9Aug
Las PC modernas se envían con una función llamada "Arranque seguro" habilitada. Esta es una función de plataforma en UEFI, que reemplaza al PC BIOS tradicional. Si un fabricante de PC desea colocar un adhesivo con el logotipo "Windows 10" o "Windows 8" en su PC, Microsoft requiere que active el Arranque seguro y siga algunas pautas.
Desafortunadamente, también le impide instalar algunas distribuciones de Linux, lo que puede ser bastante complicado.
Cómo Secure Boot asegura el proceso de arranque de su PC
Secure Boot no solo está diseñado para dificultar la ejecución de Linux. Existen ventajas reales de seguridad al tener habilitado el Arranque seguro, e incluso los usuarios de Linux pueden beneficiarse de ellos.
Un BIOS tradicional arrancará cualquier software. Cuando inicia su PC, comprueba los dispositivos de hardware de acuerdo con el orden de arranque que ha configurado e intenta iniciar desde ellos. Las PC típicas normalmente encontrarán y arrancarán el cargador de arranque de Windows, que inicia el sistema operativo completo de Windows. Si usa Linux, el BIOS encontrará y arrancará el cargador de arranque GRUB, que usa la mayoría de las distribuciones de Linux.
Sin embargo, es posible que un malware, como un rootkit, reemplace su cargador de arranque. El rootkit podría cargar su sistema operativo normal sin indicar que algo estaba mal, permaneciendo completamente invisible e indetectable en su sistema. El BIOS no conoce la diferencia entre el malware y un cargador de arranque de confianza: simplemente inicia lo que encuentra.
Secure Boot está diseñado para detener esto. Las PC con Windows 8 y 10 se envían con el certificado de Microsoft almacenado en UEFI.UEFI comprobará el gestor de arranque antes de ejecutarlo y se asegurará de que esté firmado por Microsoft. Si un rootkit u otra pieza de malware reemplaza su gestor de arranque o lo manipula, UEFI no permitirá que se inicie. Esto evita que el malware secune su proceso de arranque y se oculte a sí mismo desde su sistema operativo.
Cómo Microsoft permite que las distribuciones de Linux arranquen con arranque seguro
Esta característica, en teoría, está diseñada para proteger contra el malware. Entonces, Microsoft ofrece una forma de ayudar a las distribuciones de Linux a arrancar de todos modos. Es por eso que algunas distribuciones modernas de Linux, como Ubuntu y Fedora, "simplemente funcionarán" en las PC modernas, incluso con Secure Boot habilitado. Las distribuciones de Linux pueden pagar una tarifa única de $ 99 para acceder al portal de Microsoft Sysdev, donde pueden solicitar la firma de sus cargadores de arranque. Las distribuciones de
Linux generalmente tienen un "shim" firmado. El shim es un pequeño gestor de arranque que simplemente arranca el cargador de arranque GRUB principal de distribuciones de Linux. El shim firmado por Microsoft comprueba que está arrancando un gestor de arranque firmado por la distribución de Linux, y luego la distribución de Linux arranca normalmente.
Ubuntu, Fedora, Red Hat Enterprise Linux y openSUSE actualmente son compatibles con Secure Boot, y funcionarán sin ningún tipo de ajustes en el hardware moderno. Puede haber otros, pero estos son de los que tenemos conocimiento. Algunas distribuciones de Linux son filosóficamente opuestas a la solicitud de ser firmado por Microsoft.
Cómo puede usted deshabilitar o controlar el Arranque seguro
Si eso fue todo lo que hizo el Arranque seguro, no podría ejecutar en su PC ningún sistema operativo no aprobado por Microsoft. Pero es probable que controle Secure Boot desde el firmware UEFI de su PC, que es como el BIOS en PC más antiguas.
