární soubory podepsat společností Microsoft. Proto můžete Ubuntu v systémech uefi používat od roku 2012. Pokud chcete použít distribuci Linuxu, která není podepsaná, můžete buď zakázat Secure Boot v uefi, nebo můžete nainstalovat své vlastní klíče do uefi. Nakonec se pro zabezpečené spuštění používá architektura veřejného a soukromého klíče, takže můžete nainstalovat veřejný klíč binárního souboru, po kterém jej lze spustit jako obvykle.
