17Aug
El nuevo sistema UEFI Secure Boot en Windows 8 ha causado más confusiones, especialmente entre los usuarios con doble arranque. Siga leyendo mientras aclaramos los conceptos erróneos sobre el arranque dual con Windows 8 y Linux.
Pregunta de hoy &La sesión de respuesta nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web Q & A dirigida por la comunidad.
La pregunta
SuperUser reader Harsha K tiene curiosidad sobre el nuevo sistema UEFI.Él escribe:
He escuchado mucho sobre cómo Microsoft está implementando UEFI Secure Boot en Windows 8. Aparentemente, evita que los cargadores de arranque "no autorizados" se ejecuten en la computadora, para evitar el malware. Hay una campaña de la Free Software Foundation contra el arranque seguro, y mucha gente ha estado diciendo en línea que es una "toma de poder" por parte de Microsoft para "eliminar los sistemas operativos gratuitos".
Si obtengo una computadora que tiene preinstalados Windows 8 y Secure Boot, ¿podré seguir instalando Linux( u otro sistema operativo) más adelante?¿O una computadora con Secure Boot solo funciona con Windows?
Entonces, ¿cuál es el trato?¿Los botines duales están realmente fuera de suerte?
La respuesta
SuperUser contribuidor Nathan Hinkle ofrece una visión general fantástica de lo que UEFI es y no es:
En primer lugar, la respuesta simple a su pregunta:
- Si tiene una tableta ARM con Windows RT( como Surface RT o laAsus Vivo RT), luego no podrá deshabilitar el arranque seguro ni instalar otros sistemas operativos .Al igual que muchas otras tabletas ARM, estos dispositivos solo ejecutarán el sistema operativo que vienen con ellos.
- Si tiene un que no es de ARM que ejecuta Windows 8( como Surface Pro o cualquiera de los innumerables ultrabooks, equipos de escritorio y tabletas con un procesador x86-64), entonces puede desactivar Secure Boot completamente , o puedeinstala tus propias llaves y firma tu propio gestor de arranque. De cualquier manera, puede instalar un SO de terceros como una distribución de Linux o FreeBSD o DOS o lo que sea que le plazca.
Ahora, a los detalles de cómo funciona todo esto de Secure Boot: hay mucha información errónea sobre Secure Boot, especialmente de Free Software Foundation y grupos similares. Esto ha dificultado encontrar información sobre lo que realmente hace el Arranque Seguro, así que haré todo lo posible para explicarlo. Tenga en cuenta que no tengo experiencia personal con el desarrollo de sistemas de arranque seguros ni nada de eso;esto es solo lo que aprendí leyendo en línea.
En primer lugar, Secure Boot es y no algo que se le ocurrió a Microsoft. Son los primeros en implementarlo ampliamente, pero no lo inventaron. Es parte de la especificación UEFI, que básicamente es un reemplazo más nuevo para el BIOS antiguo al que probablemente estés acostumbrado. UEFI es básicamente el software que habla entre el sistema operativo y el hardware. Los estándares de UEFI son creados por un grupo llamado "Foro UEFI", que está compuesto por representantes de la industria informática que incluyen Microsoft, Apple, Intel, AMD y un puñado de fabricantes de computadoras.
El segundo punto más importante, con Secure Boot habilitado en una computadora, no significa que la computadora nunca puede arrancar ningún otro sistema operativo .De hecho, los propios requisitos de certificación de hardware de Windows de Microsoft establecen que, para los sistemas que no son ARM, debe poder deshabilitar el inicio seguro y cambiar las claves( para permitir otros sistemas operativos).Más sobre eso más tarde sin embargo.
¿Qué hace Secure Boot?
Básicamente, evita que el malware ataque su computadora a través de la secuencia de arranque. El malware que ingresa a través del gestor de arranque puede ser muy difícil de detectar y detener, ya que puede infiltrar las funciones de bajo nivel del sistema operativo, manteniéndolo invisible para el software antivirus. Todo lo que realmente hace Secure Boot es que comprueba que el gestor de arranque es de una fuente confiable y que no ha sido alterado. Piense en ello como las tapas emergentes de las botellas que dicen "no abrir si la tapa está levantada o el sello ha sido manipulado".
En el nivel superior de protección, tiene la clave de plataforma( PK).Solo hay un PK en cualquier sistema, y el OEM lo instala durante la fabricación. Esta clave se usa para proteger la base de datos KEK.La base de datos KEK contiene claves de intercambio clave, que se utilizan para modificar las otras bases de datos de inicio seguras. Puede haber múltiples KEK.Hay un tercer nivel: la base de datos autorizada( db) y la base de datos prohibida( dbx).Estos contienen información sobre las Autoridades de certificación, claves criptográficas adicionales y las imágenes del dispositivo UEFI para permitir o bloquear, respectivamente. Para que un gestor de arranque pueda ejecutarse, debe estar firmado criptográficamente con una clave que sea en el archivo db, y no sea en el dbx.
Imagen de Building Windows 8: Protección del entorno pre-OS con UEFI
Cómo funciona esto en un sistema certificado por Windows 8 en el mundo real
El OEM genera su propia PK, y Microsoft proporciona una KEK que el OEM debecargar en la base de datos KEK.Microsoft luego firma el cargador de arranque de Windows 8 y usa su KEK para poner esta firma en la base de datos autorizada. Cuando UEFI inicia la computadora, verifica la PK, verifica la KEK de Microsoft y luego verifica el gestor de arranque. Si todo se ve bien, entonces el SO puede arrancar.
