UEFI

Lo standard UEFI (in inglese Unified Extensible Firmware Interface , che significa in francese  : "Unified Extensible Firmware Interface") definisce un'interfaccia tra firmware ( firmware ) e sistema operativo (OS) di un computer . Questa interfaccia prende il posto del BIOS su alcune schede madri .

Storia

UEFI fa seguito a EFI ( Extensible Firmware Interface ), progettato da Intel per processori Itanium .

AMD , American Megatrends , Apple , Dell , HP , Intel , IBM , Insyde Software, Microsoft e Phoenix Technologies sono i promotori del Forum UEFI che definisce gli standard per questa tecnologia.

Il Forum UEFI lavora sulle specifiche UEFI dal 2005 e all'inizio del 2006 ha pubblicato le prime specifiche UEFI 2.0 ufficiali . UEFI non è quindi uno standard , ma uno standard tecnico derivante dal consenso di un gruppo di industriali.

Descrizione

UEFI offre molti vantaggi al BIOS: funzionalità di rete standard, buona risoluzione della GUI, gestione integrata di più installazioni di sistemi operativi e limita i dischi di affrancatura a 2,2  TB .

Il BIOS, scritto in linguaggio assembly , modifiche limitate e / o sostituzioni, una garanzia di sicurezza e protezione operativa.

UEFI è scritto in C , il che rende la sua manutenzione più flessibile e rimane accettabile a causa della diminuzione dei costi di memoria. Sviluppato per garantire l'indipendenza tra il sistema operativo e la piattaforma hardware su cui gira, UEFI è disponibile su piattaforme Itanium (IA-64), x86 ( 32 e 64  bit ) e ARM .

Generale

Una delle funzioni di UEFI è l' avvio di un sistema operativo, precedentemente fornito dal BIOS.

Le specifiche UEFI definiscono un boot manager il cui ruolo è memorizzare i driver e il caricatore del sistema operativo necessari per l'avvio. Questo caricatore è una classe di applicazioni UEFI archiviate come file su un file system accessibile dal firmware. I file system supportati includono FAT32, FAT16 e FAT12 (ma non exFAT o NTFS). Le tabelle delle partizioni supportate includono i formati MBR e GPT . A differenza del BIOS, UEFI non richiede che il settore di avvio si trovi in ​​una posizione particolare.

Architettura UEFI

Molte schede madri si basano ancora su firmware ibrido basato sul pacchetto CSM ( Compatiblity Support Module ) , rendendo le vecchie interruzioni del BIOS utilizzabili per determinati servizi.

La terminologia UEFI ufficiale classifica sei stati distinti nei processi di avvio del sistema operativo:

• SEC ( Security ) per l'esecuzione dei processi di autenticazione e controllo dell'integrità (SecureBoot, password, token USB);
• PEI ( Pre EFI Initialization ) per l' inizializzazione della scheda madre e del chipset . Commutazione del processore in modalità protetta;
• DXE ( Driver Execution Environment ) per la registrazione di tutti i driver. Instradamento da parte di un dispatcher di richieste da applicazioni EFI come un boot loader;
• BDS ( Boot Dev Select ) per un boot manager come grub  ;
• TSL ( Transient System Load ) per la fase transitoria in cui viene caricato il sistema operativo. I servizi EFI verranno chiusi tramite la funzione ExitBootServices (), per passare al sistema operativo;
• RT ( RunTime ) quando il sistema operativo ha preso il sopravvento. L'unico modo per interagire con il firmware è quindi passare attraverso le variabili EFI memorizzate nella NVRAM.

