Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

UEFIUEFI - UEFI
Turbūt visas sukurtas technologijas, prietaisus ar priemones galima panaudoti ir gerai, ir blogai. Pavyzdžių toli ieškoti nereikia, kad ir paprasčiausias plaktukas. Juo sėkmingai galima kalti vinis, o kiek tobulesniu, galima jas ir ištraukti, tačiau lygiai taip pat juo galima užvažiuoti užknisusiam kaimynui per galvą... Tačiau dėl to niekas nekaltina plaktukų ar jų gamintojų, o tik jų naudotojus. Ne kitaip turėtų būti ir aukštųjų technologijų srityje.

Tačiau šioje rinkoje kartais susidaro specifinės sąlygos, kai prie technologijos kūrimo prisidedanti kompanija turi išskirtines rinkos sąlygas. Būtent taip nutiko su UEFI. UEFI, tai keleto dešimtmečių senumo BIOS sistemos pamainos antroji karta. Pirmoji - EFI, nesusilaukė didelio populiarumo, nes rinkoje dominuojanti „Microsoft“ kompanija nusprendė netaikyti tuometinių „Windows XP“, „Vista“ ir „Windows 7“ sistemų naujos kartos kompiuterio sisteminėms programoms. Iš EFI, berods, gali būti įkraunamos tik 64 bitų sistemos versijos, tuo tarpu dar visai neseniai 32 bitų sistemos sudarė kone absoliučia daugumą.

Tačiau paskelbusi apie „Windows 8“ sistemos naujoves, „Microsoft“ paskelbė ir apie naujos kartos kompiuterių įkrovos sistemą - UEFI. Dar daugiau, UEFI pateikiama saugios kompiuterio įkrovos funkcija yra vienas iš „Windows 8“ įrangos sertifikavimo reikalavimų. Tačiau „saugios kompiuterio įkrovos“ funkcijos pavadinimas slepia kur kas daugiau ir šis funkcionalumas gal tapti labai aktualiu ne vien „Winodows 8“ vartotojams. Tiesa sakant, ne „Windows 8“ vartotojams (įskaitant ir senesnių „Windows“ sistemų vartotojus) UEFI suderinamumas gali sukelti daug galvos skausmo!

Ir, anot „Microsoft“, visa tai tik dėl mūsų pačių saugumo! Tačiau ar tikrai tik dėl to? Tarp daugelio kitų UEFI patobulinimų, tokių, kaip galimybė turėti grafinę kompiuterio derinimo aplinką, jungtis prie interneto tiesiai iš BIOS, atsiprašau, UEFI sistemos, nauja kompiuterio pagrindinė programinė įranga leidžia riboti kompiuterio OS įkrovą. UEFI turi galimybę kompiuteryje leisti įkrauti tik tokią programinę įrangą (OS), kuri yra pasirašyta UEFI žinomu skaitmeniniu parašu. Tai atveria galimybę apsaugoti kompiuterį nuo kenkėjiško programinio kodo, kuris pastaruoju metu vėl pradėjo lysti į įkrovos sektorių (MBR).

UEFI turi galimybę patikrinti, ar įrašas pasirašytas skaitmeniniu parašu ir jei tokio parašo nebus rasta -- neleisti įkrauti kompiuterio iš tokios laikmenos. Skaitmeninio parašo technologija remiasi asimetriniu šifravimu, kuris sudaro galimybę viešąja parašo rakto dalimi įsitikinti ar privačia parašo rakto dalimi pasirašytas duomenų gabalas (dokumentas, programinis kodas) yra autentiškas. Neturint privačios parašo rakto dalies, nėra galima atkartoti parašo ir viešąja rakto dalimi bus galima išaiškinti klastotę. Žinoma, jei rakto ilgis bus parinktas pakankamai ilgas.

Štai čia ir pradeda lysti smulkus tekstas, apie kurį „Microsoft“ buvo linkusi nutylėti. UEFI neleis kompiuteryje įkrauti ne tik kenkėjiško, bet apskritai jokio kito programinio kodo, kuris nebus pasirašytas UEFI sistemai žinomu privačiu raktu. Kitaip tariant, tas kas kontroliuos privatų raktą - kontroliuos tai, ką bus galima įkrauti kompiuteriuose! Be to, tokia kompanija taip pat turi techninę galimybę bet kada atimti galimybę įkrauti seniau patvirtintą programinį kodą.

