IT ENCYKLOPEDIE

Uživatelské nástroje

Nástroje pro tento web

Umístění: start » secure_boot
Historie: autoencoder tty pixel ca core amd cookie broadcom elk-stack secure_boot
secure_boot

Obsah

Secure Boot

Secure Boot je funkce rozhraní UEFI, která brání spuštění neautorizovaného kódu během procesu zavádění systému. Funguje na principu digitálních podpisů a kryptografických klíčů. Pokud software, který se pokouší spustit, nemá platný podpis od důvěryhodné autority (např. Microsoft nebo výrobce PC), základní deska mu nedovolí se spustit.

Jak Secure Boot funguje?

Proces kontroly probíhá v řetězci (tzv. Chain of Trust): 

1. **Firmware (UEFI):** Obsahuje databázi veřejných klíčů od důvěryhodných výrobců (typicky Microsoft a výrobce základní desky).
2. **Kontrola podpisu:** Před spuštěním zavaděče systému (např. Windows Boot Manager) UEFI zkontroluje jeho digitální podpis.
3. **Porovnání:** Pokud se podpis shoduje s klíčem v databázi, systém se spustí. Pokud ne (podpis chybí nebo je změněný), počítač zobrazí chybu "Security Violation" a zastaví se.

Proti čemu chrání?

Secure Boot je navržen k eliminaci útoků typu:

  • Rootkity: Malware, který se maskuje hluboko v systému a je pro běžný antivirus neviditelný.
  • Bootkity: Škodlivý kód, který nahradí legální zavaděč systému svým vlastním, čímž získá plnou kontrolu nad počítačem ještě před startem Windows/Linuxu.

Secure Boot a operační systémy

  • Windows: Od verze Windows 8 je Secure Boot standardem. Pro instalaci Windows 11 je jeho podpora (a aktivace) vyžadována jako jedna z minimálních hardwarových podmínek.
  • Linux: Většina velkých distribucí (Ubuntu, Fedora, openSUSE) Secure Boot podporuje díky zavaděči zvanému „shim“, který má podpis od Microsoftu. Méně známé distribuce však mohou vyžadovat vypnutí této funkce.
  • Dual-boot: Pokud používáte více systémů na jednom PC, Secure Boot může někdy blokovat spuštění druhého systému, pokud nemá správně vyřešené certifikáty.

Mýty a kontroverze

Kolem Secure Bootu se v minulosti objevila řada diskusí:

  • „Zámek na Windows“: Původně existovaly obavy, že Microsoft využije Secure Boot k tomu, aby zabránil instalaci jiných systémů (Linuxu). V praxi však většina výrobců umožňuje v nastavení UEFI tuto funkci vypnout nebo přidat vlastní klíče.
  • Uživatelská kontrola: Pokročilí uživatelé si mohou do UEFI nahrát své vlastní klíče a podepisovat si vlastní zavaděče, což zachovává bezpečnost i svobodu.

Srovnání: Aktivní vs. Vypnutý Secure Boot

Vlastnost Secure Boot Enabled Secure Boot Disabled
Bezpečnost Vysoká (chrání proti bootkitům). Nižší (systém je zranitelnější).
Kompatibilita Podporuje moderní OS (Win 11). Umožňuje starší OS a nepodepsané ovladače.
Rychlost Žádný měřitelný rozdíl. Žádný měřitelný rozdíl.

Související pojmy: UEFI, BIOS, Cold Boot, Rootkit, TPM, Windows 11, Kryptografie.

secure_boot.txt · Poslední úprava: autor: admin