Sistemi operativi

• I sistemi basati su Linux sono stati in grado di gestire UEFI all'avvio dal 2000 utilizzando il boot loader Elilo . Può essere utilizzato da IA-64, IA-32 piattaforme e ha fornito sostegno x86-64 dalLuglio 2007. GRUB supporta EFI dalla versione 1.94.
• Il kernel Linux supporta EFI dalla versione 2.4.20 e può essere avviato direttamente come eseguibile EFI dalla versione 3.3.5.
• HP-UX utilizza EFI sui suoi sistemi IA-64 dal 2002.
• Apple, nel frattempo, ha adottato EFI sui suoi computer basati su processori Intel . Mac OS X v10.4 Tiger per Intel, Mac OS X v10.5 Leopard , Mac OS X v10.6 Snow Leopard e Mac OS X v10.7 Lion supportano completamente EFI. La versione di EFI implementata sui computer Apple tuttavia differisce in qualche modo dallo standard EFI, il che significa che la maggior parte dei computer Apple non consente di avviare Windows in modalità EFI (in Boot Camp , solo un avvio che emula quello vecchio. Il BIOS del PC era inizialmente possibile, impedendo a Windows di accedere al disco rigido del computer Apple in modalità SATA, riducendo così le prestazioni del disco quando il computer è stato avviato in Windows). Con il rilascio di MacBook Air a metà 2013, Windows 8 e versioni successive erano completamente supportati nell'avvio EFI.
• Microsoft Windows:
  • Le versioni Itanium di Windows 2000 supportavano EFI 1.1 nel 2002;
  • Windows Server 2003 per IA64, Windows XP 64 bit e Windows 2000 Advanced Server Limited Edition , basato sul supporto EFI di Intel Itanium ;
  • Microsoft Windows Vista contiene un sistema di gestione UEFI dalla versione SP1. Microsoft Windows Server 2008 , basato sul kernel di Windows Vista SP1 , supporta anche le piattaforme UEFI. Tuttavia, va ricordato che a causa del GOP (Graphics Output Protocol) di UEFI, un sistema Windows Vista / 7 non può essere avviato senza il livello CSM / Legacy, che equivale all'utilizzo per emulazione di un bios. Windows Vista è quindi tecnicamente non compatibile con UEFI puro (classe 3, senza CSM / legacy)
  • Windows 8, 8.1 e 10 si avviano sotto UEFI, ma è necessario definire da Windows che eseguiremo il prossimo avvio su un altro sistema: non è possibile intercettare UEFI come abbiamo usato per intercettare il BIOS (per avviare Linux da un disco USB, per esempio), il motivo addotto è la sicurezza.

Caratteristiche

Gestione del disco

Oltre al classico partizionamento tramite MBR (limitato a 2,2  TB ), UEFI gestisce per i dischi, un nuovo sistema di partizionamento chiamato GPT ( tabella delle partizioni identificatore univoco globale ). GPT consente 128 partizioni primarie su supporti con capacità fino a  9,4BB (zettabyte, miliardi di terabyte). UEFI consente quindi l'avvio da dischi di 2,2  TB e superiori.

Con la gestione del disco di basso livello, la clonazione del disco è possibile senza passare attraverso il sistema operativo , rendendo molto più semplice la copia di dischi che ospitano più sistemi operativi.

UEFI Shell

UEFI fornisce un ambiente shell simile a quello che si trova in una shell Unix . Può essere utilizzato per avviare altre applicazioni UEFI, inclusi i boot loader UEFI . È possibile ottenere un'ampia varietà di informazioni sul sistema e sul firmware , modificare variabili o modificare file di testo, nonché scrivere o eseguire file di script con l'estensione .nsh.

I metodi per avviare UEFI Shell dipendono dal produttore e dal modello della scheda madre. Molto spesso c'è un'opzione nel firmware per avviarlo direttamente. Per le versioni compilate per x86-64, è necessario un file <EFI_SYSTEM_PARTITION>/SHELLX64.EFI. È necessario utilizzare il comando bcfgper modificare la shell associata.

La maggior parte dei comandi non fa distinzione tra maiuscole e minuscole, ma non sempre percorsi e nomi dei file, a seconda del tipo di file system utilizzato. L'utilizzo del comando help -bconsente di visualizzare la guida pagina per pagina. L'opzione -bsi trova nella maggior parte dei comandi per avere una visualizzazione pagina per pagina. Il carattere >può essere utilizzato per reindirizzare il flusso di output del comando a un file di testo. Ad esempio, il comando help > aide.txtscrive la guida nel file aide.txt.

Il codice sorgente UEFI Shell può essere scaricato dalla pagina del progetto TianoCore.

