qual é o objetivo do UEFI SecureBoot?

A resposta depende de quanto de conspiração você é.

A tecnologia é capaz de impedir que os rootkits se apossem de partes críticas do sistema de arquivos, mas a mesma tecnologia pode ser usada para impedir o carregamento de um sistema operacional "não aprovado" - onde Não Aprovado é definido pelo fabricante do sistema, não pelo proprietário disso.

Acredito que (no momento) o Secureboot pode ser desativado no BIOS e qualquer sistema pode ser inicializado. É, no entanto, possível que um fabricante possa remover a funcionalidade para desabilitar o Secureboot [Talvez um grande provedor de sistemas operacionais lance dinheiro neles], o que poderia limitar o que pode ser feito com ele.

Para conferir "O que é possível", considere Smartphones. Alguns [como os telefones com a marca Google e Samsung] podem carregar qualquer versão do Android - por exemplo, com suporte da Cyanogenmod, enquanto outros são bloqueados no sistema operacional com o qual eles vêm e não podem ser atualizados - acredito que a LG faz isso e a Motorola fazia isso (Minha esposa tinha um Motorola que não pode ser atualizado a partir de uma antiga versão 2.x do Android - obsolescência forçada - eu noto que sua possível Motorola mudou, pois agora são propriedade do Google). De qualquer forma, os bootloaders bloqueados são comuns em celulares, portanto, se você está olhando para os impactos, pode ser um lugar útil para fazer uma analogia a partir de.

O ponto inteiro é a "cadeia de confiança" que cria. Se eu tiver um pedaço de software que eu preciso ter certeza de que nada malicioso pode interceptar o que estou fazendo e colocar o seu próprio código em que preciso confiar no programa de lançamento do meu programa. Para confiar que o programa que lançou o meu programa, você precisa confiar no programa que lançou o programa que lançou o meu programa, e assim por diante.

O que a inicialização segura fornece é uma âncora para o primeiro "programa confiável". Ele permite que o hardware no computador afirme " Ninguém modificou este gerenciador de inicialização e ele se comportará exatamente como os programadores originais programados ". O gerenciador de inicialização pode verificar " Ninguém modificou este sistema operacional e ele se comportará exatamente como os programadores originais programados ". Em seguida, o sistema operacional pode ir " Ninguém modificou este programa e ele irá se comportar exatamente como os programadores originais programados " e agora você tem um "caminho confiável" do seu programa todo o caminho até o hardware físico executando a máquina, todos verificando se nada interferia ou modificava o comportamento do seu código.

Agora, o que o Bootloader, o SO ou o próprio programa faz com essa cadeia de confiança depende inteiramente da empresa. O Bootloader poderia optar por apenas inicializar sistemas operacionais de um fornecedor específico e você não poderia evitar isso. O sistema operacional pode optar por permitir que apenas o software seja executado e autorizado a ser executado (isso é o que o Windows 8 RT faz através da App Store) e você não pode. O programa poderia implementar alguns do DRM e você não teria como contorná-lo.

Tudo depende do fornecedor do software sobre como usar o Secure Boot.

O Secureboot fornece uma "cadeia de confiança" para, teoricamente, permitir que você execute códigos que tenham uma confiança extremamente alta de ser o código exato que foi assinado com uma chave confiável. O firmware que suporta isso é propagado com um certificado x509 pelo fabricante, que está embutido no firmware.

É uma plataforma um pouco inteligente, que permite alterar manualmente as chaves autorizadas: Em suma, um PK (Platform Key) mostra quem controla a máquina, KEKs (chaves de troca de chaves) mostra quem pode atualizar a máquina e o dbx / db (chaves do banco de dados de assinatura) identifica o código de inicialização que pode inicializar a plataforma no modo seguro. (Veja: link e )

Assim como os certificados confiados pelo seu navegador, qualquer pessoa com dinheiro suficiente pode entrar na "cadeia de confiança" pré-instalada (ou firmware!). Assim, praticamente, Secureboot torna marginalmente mais caro para lançar software para hardware de mercado de massa - tanto para você como para os caras maus.

O que é uma coisa boa. De cara, pode parecer simplesmente levantar a barra e afastar indivíduos e criminosos insignificantes, mas, simplesmente, quando se trata de computação, confiança significa dinheiro. O dinheiro é a melhor medida de confiança pseudônima que nós conseguimos criar, como uma civilização. A confiança é, em última análise, a mercadoria mais valiosa que conhecemos, portanto, o dinheiro tem valor.