Hay dos formas de controlar Secure Boot. El método más fácil es dirigirse al firmware de UEFI y deshabilitarlo por completo. El firmware UEFI no se comprobará para asegurarse de que está ejecutando un gestor de arranque firmado, y todo se iniciará.Puede iniciar cualquier distribución de Linux o incluso instalar Windows 7, que no es compatible con Secure Boot. Windows 8 y 10 funcionarán bien, solo perderá las ventajas de seguridad de tener Secure Boot para proteger su proceso de arranque.
También puede personalizar aún más Secure Boot. Puede controlar qué certificados de firma ofrece Secure Boot. Puede instalar certificados nuevos y eliminar certificados existentes. Una organización que ejecutó Linux en sus PC, por ejemplo, podría optar por eliminar los certificados de Microsoft e instalar el propio certificado de la organización en su lugar. Esas computadoras solo arrancarían cargadores de arranque aprobados y firmados por esa organización específica.
Una persona también podría hacer esto: puede firmar su propio gestor de arranque de Linux y asegurarse de que su PC solo pueda arrancar los cargadores de arranque compilados y firmados personalmente. Ese es el tipo de control y potencia que Secure Boot ofrece.
Lo que Microsoft requiere de los fabricantes de PC
Microsoft no solo exige que los proveedores de PC habiliten Secure Boot si desean la calcomanía de certificación "Windows 10" o "Windows 8" en sus PC.Microsoft requiere que los fabricantes de PC lo implementen de una manera específica.
Para PC con Windows 8, los fabricantes tenían que darle una forma de desactivar el arranque seguro. Microsoft exigió a los fabricantes de PC que pusieran un interruptor de arranque seguro en las manos de los usuarios.
Para PC con Windows 10, esto ya no es obligatorio. Los fabricantes de PC pueden optar por habilitar el Arranque seguro y no dar a los usuarios una manera de apagarlo. Sin embargo, en realidad no conocemos ningún fabricante de PC que haga esto.
De forma similar, aunque los fabricantes de PC deben incluir la clave principal de "Microsoft PCA de producción de Microsoft" para que Windows pueda arrancar, no es necesario que incluyan la clave "Microsoft Corporation UEFI CA".Esta segunda clave solo se recomienda. Es la segunda clave opcional que Microsoft usa para firmar los cargadores de arranque de Linux. La documentación de Ubuntu explica esto.
En otras palabras, no todas las PC arrancarán necesariamente las distribuciones de Linux firmadas con Secure Boot activado. Nuevamente, en la práctica, no hemos visto ninguna PC que haya hecho esto. Quizás ningún fabricante de PC quiera fabricar la única línea de laptops en las que no puede instalar Linux.
Por ahora, al menos, las PC convencionales de Windows deberían permitirle desactivar el inicio seguro si lo desea, y deberían iniciar distribuciones de Linux que hayan sido firmadas por Microsoft, incluso si no desactiva el arranque seguro. El arranque seguro
no se pudo desactivar en Windows RT, pero Windows RT está muerto.
Todo lo anterior es cierto para los sistemas operativos estándar Windows 8 y 10 en el hardware Intel x86 estándar. Es diferente para ARM.
En Windows RT, la versión de Windows 8 para hardware ARM, que se envió en Surface RT y Surface 2 de Microsoft, entre otros dispositivos, Secure Boot no se pudo desactivar. Hoy, Secure Boot aún no se puede desactivar en el hardware de Windows 10 Mobile; en otras palabras, teléfonos que ejecutan Windows 10.
Esto se debe a que Microsoft quería que pensara en los sistemas Windows RT basados en ARM como "dispositivos", no como PC.Como Microsoft le dijo a Mozilla, Windows RT "ya no es Windows".
Sin embargo, Windows RT ahora está agotado. No hay ninguna versión del sistema operativo de escritorio para Windows 10 para hardware ARM, por lo que ya no es algo de lo que tenga que preocuparse. Pero, si Microsoft trae de vuelta el hardware de Windows RT 10, es probable que no pueda deshabilitar el arranque seguro en él. Crédito de imagen de
: Ambassador Base, John Bristowe