O dabar linksmoji dalis - vienas iš „Microsoft“ pateiktų reikalavimų įrangos sertifikavimo „Windows 8“ sistemai yra tas, kad kompiuterių UEFI sistemoje ši funkcija turi būti įjungta pagal nutylėjimą. Ir, kai kurie gamintojai jau pareiškė neketinantys numatyti galimybės išjungti šią funkciją. Nors UEFI autoriai nepateikia tikslios realizacijos specifikacijų, tačiau „Microsoft“ pateikiamose rekomendacijose nurodoma, kad vartotojui neturėtų būti leidžiama kontroliuoti patvirtintų įkrovos raktų. Kitaip tariant, nusipirkę naują kompiuterį su „Windows 8“ jūs galite neturėti galimybės rinktis, kokią sistemą galėsite jame naudoti. Akivaizdu, kad be pagrindinės funkcijos - apsaugos nuo kenkėjiško kodo, ši funkcija „Microsoft“ kompanijai suteikia papildomą ir labai naudingą šalutinį efektą. Tai jau ne pirmas kartas, kai rinkos dalyviai siekia atimti iš vartotojų teises į įsigytą įrangą. O žinant, kokią įtaką „Microsoft“ namų kompiuterijos įrangos gamintojams - yra nemaža tikimybė, jog didieji kompiuterių ir pagrindinių plokščių gamintojai ims aklai klausyt kompanijos patarimų. Antraip, pavyzdžiui, jiems gali grėsti „netikėtas“ „Windows“ licencijų pabrangimas.

Savaime suprantama, kad pirmieji sukruto ir pradėjo kelti triukšmą „Linux“ sistemų šalininkai. Tačiau naujoji  apsaugos nuo „kenkėjiško kodo“ funkcija palies ir senesnių „Windows“ sistemų vartotojus - jos taip pat neveiks naujuose kompiuteriuose, nes „Microsoft“ tikrai neskubės pasirašinėti įkrovos programų senesnėms „Windows“ sistemoms. Pastarosios yra pats didžiausias konkurentas kiekvienai naujai „Windows“ sistemai. Džiugu, kad ne visos kompanijos su tuo sutinka. Taip pat džiugu, kad prie sukrutusių prisijungė ir didžiausios „Linux“ sistemų kompanijos „RedHat“ ir „Canonical“, kurios pateikė savo UEFI realizavimo rekomendacijų sąrašą

Oficialiajame „Canonical“ tinklaraštyje yra pateiktas straipsnis, kur kompanija argumentuoja, jog UEFI saugios įkrovos funkcija yra puikus priedas, didinantis kompiuterinių sistemų saugumą. Todėl kompanija taip pat rekomenduoja aktyvuoti šią funkciją, tačiau tuo pat metu kompanija ne tik rekomenduoja palikti galimybę išjungti šią sistemą, tačiau taip pat įtraukti galimybę patiems vartotojams leisti valdyti patvirtintos programinės įrangos sąrašą. Kitaip tariant UEFI turi ne tik pažinti didžiųjų programinės įrangos kompanijų pasirašytų OS įkrovos programas, tačiau sudaryti galimybę vartotojui pačiam įtraukti papildomą OS į patvirtintų programų sąrašą.

Panašias rekomendacijas pateikė ir „Linux“ fondo organizacija, kuri savo pateikiamose rekomendacijose, siūlo įsteigti atvirą infrastruktūrą. Jos paslaugomis galėtų naudotis tiek atvirųjų sistemų kūrėjai, tiek ir vartotojai, kurie iš tokios infrastruktūros gautų naujausių patvirtintų sistemų įkrovos programų parašus.

Galimybė įtraukti papildomas patvirtintas programas yra pats geriausias būdas šiai problemai spręsti, nes ne tik vartotojai bus apsaugoti nuo netikėto kenkėjiško programinio kodo, bet ir smulkesni OS kūrėjai nebus išstumti iš rinkos. Juk mažesniam OS gamintojui paprasčiausiai gali nebūti galimybių suderinti savo OS įkrovos programos parašų įtraukimo į visų galimų kompiuterių gamintojų UEFI sistemas, o privačių raktų viešinti taip pat negalima, antraip visi saugumo privalumai bus prarasti.

Komentuoti


Apsaugos kodas
Atnaujinti