Avvia Secure ( avvio sicuro )

Dalla versione 2.3.1, UEFI ha incluso una funzionalità che consente l'avvio solo su sistemi operativi riconosciuti. Questa funzionalità ha lo scopo di vietare l'avvio di un sistema operativo danneggiato in particolare da un virus o un rootkit . Quando è stata rilasciata, questa funzione causava problemi con alcune distribuzioni Linux che non erano compatibili.

In modalità " avvio sicuro " , UEFI utilizza un meccanismo di verifica della firma digitale . Il firmware proibisce qualsiasi caricamento di un driver o kernel la cui firma non corrisponde a quella scritta nella ROM.

Avvio sicuro e software gratuito

Nel mondo del software libero , la EFF e Linus Torvalds hanno denunciato come anormale questa caratteristica "che  ostacola l'installazione e l'uso di qualsiasi sistema operativo in competizione con Windows  ", Torvalds ha criticato i compromessi accettati da Red Hat e Canonical per poter installare Linux su macchine dove viene attivato l' avvio protetto (acquisto di una chiave di sicurezza).

Entro la metà del 2012, non tutte le distribuzioni avevano adottato la firma del sistema operativo , alcune delle quali non potevano adottarla a causa del loro stato.

Dall'inizio del 2013, ci sono stati due bootloader firmati da Microsoft, e quindi riconosciuti dai PC certificati Windows 8  : Shim e Linux Foundation Secure Boot System .

Distribuzione	Posizione di avvio sicura
Ubuntu	Supportato dalle versioni 12.10 e 12.04.2 LTS
Fedora	Supportato dalla versione 18
openSUSE	Supportato dalla versione 12.3
RHEL	Supportato dalla versione 7
Debian	Supportato dalla versione 10
OpenBSD	A causa della mancanza di collaborazione con Microsoft, questa funzione non è supportata.

finestre

Windows 8 di Microsoft supporta opzionalmente l' avvio sicuro grazie a una firma digitale inviata ai produttori di schede madri.

Secondo il programma di certificazione di Windows , i dispositivi non ARM devono offrire obbligatoriamente due modalità di avvio sicuro , "Standard" e "Personalizzato" in cui l'utente non solo può aggiungere o eliminare firme aggiuntive ma anche disattivare l' avvio sicuro (è richiesta la presenza fisica dell'utente ).

Al contrario, sui dispositivi ARM , Microsoft vieta la disattivazione dell'avvio sicuro ai produttori.

Caso di Ubuntu

Il forum di Ubuntu presenta due modi per avviare questa distribuzione:

1. indipendentemente dall'UEFI;
2. o facendolo riconoscere dall'UEFI.

La prima soluzione può, in linea di principio, funzionare perché bypassa l'UEFI con un'altra distribuzione Linux, installata su un SSD collegato ad esempio da USB3, eSATA o USB2. Questa disposizione che consente l'accesso non autorizzato (possibilmente dannoso) richiederà un accesso fisico monitorato o bloccato o una crittografia delle informazioni del disco con, ad esempio, TrueCrypt o equivalente, accompagnato da backup rigorosi.

Critiche e controversie

Compatibilità di sistemi operativi alternativi

Non tutti i sistemi operativi supportano l'avvio sicuro .

Se l'utente non disattiva l' avvio protetto in UEFI, ciò può impedire l'uso di alcuni sistemi operativi gratuiti o alternativi.

Nel mondo del software libero , diverse voci si sono levate per denunciare il fatto che la firma sarebbe stata emanata principalmente, o anche esclusivamente, da Microsoft , e non da altri editori di software .

John sullivan

John Sullivan ( Direttore Esecutivo FSF ) non credeva che il motivo principale per "  avvio sicuro  ", che chiama piuttosto avvio esclusivo, fosse la sicurezza, ma per rendere più difficile l'installazione di sistemi operativi concorrenti (non firmati o con una firma accettata dal produttore dell'attrezzatura) e ha creato una polemica.

Microsoft e Intel hanno affermato che sia gli utenti che i produttori possono disattivare questa funzione sui computer alimentati da UEFI che lo consentiranno.

Linus Torvalds

Linus Torvalds , d'altra parte, inizialmente disse che il solo acquisto di un certificato digitale da $ 99  per coprire un'intera distribuzione non gli sembrava un "affare enorme".

