UEFI standard (în limba engleză Unified Extensible Firmware Interface , care înseamnă în franceză : „Unified Extensible Firmware Interface”) definește o interfață între firmware ( firmware ) și sistemul de operare (OS) al unui computer . Această interfață preia din BIOS pe unele plăci de bază .
UEFI urmează EFI ( Extensible Firmware Interface ), proiectată de Intel pentru procesoarele Itanium .
AMD , American Megatrends , Apple , Dell , HP , Intel , IBM , Insyde Software, Microsoft și Phoenix Technologies sunt promotorii Forumului UEFI care stabilesc standardele pentru această tehnologie.
Forumul UEFI a lucrat la caietul de sarcini UEFI începând cu anul 2005 și a publicat primul oficial UEFI caietul de sarcini 2.0 la începutul anului 2006. UEFI este , prin urmare , nu este un standard de , ci un standard tehnic care rezultă din consensul unui grup de industriași.
UEFI oferă multe avantaje BIOS-ului: caracteristici de rețea standard, rezoluție bună GUI, gestionare integrată a mai multor instalații de sisteme de operare și limitează discurile poștale la 2,2 TB .
BIOS-ul, scris în limbaj de asamblare , modificări și / sau înlocuiri limitate, o garanție a siguranței și securității operaționale.
UEFI este scris în C , ceea ce face ca întreținerea să fie mai flexibilă și să rămână acceptabilă datorită scăderii costurilor de memorie. Dezvoltat pentru a asigura independența între sistemul de operare și platforma hardware pe care rulează, UEFI este disponibil pe platformele Itanium (IA-64), x86 ( 32 și 64 biți ) și ARM .
Una dintre funcțiile UEFI este bootarea unui sistem de operare, furnizat anterior de BIOS.
Specificațiile UEFI definesc un manager de încărcare al cărui rol este să stocheze driverele și încărcătorul sistemului de operare necesare pentru pornire. Acest încărcător este o clasă de aplicație UEFI stocată ca fișiere pe un sistem de fișiere accesibil firmware-ului. Sistemele de fișiere acceptate includ FAT32, FAT16 și FAT12 (dar nu exFAT sau NTFS). Tabelele de partiții acceptate includ formate MBR și GPT . Spre deosebire de BIOS, UEFI nu necesită ca sectorul de boot să se afle într-o anumită locație.
Multe plăci de bază se bazează în continuare pe firmware-ul hibrid bazat pe pachetul CSM ( Compatiblity Support Module ) , făcând întreruperile vechi ale BIOS-ului utilizabile pentru anumite servicii.
Terminologia oficială UEFI clasifică șase stări distincte în procesele de pornire a sistemului de operare:
În plus față de partiționarea clasică de MBR (limitată la 2,2 TB ), UEFI gestionează pentru discuri, un nou sistem de partiționare numit GPT ( tabel de partiții de identificare unic la nivel global ). GPT permite 128 de partiții primare pe suporturi media cu capacitate de până la 9,4BB (zettabyte, miliarde de terabytes). UEFI permite astfel pornirea de pe discuri de 2,2 TB sau mai mari.
Cu gestionarea discurilor la nivel scăzut, clonarea discurilor este posibilă fără a trece prin sistemul de operare , ceea ce face mult mai ușoară copierea discurilor care găzduiesc mai multe sisteme de operare.
UEFI oferă un mediu de shell similar cu cel găsit într-un shell Unix . Poate fi folosit pentru a lansa alte aplicații UEFI, care includ încărcătoare de încărcare UEFI . Este posibil să obțineți o mare varietate de informații despre sistem și firmware , să modificați variabile sau să editați fișiere text, precum și să scrieți sau să rulați fișiere script cu extensia .nsh.
Metodele de lansare a UEFI Shell depind de producător și de modelul plăcii de bază. Cel mai adesea există o opțiune în firmware pentru a o lansa direct. Pentru versiunile compilate pentru x86-64, este nevoie de un fișier <EFI_SYSTEM_PARTITION>/SHELLX64.EFI. Trebuie să utilizați comanda bcfgpentru a modifica shell-ul asociat.
Cele mai multe comenzi nu disting majuscule, dar nu întotdeauna căi și nume de fișiere, în funcție de tipul de sistem de fișiere utilizat. Utilizarea comenzii help -bvă permite să afișați ajutorul pagină cu pagină. Opțiunea -bse găsește pe majoritatea comenzilor pentru a afișa pagină cu pagină. Caracterul >poate fi folosit pentru a redirecționa fluxul de ieșire al comenzii către un fișier text. De exemplu, comanda help > aide.txtscrie ajutorul în fișier aide.txt.
