אתחול ל- uefi: שיטות אתחול חלופיות

כבר תקופה ארוכה, מחשבים ניידים ומחשבים ניידים חדשים צוידו ב- 'uefi' במקום ב- BIOS המיושן. עם זאת, טיעון 'האבטחה' משמש באופן שגוי בכדי להקשות על אתחול מתקליטור או מקל USB (עם GParted, שחזור תוכנות זדוניות או הפצה לינוקס, למשל). במאמר זה תוכלו לקרוא מדוע זה המצב וכיצד תוכלו עדיין לבצע אתחול כמו שרוצים.

מה זה uefi?

לפני שאנחנו ממש מתחילים, לא כואב לעבור על כמה מונחים. Uefi מייצג 'ממשק קושחה מורחב מאוחד' והוא, כביכול, מערכת הפעלה של המחשב עצמו. הביוס הקלאסי (מערכת קלט / פלט בסיסית) הוא קושחה, אך ה- uefi נמצא בין הקושחה למערכת ההפעלה. Uefi ו- bios יכולים להתקיים יחד באותו מחשב.

בעבר היה גם efi (ממשק קושחה מורחב). היא פותחה על ידי אינטל, אך מאז 2005 אינטל משתתפת בפורום UEFI: קונסורציום של חברות מתעשיית המחשבים שמפתחת עוד יותר את ה- uefi. Uefi הוא 'מאוחד' מכיוון שהוא מבוסס על תוכנה לחלוטין: בעבר ה- bios נערך בנפרד עבור כל שבב, Uefi הוא הרבה יותר גנרי.

במאמר זה אנו צוללים אל עולם ה- uefi. כל מחשב או מחשב נייד כיום מגיעים עם UEFI. זה שינוי שנראה כאילו השתנה פתאום עבור משתמשים מסוימים. יש הרבה חיובי לגבי uefi: ההגדרות הבסיסיות של המחשב קלות יותר לתפעול, יש יותר פונקציונליות והמחשב מתחיל מהר יותר.

למרבה הצער, ישנם גם חסרונות: זה נעשה קצת יותר קשה ומסובך למשתמשים לבצע אתחול ממדיות אחרות, למשל ממקל USB. יצרני מחשבים רבים העלו את ה- uefi שלהם בצורה כזו שזה לא רק אפשרי. בנוסף, המצב נעשה מסובך יותר בגלל תאימות לאחור, כך שתוכל עדיין להתחיל מהביוס בסביבת uefi.

במאמר זה נבחן כיצד בדיוק אתחול מ- uefi עובד עם מקלות USB, כיצד ומדוע הוא עולה. ונשתמש גם בידע זה בצורה מעשית כדי להתחיל עם מדיה חלופית.

01 סירת אופי

ברגע שהמחשב מתחיל, מנהל האתחול של uefi מתחיל לעבוד. זה מסתכל על תצורת האתחול וטוען את הגדרות הקושחה לזיכרון. לאחר מכן יופעל הליבה של מערכת ההפעלה המוגדרת כברירת מחדל. הגדרות הקושחה המאוחסנות ב- nvram מכילות את הנתיב של קובץ ה- efi שיש להתחיל. אגב, Nvram מייצג זיכרון גישה אקראי לא נדיף, שנמצא על לוח האם. לא נדיף פירושו שהנתונים נשמרים בזיכרון, גם כאשר הכוח מנותק.

קבצי האתחול ממוקמים על מחיצת efi, המכונה גם ESP (efi system partition). מחיצה כזו היא מחיצת fat32 פשוטה ויש לה תיקיה לכל מערכת הפעלה במחשב האישי. כל תיקיה מכילה קובץ efi אחד, שנוצר על ידי מערכת ההפעלה המותקנת. קובץ efi כזה נוצר בשפת תכנות uefi הדומה מאוד לשפת C וקובץ זה מפעיל את מערכת ההפעלה בפועל.

היתרון של ה- uefi הוא שהוא יכול לזהות אוטומטית יעדי אתחול חדשים של uefi. כך תוכלו לאתחל בקלות ממדיות אחרות. כדי לאפשר פונקציונליות זו, uefi משתמש בנתיבים סטנדרטיים להגדרת מטעין האתחול. לדוגמא, נתיב ושם קובץ כאלה יהיו /efi/boot/boot_x64.efi עבור מערכת 64 ביט ועבור ארכיטקטורת ARM הקובץ ייקרא bootaa64.efi .

