Standardní UEFI (z anglického Unified Extensible Firmware Interface , což znamená ve francouzštině : "Unified Extensible Firmware Interface") definuje rozhraní mezi firmware ( firmware ) a operačního systému (OS) jednoho počítače . Toto rozhraní přebírá z BIOSu na některých základních deskách .
UEFI navazuje na EFI ( Extensible Firmware Interface ), navržené společností Intel pro procesory Itanium .
AMD , American Megatrends , Apple , Dell , HP , Intel , IBM , Insyde Software, Microsoft a Phoenix Technologies jsou propagátory fóra UEFI Forum, které stanoví standardy pro tuto technologii.
UEFI Forum pracuje na specifikacích UEFI od roku 2005 a zveřejněna první oficiální UEFI specifikace 2.0 na začátku roku 2006. UEFI proto není standardní , ale technická norma je výsledkem konsensu skupiny průmyslníků.
UEFI poskytuje systému BIOS mnoho výhod: standardní síťové funkce, dobré grafické uživatelské rozhraní, integrovaná správa více instalací operačních systémů a omezuje poštovní disky na 2,2 TB .
BIOS, napsaný v montážním jazyce , omezené úpravy a / nebo výměny, záruka provozní bezpečnosti.
UEFI je napsáno v jazyce C , což činí jeho údržbu flexibilnější a zůstává přijatelnou kvůli snižujícím se nákladům na paměť. Vyvinutý k zajištění nezávislosti mezi operačním systémem a hardwarovou platformou, na které běží, je UEFI k dispozici na platformách Itanium (IA-64), x86 ( 32 a 64 bitů ) a ARM .
Jednou z funkcí systému UEFI je zavedení operačního systému, který dříve zajišťoval systém BIOS.
Specifikace UEFI definují správce spouštění, jehož úlohou je ukládat ovladače a zavaděč operačního systému, které jsou nezbytné pro zavedení. Tento zavaděč je třída aplikace UEFI uložená jako soubory v souborovém systému přístupném k firmwaru. Podporované systémy souborů zahrnují FAT32, FAT16 a FAT12 (ale ne exFAT nebo NTFS). Podporované tabulky oddílů zahrnují formáty MBR a GPT . Na rozdíl od systému BIOS nevyžaduje systém UEFI spouštěcí sektor na konkrétním místě.
Mnoho základních desek stále spoléhá na hybridní firmware založený na balíčku CSM ( Compatiblity Support Module ) , díky čemuž jsou stará přerušení systému BIOS použitelná pro určité služby.
Oficiální terminologie UEFI kategorizuje šest odlišných stavů v procesech spouštění operačního systému:
Kromě klasického dělení podle MBR (omezeno na 2,2 TB ) spravuje UEFI pro disky nový systém dělení nazvaný GPT ( globally unique identifier partition table ). GPT umožňuje 128 primárních oddílů na médiích s kapacitou až 9,4BB (zettabyte, miliarda terabajtů). UEFI tedy umožňuje bootování z disků 2,2 TB a vyšších.
Díky nízkoúrovňové správě disků je klonování disků možné bez nutnosti procházet operačním systémem , což výrazně usnadňuje kopírování disků hostujících více operačních systémů.
UEFI poskytuje prostředí prostředí podobné prostředí unixového prostředí . Lze jej použít ke spuštění dalších aplikací UEFI, které zahrnují zavaděče UEFI . Je možné získat širokou škálu informací o systému a firmwaru , upravovat proměnné nebo upravovat textové soubory a také psát nebo spouštět soubory skriptů s příponou .nsh.
Metody spuštění UEFI Shell závisí na výrobci a modelu základní desky. Ve firmwaru je nejčastěji možnost jej přímo spustit. U verzí kompilovaných pro x86-64 existuje potřeba souboru <EFI_SYSTEM_PARTITION>/SHELLX64.EFI. Příkaz musíte použít bcfgk úpravě přidruženého prostředí.
Většina příkazů nerozlišuje velká a malá písmena, ale ne vždy cesty a názvy souborů, v závislosti na typu použitého systému souborů. Pomocí příkazu help -bmůžete zobrazit stránku nápovědy stránku po stránce. Možnost -bse nachází u většiny příkazů k zobrazení stránky po stránce. Znak >lze použít k přesměrování výstupního proudu příkazu do textového souboru. Například příkaz help > aide.txtzapíše nápovědu do souboru aide.txt.