Codul sursă UEFI Shell poate fi descărcat de pe pagina proiectului TianoCore.
De la versiunea 2.3.1, UEFI a inclus o caracteristică care permite bootarea doar pe sisteme de operare recunoscute. Această caracteristică își propune să interzică pornirea unui sistem de operare corupt în special de un virus sau un rootkit . Când a fost lansată, această caracteristică a provocat probleme cu unele distribuții Linux care nu erau compatibile.
În modul „ boot sigur ” , UEFI utilizează un mecanism de verificare a semnăturii digitale . Firmware-ul interzice orice încărcare a driverului sau a nucleului a cărui semnătură nu corespunde cu cea scrisă în ROM.
Boot securizat și software gratuitÎn lumea software-ului liber , EFF și Linus Torvald au denunțat această caracteristică „deoarece împiedică instalarea și utilizarea oricărui sistem de operare care concurează cu Windows ” ca fiind anormale , Torvalds criticând compromisurile acceptate de Red Hat și Canonical pentru a putea instala Linux pe mașinile în care este activat boot-ul securizat (achiziționarea unei chei de securitate).
Până la mijlocul anului 2012, nu toate distribuțiile adoptaseră semnătura sistemului de operare , dintre care unele nu o puteau adopta din cauza statutului lor.
De la începutul anului 2013, au existat două bootloadere semnate de Microsoft și, prin urmare, recunoscute de PC-urile certificate Windows 8 : Shim și Linux Foundation Secure Boot System .
Distribuție | Poziție de încărcare sigură |
---|---|
Ubuntu | Suportat încă din versiunile 12.10 și 12.04.2 LTS |
Fedora | Suportat de la versiunea 18 |
openSUSE | Suportat de la versiunea 12.3 |
RHEL | Suportat de la versiunea 7 |
Debian | Suportat de la versiunea 10 |
OpenBSD | Din cauza lipsei de colaborare cu Microsoft, această funcție nu este acceptată. |
Windows 8 al Microsoft acceptă opțional boot-ul sigur datorită unei semnături digitale trimise producătorilor de plăci de bază.
Potrivit pentru Windows programul de certificare , non - ARM dispozitive trebuie să ofere două obligatoriu de boot sigure moduri , „Standard“ și „personalizat“ , în care utilizatorul poate nu numai adăuga sau șterge semnături suplimentare , dar , de asemenea , dezactiva burduful securizat (prezența fizică a utilizatorului necesară ).
Dimpotrivă, pe dispozitivele ARM , Microsoft interzice producătorilor dezactivarea pornirii sigure .
Cazul UbuntuForumul Ubuntu prezintă două modalități de a începe această distribuție:
Prima soluție poate funcționa, în principiu, deoarece ocolește UEFI cu o altă distribuție Linux, instalată pe un SSD conectat prin USB3, eSATA sau USB2 de exemplu. Această prevedere care permite accesul neautorizat (posibil rău intenționat) va necesita fie un acces fizic monitorizat sau blocat, fie o criptare a informațiilor de pe disc, de exemplu TrueCrypt sau echivalent, însoțit de copii de siguranță riguroase.
Nu toate sistemele de operare acceptă boot-ul sigur .
Dacă utilizatorul nu dezactivează boot-ul securizat în UEFI, acest lucru poate împiedica utilizarea anumitor sisteme de operare gratuite sau alternative.
În lumea software-ului liber , mai multe voci sunt ridicate pentru a denunța faptul că semnătura ar emana în principal, sau chiar exclusiv, de la Microsoft și nu de la alți editori de software .
John SullivanJohn Sullivan ( Director Executiv FSF ) nu credea că principalul motiv al „ bootului sigur ”, pe care el îl numește mai degrabă boot exclusiv, este securitatea, ci pentru a face mai dificilă instalarea sistemelor de operare concurente (nesemnate sau neavând o semnătură acceptată de producător al echipamentului) și a creat o controversă.
Microsoft și Intel au spus că atât utilizatorii, cât și producătorii pot dezactiva această caracteristică pe computerele alimentate de UEFI, care o vor permite.
Linus TorvaldsLinus Torvalds , pe de altă parte, a spus inițial că doar cumpărarea unui certificat digital de 99 USD pentru a acoperi o distribuție întreagă nu i s-a părut o „afacere uriașă”.