Windows 11, najkorišćeniji potrošački operativni sistem na svetu, donosi mnoge prednosti i unapređenja u odnosu na prethodnike, ali i jednu staru kontroverzu – obavezno digitalno potpisivanje drajvera.

Microsoftova zaštita kernela povećava bezbednost, ali smanjuje slobodu vlasnika računara

Reč je o bezbednosnoj funkciji koja postoji još od Windows Viste, ali je u Windows 10 i 11 postala strogo nametnuta i gotovo neizbežna. Za prosečnog korisnika, ovo pravilo znači stabilniji sistem i manju verovatnoću da će malware ili rootkit dobiti pristup računaru. Međutim, za napredne korisnike i male developere, ono često deluje kao ograničenje i svojevrsno zaključavanje računara, gde Microsoft odlučuje šta je dozvoljeno, a šta nije.

Šta zapravo znači potpisan drajver (signed driver)?

Drajver je deo softvera koji omogućava da hardver „priča“ sa operativnim sistemom. Pošto radi na najnižem nivou – u samom kernelu – bilo kakva greška ili zlonamerna intervencija može da ugrozi ceo sistem. Zbog toga Microsoft zahteva da drajver bude potpisan – odnosno da ima kriptografski sertifikat izdat od strane pouzdane autoritetske institucije (najčešće Microsofta). Na taj način se proverava da li je kod autentičan i da li je menjan nakon izdavanja. Ako drajver nije potpisan, Windows jednostavno odbija da ga učita. Čak ni administratorski nalog nema privilegije da ga natera da radi – osim ako se ne isključi „Driver Signature Enforcement“ ručno pri podizanju sistema, što se posle resetovanja automatski vraća.

Zašto je ovo dobro za bezbednost

Ovaj sistem zaštite značajno je smanjio rizik od rootkit-a, malvera i drugih napada na kernel, jer zlonamerni programi više ne mogu da ubace sopstveni drajver i steknu najviše privilegije na računaru.

Antivirus i zaštita su efikasniji jer nema „nevidljivog“ koda u kernelu.

Anti-cheat sistemi u igrama koriste potpisane drajvere da zaustave varalice koje pokušavaju da dobiju prednost manipulisanjem memorijom igre.

Secure Boot i TPM dodatno osiguravaju da se samo provereni kod učitava već od trenutka paljenja računara.

Drugim rečima, Microsoft je zatvorio jednu od najopasnijih rupa koje su postojale u vreme Windows XP-a i ranijih sistema.

Ali – zašto je ovo problem za korisnike?

Sigurnost ovde ima i drugu stranu – gubitak slobode korisnika. Ako želite da instalirate sopstveni drajver, recimo za stariji hardver ili za eksperimentalni projekat, naići ćete na zid.

Stari uređaji – imate li staru periferiju iz doba Windows XP-a? Ako njen drajver nije potpisan, Windows 11 ga neće ni pogledati. To znači da mnogi uređaji završavaju u fioci ili na otpadu, iako su i dalje potpuno funkcionalni.

Mali developeri i open-source zajednica – da bi drajver dobio potpis, potrebno je platiti skupe sertifikate i proći kroz komplikovan proces verifikacije. To je lako za velike korporacije, ali teško za male timove ili hobiste.

Kontrola nad sopstvenim računarom – korisnik faktički ne može samostalno odlučiti šta želi da učita u kernel. Microsoft ostaje vrhovni arbitar.

Čak i poznati alati, poput WinRing0 (koji su koristili Razer, SteelSeries i mnogi drugi proizvođači za kontrolu ventilatora i RGB osvetljenja), blokirani su kada su otkrivene ranjivosti. To je mnoge programe praktično ugasilo preko noći.

Microsoft kao čuvar, ali i gatekeeper

Nema sumnje da je ovaj sistem koristan i da je doprineo stabilnosti Windows platforme. Međutim, istovremeno je učvrstio Microsoftovu poziciju kao centralnog čuvara svega što se dešava u kernelu. To znači da kompanija, zajedno sa nekoliko sertifikacionih tela, određuje šta sme da radi na vašem računaru. I dok je to dobra vest za bezbednost, za korisnike koji žele punu kontrolu – to je loša. U krajnjoj liniji, imate utisak da računar ne posedujete u potpunosti, već ga samo „iznajmljujete“ pod Microsoftovim uslovima.

Linux kao kontrast

Na Linuxu ovakvo centralizovano ograničenje ne postoji. Korisnik može da učita sopstveni kernel modul ili čak da ponovo kompajlira ceo kernel. To daje potpunu slobodu, ali i otvara vrata zloupotrebama – zato mnogi anti-cheat sistemi u igrama jednostavno ne rade na Linuxu. Na Windowsu, igre i kompanije imaju sigurnosnu garanciju zahvaljujući potpisanim drajverima. Na Linuxu – sloboda korisnika znači i slobodu prevaranata.

Zaključak: sigurnost protiv slobode

Obavezno potpisivanje drajvera u Windowsu 11 jedan je od najboljih primera kako se sigurnost i sloboda korisnika često sukobljavaju.

Za prosečne korisnike, to je odlična stvar: računari su zaštićeniji, stabilniji i otporniji na napade.

Za entuzijaste, developere i vlasnike starog hardvera, to je ograničenje koje im oduzima deo kontrole nad sopstvenim uređajem.

Na kraju, ovo pravilo pokazuje da Microsoft ne veruje ni samom korisniku kada je u pitanju kernel. Za neke, to je cena koju vredi platiti za sigurnost. Za druge, to je razlog da pogledaju ka alternativama poput Linuxa.



Izvor: Xda-developers