Note e riferimenti

1. (in) lista membri su uefi.org, accesso 31 gennaio 2018.
2. (in) "Log di / grub2 / ChangeLog" il gnu.org , 4 giugno 2006 (accede il 1 ° ottobre 2013).
3. (in) "ChangeLog-2.4.20" su kernel.org , 28 nov 2002 (accessibile il 1 ° ottobre 2013).
4. (in) "The EFI Boot Stub" su kernel.org (accesso 12 dicembre 2019).
5. (in) "ChangeLog-3.3.5" su kernel.org , 7 maggio 2012 (accesso 12 dicembre 2019).
6. "Secure boot and Linux: Critics Rise and FSF Petition", su zdnet.fr , 31 gennaio 2013 (accesso 6 maggio 2013).
7. "Secure boot and Linux: 'it's not a pipe contest', enrage Linus Torvalds" , su zdnet.fr , 27 febbraio 2013 (accesso 6 maggio 2013).
8. "Avvio protetto: Canonical avrà la propria chiave di sicurezza per Ubuntu" , su pcinpact.com , 27 giugno 2012 (accesso 30 giugno 2012).
9. (in) "Bootloader Secure Boot per distribuzioni ora disponibile" su mjg59.dreamwidth.org , 30 novembre 2012 (accesso 14 febbraio 2013).
10. (in) "Secure Boot System Linux Foundation rilasciato" su blog.hansenpartnership.com , 8 febbraio 2013 (accesso 14 febbraio 2013).
11. (in) "  Ubuntu 12.10 (Quantal Quetzal) rilasciato!  » , Su ubuntu-news.org (visitato il 12 dicembre 2019 ) .
12. (in) "  Rilascio di Ubuntu 12.04.2 LTS  " su ubuntu-news.org (accesso 12 dicembre 2019 ) .
13. (in) "  Note di rilascio  " su docs.fedoraproject.org (accesso 11 dicembre 2019 ) .
14. (in) "  openSUSE: UEFI  " su en.opensuse.org (visitato il 15 giugno 2015 ) .
15. (in) "  Avvio protetto UEFI (Unified Extensible Firmware Interface)  " su access.redhat.com (accesso 12 dicembre 2019 ) .
16. (in) "  SecureBoot  " su wiki.debian.org (accesso 10 dicembre 2019 ) .
17. “OpenBSD accusa Red Hat e Canonical di tradimento,” il lemondeinformatique.fr , 27 lug 2012 (accessibile 30 luglio 2012).
18. Per Microsoft, Secure Boot relativo a UEFI non è un problema con Windows 8. , su generation-nt.com, 23 settembre 2011, accesso 26 novembre 2017
19. (a) "  Microsoft conferma i timori UEFI, serrature giù dispositivi ARM  " softwarefreedom.org , 12 gennaio 2012.
20. uefi , su ubuntu-fr.org, consultato il 26 novembre 2017
21. Richard M. Stallman, President , su fsf.org, consultato il 26 novembre 2017
22. (in) John Sullivan, Raccomandazioni della Free Software Foundation per distribuzioni di sistemi operativi gratuiti Considerando Secure Boot  : "  Senza dubbio, questo è un ostacolo di cui non abbiamo bisogno in questo momento ed è altamente discutibile la sicurezza che i guadagni realizzati da Secure Boot superano le difficoltà che causerà in pratica agli utenti che cercheranno di provvedere effettivamente alla propria sicurezza sfuggendo a Microsoft Windows.  "
23. (in) "  Avvio sicuro UEFI  " , sito web di Matthew Garrett , sviluppatore Red Hat , 20 settembre 2011.
24. (in) "  Avvio sicuro UEFI ( parte 2 )  " , sito web di Matthew Garrett , sviluppatore Red Hat , 23 settembre 2011.
25. (in) "  Protezione dell'ambiente pre-OS con UEFI  " , blogs.msdn.com , 22 settembre 2011.

Vedi anche

Soluzione alternativa

• coreboot

link esterno

• EFI di Intel
• sito ufficiale del forum UEFI
• Successore del BIOS
• Annuncio MSI