במיוחד בתחילת הכנסת ה- UEFI, התעוררו לפעמים בעיות התחלה. לכל מטעין אתחול היו בעיות או מוזרויות משלו. לדוגמא, Windows 7 יצר fat32-ESP חדש, למרות שהיה קיים עם fat16. לאחר מכן ההתקנה נכשלה. הפצות לינוקס רבות שימשו ליצירת fat16-ESP. בנוסף, לאובונטו 11.04 ו -11.10 היה באג רציני שבו ה- ESP נוקה לפעמים בטעות.

מונח אחד נוסף חשוב בעת האתחול: CSM, שמייצג מודול תמיכה בתאימות והוא מספק תמיכה באתחול מדור קודם על ידי מתן תמיכה ב- BIOS. באפשרותך להפעיל CSM רק אם אפשרות האתחול המאובטח אינה פעילה, אך עוד על כך בסעיף 3.

02 Gpt

Gpt, או 'טבלת המחיצות guid', מחליפה את ה- mbr הישן (רשומת האתחול הראשי), באופן בו מחלקים את הדיסקים בעבר. ה- gpt הוא חלק מה- uefi. מאז Windows Vista, Windows יכול לאתחל רק מדיסקי gpt ב- uefi. כותרת המחיצה של דיסק gpt מכילה מידע על אילו בלוקים ניתן להשתמש בדיסק. כותרת זו מכילה גם את ה'גיד 'של הדיסק: המזהה הייחודי הכללי, מספר זיהוי ייחודי. דיסק gpt יכול להיות בסיסי או דינמי, ממש כמו ה- mbr. Gpt תומך בעד 128 מחיצות והוא יגבה את טבלת המחיצות gpt באופן אוטומטי.

הבעיה ברשומת האתחול הראשי הייתה שהיא מיושנת: לא ניתן היה להפעיל דיסקים גדולים מ -2 TB, למשל. Gpt תומך בכוננים בגודל של עד 9.4 ZB. זה zetabytes, או 9.4 x 10 ^ 21. אגב, ה- gpt בבלוק הראשון עדיין מכיל mbr מסיבות תאימות. זה בבלוק 0. בבלוק 1 הכותרת gpt והשאר המחיצות.

03 אתחול מאובטח

אתחול מאובטח הוא חלק מ- uefi ונועד לעצור תוכנות זדוניות שתוקפות את הקושחה. תוכנה זדונית כזו מאוד מגעילה, מכיוון שהיא יכולה לשרוד התקנה מחדש של מערכת ההפעלה מכיוון שהיא מסתדרת בקושחה. העיקרון של Secure Boot הוא פשוט מאוד: רק קבצים בינאריים (קבצים עם קוד בלבד) החתומים על ידי גורם מהימן מופעלים. באופן תיאורטי לא ניתן לחתום על תוכנות זדוניות, כך שחוסם תוכנות זדוניות. חברות יכולות להחתים את מיקרוסופט עם ה- Uefi שלהם. מרבית ה- UEF מכילים את המפתחות הציבוריים של מיקרוסופט. כאשר לחברה חתום על הבינארי שלה, זה נעשה באמצעות המפתח הפרטי של מיקרוסופט, כך שהקושחה מזהה ומתחילה את אותו בינארי.

אובונטו כבר ראתה את הסערה וכך גם הבינאריות שלה חתומות על ידי מיקרוסופט. זו הסיבה שאתה יכול להשתמש באובונטו במערכות uefi מאז 2012. אם ברצונך להשתמש בהפצת לינוקס שאינה חתומה, תוכל להשבית את האתחול המאובטח ב- uefi או להתקין מפתחות משלך ב- uefi שלך. בסופו של דבר, נעשה שימוש בארכיטקטורת מפתח ציבורי-פרטי עבור Secure Boot, כך שתוכל להתקין את המפתח הציבורי של ה- binary, ולאחר מכן ניתן להפעיל אותו כרגיל.