您不可不知隱藏在設備下的秘密！資訊設備於安全啟動機制下的限制與挑戰|最新文章

facebook twitter plurk line 中列印書籤

您不可不知隱藏在設備下的秘密！資訊設備於安全啟動機制下的限制與挑戰

102/05/02 13796

孫振凱｜國家實驗研究院高速網路與計算中心軟體發展組

相信您一定有將自己的個人電腦、筆電安裝第三方作業系統的經驗；手機、平板對於進階一點的玩家應該也有做過 JB 或 root，甚至在手機上安裝其他作業系統的經驗。不過在一個新的機制推出後，這些行為都將受限制，甚至不可能。去年底，因應軟體大廠所釋出的最新作業系統，市場上陸陸續續出現搭載最新系統的設備，個人電腦、筆電、平板、手機…等，並標榜著與其系統認証之標籤。對於一直引頸期盼的使用者來說，這似乎表示新一代的作業系統問世，也帶來許多便利與全然不同的使用經驗。但對其他作業系統使用者來說，卻隱藏了某種程度的使用限制。

或許有使用者已經注意到一個系統的選項：安全啟動（Secure Boot）¹，已經被預設開啟。從軟體大廠所釋出的文件²可知，要求其設備製造廠商，凡欲標示與其新版作業系統相容標章者，其設備韌體就必須具備相容於安全啟動的功能並預設開啟。這表示只有被認証的系統才能夠被信任，也才能在這設備上使用；但選擇要信任誰的決定權並非由消費者決定，而是由廠商替消費者決定；簡單地說，花了錢買的一台新設備，你只能使用經由軟硬體廠商認證的作業系統，否則無法開機。換句話說，使用何種系統的決定權不在你手上，而在硬體設備商手中；如果把設備比喻為新車，你無法決定乘客，身為消費者的我們難道不覺得不合理嗎？

到底安全啟動（Secure Boot）是什麼？主要是利用數位簽證的方式來辨識哪個是經過認可的作業系統，辨識的方法是在作業系統執行之前，比對由硬體廠商預載在韌體中經過簽署過的金鑰資料庫，經過比對，通過的才允許被執行。固然，透過這機制當然可以避免未授權的系統載入，若要說這是為了安全考量，能發揮多少功能也似乎僅在系統啟動這層面。但這樣的措施卻直接限制了對第三方作業系統的相容。對於目前存在相當多元化作業系統的資訊環境，若設備是由廠商來決定何謂「認可」的系統，而非由消費者自己掌握這把鑰匙，這似乎鉗制了對硬體的自由使用權，而這樣強制剝奪使用者權益的行為，在歐洲已經有組織在蘊釀並向歐盟提出告訴³。當然，部分廠商有提供相容機制來達到相容，但這樣的情況是否是在未來樂於見到，可能有待軟硬廠商在消費市場上協調出一個平衡點；另外，消費者也應該要自覺，了解並捍衛自身的權益，畢竟擁有基於自由精神的使用權是消費大眾基本的權益。

參考資料

Implementing a Secure Boot–UEFI，http://www.uefi.org/learning_center/UPFS11_P2_SecureBoot_Insyde.pdf
Windows 8 Hardware Certification Requirements，http://msdn.microsoft.com/zh-TW/library/windows/hardware/hh748188.aspx
西班牙開源軟體組織指控微軟阻礙作業系統競爭，http://digital.sina.com.hk/news/-7-1347689/1.html
平板電腦支援 Windows 8，作業系統開機鑰匙不在你家（以及「信任運算」的真諦），http://ckhung0.blogspot.tw/2011/10/windows-8-secure-boot.html
由全世界第一部支援 Secure boot 的零售 PC 開始談起！，http://freesf.tw/?p=61

資料來源

轉載自「國研院高速網路與計算中心84期電子報」

作業統(5) 科發月刊(5221)

您不可不知隱藏在設備下的秘密！資訊設備於安全啟動機制下的限制與挑戰

推薦文章