统信软件高级副总经理张磊表示,统信 UOS 是国内首家获得 UEFI 签名认证的自主操作系统。
统信 UOS 获得 UEFI 签名认证
8 月 11 日,统信软件发布消息称,在 7 月底的统信软件新品牌标识发布会上,统信软件高级副总经理张磊在介绍统信 UOS(1040)时提到,“统信 UOS 是国内首家获得 UEFI 签名认证的自主操作系统”。
在此之前,包括 RedHat、Ubuntu、Debian、Fedora、CentOS 等基于 Linux 内核的国外发行版系统已经支持 UEFI 安全启动,国内方面,统信 UOS 则成为第一家获得 UEFI 签名认证的操作系统。
据悉,安全启动(Secure Boot)是 UEFI 扩展协议定义的安全标准,可以确保设备只使用 OEM 厂商信任的软件启动。
当电脑启动时,固件会检查每个启动软件片段的签名,包括 UEFI 固件驱动程序、EFI 应用程序和操作系统。如果签名有效,则电脑将会启动,而固件会将控制权转递给操作系统。简单概括就是:安全启动是在设备启动时就开始对恶意软件进行防御的一种技术,是计算机信息安全的起点。
当前,由于电脑的品牌型号和硬件主板有所差异,很多电脑在出厂设置时默认开启了安全启动模式,安装 Linux 操作系统可能出现安装失败无法进入引导界面的情况。以往有效的解决方式通常是关闭安全启动选项后,才能正常安装系统,但这种设定模式对于初次体验自主操作系统的用户极不友好。
获得 UEFI 签名认证后,无论电脑是否开启安全启动,在 x86 架构下都能正常顺利的安装统信 UOS。
据统信方面介绍,统信 UOS(1040)除了增加了安全启动的支持,在系统安全方面,还修复了上个版本中的安全漏洞,升级了系统多个安全机制,包括:对操作系统日志隐私进行加密处理、提供了全新的多因子认证框架、安全中心提供了更丰富的主动防御功能等,带来系统安全性的全面提升。
UEFI 的整体架构
据了解,UEFI 的前身是 Intel 在 1998 年开始开发的 Intel Boot Initiative,后来被重命名为可扩展固件接口(Extensible Firmware Interface,缩写 EFI)。Intel 在 2005 年将其交由统一可扩展固件接口论坛来推广与发展,为了凸显这一点,EFI 也更名为 UEFI(Unified EFI)。
据公众号“UEFI 社区”介绍,UEFI 提供了一个标准接口,以便在硬件发生变更时固件能提供足够信息而保证操作系统不受影响。它包含有芯片组和外设芯片驱动程序,并通过系统表提供引导时服务和运行时服务。
下图展示了依赖于 UEFI 所提供的服务来工作的操作系统装载器(即 EFI OS Loader) 是如何启动操作系统内核的。其他工业标准接口,如 ACPI 和 SMBIOS 等,和 UEFI 也是并行不悖的。
此外,UEFI 还提供了一个有序的方法来加载驱动程序和处理它们之间的相互依赖性。当必要的驱动程序被加载后,引导管理器或调度器会尝试(查询)一系列预配置好的引导路径或引导设备。
在进行该操作时,一个调用了 UEFI 引导时服务的文件会被加载和执行。这个文件的加载操作是确保安全的一个重要支撑点。如果引导失败,会返回到 UEFI 引导管理器对此进行处理。
评论