He escuchado mucho sobre cómo Microsoft está implementando UEFI Secure Boot en Windows 8. Aparentemente evita que se ejecuten cargadores de arranque "no autorizados" en la computadora, para prevenir malware. Hay una campaña de la Free Software Foundation contra el arranque seguro, y mucha gente ha estado diciendo en línea que es una "toma de poder" por parte de Microsoft para "eliminar los sistemas operativos libres".
Si tengo una computadora que tiene Windows 8 y Secure Boot preinstalados, ¿aún podré instalar Linux (o algún otro sistema operativo) más adelante? ¿O una computadora con arranque seguro solo funciona con Windows?
Respuesta1
Primero que nada, la respuesta simple a tu pregunta:
Si tienes una tableta ARMejecutando Windows RT (como Surface RT o Asus Vivo RT), luegoNo podrá desactivar el arranque seguro ni instalar otros sistemas operativos.. Como muchas otras tabletas ARM, estos dispositivossoloejecute el sistema operativo que vienen con.
Si tienes una computadora que no sea ARMejecutando Windows 8 (como Surface Pro o cualquiera de los innumerables ultrabooks, computadoras de escritorio y tabletas con un procesador x86-64), luegopuedes desactivar el arranque seguro por completo, o puede instalar sus propias claves y firmar su propio gestor de arranque. De cualquier manera,puedes instalar un sistema operativo de terceros como una distribución de Linuxo FreeBSD o DOS o lo que te plazca.
Ahora, pasemos a los detalles de cómo funciona realmente todo este asunto del arranque seguro: hay mucha información errónea sobre el arranque seguro, especialmente de la Free Software Foundation y grupos similares. Esto ha hecho que sea difícil encontrar información sobre lo que realmente hace el arranque seguro, así que haré todo lo posible para explicarlo. Tenga en cuenta que no tengo experiencia personal en el desarrollo de sistemas de arranque seguros ni nada por el estilo; Esto es justo lo que he aprendido leyendo en línea.
En primer lugar,El arranque seguro esnoalgo que se le ocurrió a Microsoft.Son los primeros en implementarlo ampliamente, pero no lo inventaron. Esparte de la especificación UEFI, que es básicamente un reemplazo más nuevo para el BIOS antiguo al que probablemente esté acostumbrado. UEFI es básicamente el software que se comunica entre el sistema operativo y el hardware. Los estándares UEFI son creados por un grupo llamado "Foro UEFI", que está formado por representantes de la industria informática, incluidos Microsoft, Apple, Intel, AMD y un puñado de fabricantes de ordenadores.
Segundo punto más importante,Tener el arranque seguro habilitado en una computadora nonosignifica que la computadora nunca podrá iniciar ningún otro sistema operativo. De hecho, los propios requisitos de certificación de hardware de Windows de Microsoft establecen que para los sistemas que no son ARM, debe poder desactivar el arranque seguro y cambiar las claves (para permitir otros sistemas operativos). Aunque hablaremos más sobre eso más adelante.
¿Qué hace el arranque seguro?
Básicamente, evita que el malware ataque su computadora mediante la secuencia de inicio. El malware que ingresa a través del gestor de arranque puede ser muy difícil de detectar y detener, porque puede infiltrarse en funciones de bajo nivel del sistema operativo, manteniéndolo invisible para el software antivirus. Todo lo que realmente hace Secure Boot es verificar que el gestor de arranque provenga de una fuente confiable y que no haya sido manipulado. Piense en ello como las tapas emergentes de las botellas que dicen "no abrir si la tapa se levanta o si se ha manipulado el sello".
En el nivel superior de protección, tienes la clave de plataforma (PK). Solo hay una PK en cualquier sistema y la instala el OEM durante la fabricación. Esta clave se utiliza para proteger la base de datos KEK. La base de datos KEK contiene claves de intercambio de claves, que se utilizan para modificar las otras bases de datos de arranque seguro. Puede haber varias KEK. Luego existe un tercer nivel: la Base de Datos Autorizada (db) y la Base de Datos Prohibida (dbx). Estos contienen información sobre autoridades de certificación, claves criptográficas adicionales e imágenes de dispositivos UEFI para permitir o bloquear, respectivamente. Para que se permita la ejecución de un gestor de arranque, debe estar firmado criptográficamente con una clave queesen la base de datos, yno esen la base de datos.
Imagen deCreación de Windows 8: protección del entorno anterior al sistema operativo con UEFI
Cómo funciona esto en un sistema certificado por Windows 8 del mundo real
El OEM genera su propia PK y Microsoft proporciona una KEK que el OEM debe cargar previamente en la base de datos de KEK. Luego, Microsoft firma el cargador de arranque de Windows 8 y usa su KEK para colocar esta firma en la base de datos autorizada. Cuando UEFI inicia la computadora, verifica la PK, verifica la KEK de Microsoft y luego verifica el gestor de arranque. Si todo se ve bien, entonces el sistema operativo puede iniciarse.
Imagen deCreación de Windows 8: protección del entorno anterior al sistema operativo con UEFI
¿Dónde entran los sistemas operativos de terceros, como Linux?