Imagen de Building Windows 8: Protección del entorno pre-OS con UEFI
¿De dónde vienen los sistemas operativos de terceros, como Linux?
Primero, cualquier distribución de Linux podría optar por generar una KEK y pedirles a los OEM que la incluyan en la base de datos KEK de forma predeterminada. Tendrían tanto control sobre el proceso de arranque como lo hace Microsoft. Los problemas con esto, según lo explicado por Matthew Garrett de Fedora, son que a) sería difícil conseguir que cada fabricante de PC incluyera la clave de Fedora, yb) sería injusto con otras distribuciones de Linux, porque su clave no se incluiría, ya que las distribuciones más pequeñas no tienen tantas asociaciones OEM.
Lo que Fedora ha elegido hacer( y otras distros son las siguientes) es usar los servicios de firma de Microsoft. Este escenario requiere pagar $ 99 a Verisign( la Autoridad de Certificación que usa Microsoft), y les otorga a los desarrolladores la capacidad de firmar su gestor de arranque utilizando la KEK de Microsoft. Dado que el KEK de Microsoft ya estará en la mayoría de las computadoras, esto les permite firmar su gestor de arranque para usar el Arranque seguro, sin requerir su propia KEK.Termina siendo más compatible con más computadoras, y cuesta menos en general que lidiar con la configuración de su propio sistema de firma y distribución de llaves. Hay más detalles sobre cómo funcionará esto( usando GRUB, módulos Kernel firmados y otra información técnica) en la publicación de blog antes mencionada, que recomiendo leer si está interesado en este tipo de cosas.
Supongamos que no quiere lidiar con la molestia de registrarse en el sistema de Microsoft, o no quiere pagar $ 99, o simplemente tiene un resentimiento contra las grandes corporaciones que comienzan con una M. Hay otra opción para seguir usando SecureArranque y ejecute un sistema operativo que no sea Windows. La certificación de hardware de Microsoft requiere que permita a los usuarios ingresar su sistema al modo "personalizado" de UEFI, donde pueden modificar manualmente las bases de datos de Arranque seguro y el PK.El sistema puede colocarse en el modo de configuración UEFI, donde el usuario podría incluso especificar su propia PK y firmar los gestores de arranque.
Además, los requisitos de certificación propios de Microsoft obligan a los fabricantes de equipos originales a incluir un método para desactivar el inicio seguro en sistemas que no son ARM. ¡Puedes desactivar el arranque seguro! Los únicos sistemas en los que no se puede deshabilitar Secure Boot son los sistemas ARM que ejecutan Windows RT, que funcionan de manera más similar al iPad, donde no se pueden cargar sistemas operativos personalizados. Aunque desearía que fuera posible cambiar el sistema operativo en los dispositivos ARM, es justo decir que Microsoft está siguiendo el estándar de la industria con respecto a las tabletas aquí.
¿Entonces el arranque seguro no es intrínsecamente malo?
Entonces, como puede ver, Secure Boot no es malo, y no está restringido solo para Windows. La razón por la cual la FSF y otros están tan molestos es porque agrega pasos adicionales para usar un sistema operativo de terceros. A las distribuciones de Linux puede no gustarles pagar para usar la clave de Microsoft, pero es la forma más fácil y rentable de hacer que Secure Boot funcione para Linux. Afortunadamente, es fácil desactivar el inicio seguro y es posible agregar diferentes claves, evitando así la necesidad de tratar con Microsoft.
Dada la cantidad de malware cada vez más avanzado, Secure Boot parece una idea razonable. No pretende ser un plan malvado para apoderarse del mundo, y es mucho menos aterrador de lo que algunos expertos en software libre le harán creer.
Lectura adicional:
- Requisitos de certificación de hardware de Microsoft
- Construcción de Windows 8: Protección del entorno pre OS con UEFI
- Presentación de Microsoft sobre implementación de arranque seguro y gestión de claves
- Implementación de arranque seguro UEFI en Fedora
- Descripción general de arranque de TechNet
- Artículo de Wikipedia sobre UEFI
TL; DR: El arranque seguro evita que el malware infecte su sistema a un nivel bajo e indetectable durante el arranque. Cualquiera puede crear las claves necesarias para hacerlo funcionar, pero es difícil convencer a los fabricantes de computadoras de que distribuyan su clave a todos, por lo que alternativamente puede elegir pagarle a Verisign para que use la clave de Microsoft para firmar los cargadores de arranque y hacer que funcionen. También puede deshabilitar Secure Boot en cualquier computadora que no sea ARM.
Última reflexión, con respecto a la campaña de la FSF contra el arranque seguro: algunas de sus preocupaciones( es decir, lo hace más difícil para instalar sistemas operativos gratuitos) son válidas para un punto .Sin embargo, decir que las restricciones "evitarán que alguien arranque algo que no sea Windows" es demostrablemente falso, por las razones ilustradas anteriormente. La campaña contra UEFI / Secure Boot como tecnología es miope, está mal informada y es poco probable que sea efectiva de todos modos. Es más importante asegurarse de que los fabricantes realmente cumplan con los requisitos de Microsoft para permitir que los usuarios desactiven el Arranque seguro o cambien las claves si lo desean.
¿Tiene algo que agregar a la explicación? Suena apagado en los comentarios.¿Desea leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Mira el hilo de discusión completo aquí.