Zdrojový kód UEFI Shell lze stáhnout ze stránky projektu TianoCore.
Od verze 2.3.1 zahrnuje UEFI funkci, která umožňuje zavádění pouze na rozpoznané operační systémy. Tato funkce má za cíl zakázat spuštění operačního systému poškozeného zejména virem nebo rootkitem . Když byla vydána, tato funkce způsobovala problémy s některými distribucemi Linuxu, které nebyly kompatibilní.
V režimu „ zabezpečeného spouštění “ používá systém UEFI mechanismus ověření digitálního podpisu . Firmware zakazuje jakékoli načítání ovladače nebo jádra, jehož podpis neodpovídá podpisu zapsanému v ROM.
Bezpečné spuštění a bezplatný softwareVe volném softwaru světě se EFF a Linus Torvalds vypověděla tuto funkci „protože brání instalaci a používání jakéhokoli operačního systému soutěžit s Windows “ jako abnormální , Torvalds kritizuje kompromisy přijali Red Hat a Canonical k moci instalovat Linux na počítačích, kde je aktivováno bezpečné spuštění (nákup bezpečnostního klíče).
Do poloviny roku 2012 ne všechny distribuce přijaly podpis operačního systému , z nichž některé jej kvůli svému stavu nemohly přijmout.
Od začátku roku 2013 existují dva bootloadery podepsané společností Microsoft, a proto je PC s certifikací Windows 8 uznávají : Shim a Linux Foundation Secure Boot System .
Rozdělení | Secure Boot Position |
---|---|
Ubuntu | Podporováno od verzí 12.10 a 12.04.2 LTS |
Fedora | Podporováno od verze 18 |
openSUSE | Podporováno od verze 12.3 |
RHEL | Podporováno od verze 7 |
Debian | Podporováno od verze 10 |
OpenBSD | Z důvodu nedostatečné spolupráce se společností Microsoft není tato funkce podporována. |
Microsoft Windows 8 volitelně podporuje bezpečné bootování díky digitálnímu podpisu zaslanému výrobcům základních desek.
Podle certifikačního programu Windows musí zařízení, která nejsou ARM, povinně nabízet dva režimy bezpečného spouštění , „Standardní“ a „Vlastní“, ve kterých může uživatel nejen přidávat nebo mazat další podpisy, ale také deaktivovat zabezpečené spouštění (vyžaduje fyzickou přítomnost uživatele ).
Naopak na zařízeních ARM společnost Microsoft zakazuje deaktivaci zabezpečeného spouštění výrobcům.
Pouzdro UbuntuFórum Ubuntu představuje dva způsoby spuštění této distribuce:
První řešení může v zásadě fungovat, protože obchází UEFI s jinou distribucí Linuxu nainstalovanou na SSD připojeném například přes USB3, eSATA nebo USB2. Toto ustanovení umožňující neoprávněný přístup (pravděpodobně škodlivý) bude vyžadovat buď monitorovaný nebo uzamčený fyzický přístup, nebo šifrování informací o disku například pomocí TrueCrypt nebo ekvivalentu, doprovázené přísnými zálohami.
Ne všechny operační systémy podporují bezpečné spuštění .
Pokud uživatel deaktivuje zabezpečené spuštění v systému UEFI, může to zabránit použití určitých bezplatných nebo alternativních operačních systémů .
Ve světě svobodného softwaru se ozývá několik hlasů, které odsuzují skutečnost, že podpis by vycházel hlavně nebo dokonce výlučně od společnosti Microsoft , a nikoli od jiných vydavatelů softwaru .
John SullivanJohn Sullivan ( výkonný ředitel FSF ) nevěřil, že hlavním důvodem „ zabezpečeného bootování “, kterému říká spíše exkluzivní boot , je bezpečnost, ale ztěžuje instalaci konkurenčních operačních systémů (bez podpisu nebo bez podpisu akceptovaného výrobce zařízení) a vyvolal polemiku.
Microsoft a Intel uvedli, že uživatelé i výrobci mohou tuto funkci vypnout na počítačích se systémem UEFI, které to umožní.
Linus TorvaldsNa druhé straně Linus Torvalds původně řekl, že pouhý nákup digitálního certifikátu za 99 USD na pokrytí celé distribuce se mu nezdá být „obrovským obchodem“.