En primer lugar, cualquier distribución de Linux podría optar por generar una KEK y solicitar a los OEM que la incluyan en la base de datos de KEK de forma predeterminada. Entonces tendrían tanto control sobre el proceso de arranque como Microsoft. Los problemas con esto, comoexplicado por Matthew Garrett de Fedora, son que a) sería difícil lograr que todos los fabricantes de PC incluyeran la clave de Fedora, y b) sería injusto para otras distribuciones de Linux, ya que su clave no estaría incluida y las distribuciones más pequeñas no tienen tantos OEM. asociaciones.
Lo que Fedora ha decidido hacer (y otras distribuciones están haciendo lo mismo) es utilizar los servicios de firma de Microsoft. Este escenario requiere pagar $99 a Verisign (la autoridad de certificación que usa Microsoft) y otorga a los desarrolladores la posibilidad de firmar su gestor de arranque usando KEK de Microsoft. Dado que la KEK de Microsoft ya estará en la mayoría de las computadoras, esto les permitirá firmar su gestor de arranque para usar Secure Boot, sin requerir su propia KEK. Termina siendo más compatible con más computadoras y, en general, cuesta menos que lidiar con la configuración de su propio sistema de distribución y firma de claves. Hay más detalles sobre cómo funcionará esto (usando GRUB, módulos Kernel firmados y otra información técnica) en la publicación del blog antes mencionada, que recomiendo leer si está interesado en este tipo de cosas.
Supongamos que no quiere lidiar con la molestia de registrarse en el sistema de Microsoft, o no quiere pagar $99, o simplemente tiene rencor contra las grandes corporaciones que comienzan con una M. Existe otra opción para seguir usando el arranque seguro. y ejecutar un sistema operativo que no sea Windows.Certificación de hardware de Microsoft requiereque los OEM permiten a los usuarios ingresar su sistema en el modo UEFI “personalizado”, donde pueden modificar manualmente las bases de datos de arranque seguro y la PK. El sistema se puede poner en modo de configuración UEFI, donde el usuario puede incluso especificar su propia PK y firmar los cargadores de arranque.
Además, los propios requisitos de certificación de Microsoft exigen que los OEM incluyan un método para desactivar el arranque seguro en sistemas que no sean ARM.¡Puedes desactivar el arranque seguro!Los únicos sistemas en los que no se puede desactivar el arranque seguro son los sistemas ARM que ejecutan Windows RT, que funcionan de manera más similar al iPad, donde no se pueden cargar sistemas operativos personalizados. Aunque desearía que fuera posible cambiar el sistema operativo en los dispositivos ARM, es justo decir que Microsoft está siguiendo el estándar de la industria con respecto a las tabletas.
Entonces, ¿el arranque seguro no es intrínsecamente malo?
Como puede ver, el arranque seguro no es malo y no está restringido a su uso únicamente con Windows. La razón por la que la FSF y otros están tan molestos es porque agrega pasos adicionales al uso de un sistema operativo de terceros. Puede que a las distribuciones de Linux no les guste pagar por usar la clave de Microsoft, pero es la forma más fácil y rentable de hacer que Secure Boot funcione para Linux. Afortunadamente, es fácil desactivar el arranque seguro y es posible agregar diferentes claves, evitando así la necesidad de tratar con Microsoft.
Dada la cantidad de malware cada vez más avanzado, Secure Boot parece una idea razonable. No pretende ser un complot malvado para apoderarse del mundo, y es mucho menos aterrador de lo que algunos expertos en software libre te hacen creer.
Lectura adicional:
- Requisitos de certificación de hardware de Microsoft
- Creación de Windows 8: protección del entorno anterior al sistema operativo con UEFI
- Presentación de Microsoft sobre implementación de arranque seguro y administración de claves
- Implementación del arranque seguro UEFI en Fedora
- Descripción general del arranque seguro de TechNet
- Artículo de Wikipedia sobre UEFI
TL;DR:El arranque seguro evita que el malware infecte su sistema a un nivel bajo e indetectable durante el arranque. Cualquiera puede crear las claves necesarias para que funcione, pero es difícil convencer a los fabricantes de computadoras para que las distribuyan.suclave para todos, por lo que, alternativamente, puede optar por pagarle a Verisign para que use la clave de Microsoft para firmar sus cargadores de arranque y hacerlos funcionar.También puede desactivar el arranque seguro encualquiercomputadora que no sea ARM.
Último pensamiento, con respecto a la campaña de la FSF contra el arranque seguro: algunas de sus preocupaciones (es decir, hace que seamás difícilpara instalar sistemas operativos libres) son válidosa un punto. Sin embargo, decir que las restricciones "impedirán que alguien inicie cualquier cosa que no sea Windows" es demostrablemente falso, por las razones ilustradas anteriormente. Hacer campaña contra UEFI/Secure Boot como tecnología es miope, está mal informado y, de todos modos, es poco probable que sea efectivo. Es más importante asegurarse de que los fabricantes realmente sigan los requisitos de Microsoft para permitir a los usuarios desactivar el arranque seguro o cambiar las claves si así lo desean.