9Aug
PCs modernos são fornecidos com um recurso chamado "Secure Boot" habilitado. Este é um recurso de plataforma no UEFI, que substitui o tradicional BIOS do PC.Se um fabricante de PC quiser colocar um adesivo de logotipo "Windows 10" ou "Windows 8" para o PC, a Microsoft exige que eles ativem a inicialização segura e siga algumas diretrizes.
Infelizmente, ele também impede que você instale algumas distribuições do Linux, o que pode ser bastante incômodo.
Como a inicialização segura garante o processo de inicialização do seu PC O
Secure Boot não é apenas projetado para tornar o Linux mais difícil. Existem verdadeiras vantagens de segurança para ter o Secure Boot ativado, e até mesmo os usuários do Linux podem se beneficiar deles.
Um BIOS tradicional iniciará qualquer software. Quando você inicializa seu PC, ele verifica os dispositivos de hardware de acordo com a ordem de inicialização que você configurou e tenta inicializar a partir deles. Os PCs típicos normalmente encontrarão e inicializarão o carregador de inicialização do Windows, que continuará a inicializar o sistema operacional Windows completo. Se você usa o Linux, o BIOS encontrará e inicializa o carregador de inicialização GRUB, que a maioria das distribuições Linux usam.
No entanto, é possível que o malware, como um rootkit, substitua o carregador de inicialização. O rootkit poderia carregar seu sistema operacional normal sem indicação de que nada estava errado, permanecendo completamente invisível e indetectável em seu sistema. O BIOS não conhece a diferença entre o malware e um gerenciador de inicialização confiável; ele apenas carrega o que quer que encontre.
Secure Boot foi projetado para parar isso. Windows 8 e 10 PCs são enviados com o certificado da Microsoft armazenado no UEFI.A UEFI verificará o carregador de inicialização antes de iniciá-lo e assegurará a assinatura da Microsoft. Se um rootkit ou outro malware substituir o carregador de inicialização ou manipulá-lo, UEFI não permitirá que ele seja inicializado. Isso evita que o malware seqüestra seu processo de inicialização e ocultar-se do seu sistema operacional.
Como a Microsoft permite que as distribuições do Linux sejam iniciadas com inicialização segura
Esta característica é, na teoria, apenas projetada para proteger contra malwares. Portanto, a Microsoft oferece uma maneira de ajudar as distribuições Linux a inicializar de qualquer maneira.É por isso que algumas distribuições Linux modernas - como o Ubuntu e o Fedora - "funcionarão" apenas em PCs modernos, mesmo com o Secure Boot habilitado. As distribuições do Linux podem pagar uma taxa única de US $ 99 para acessar o portal Microsoft Sysdev, onde podem solicitar a assinatura do carregador de inicialização.
distribuições Linux geralmente têm um "shim" assinado. O shim é um carregador de inicialização pequeno que simplesmente carrega o carregador de inicialização GRUB principal das distribuições Linux. O shim assinado pela Microsoft verifica se está inicializando um carregador de inicialização assinado pela distribuição do Linux e, em seguida, a distribuição do Linux é normalmente carregada.
Ubuntu, Fedora, Red Hat Enterprise Linux e openSUSE atualmente suportam o Secure Boot, e funcionarão sem ajustes em hardware moderno. Pode haver outros, mas estes são os que estamos cientes. Algumas distribuições do Linux são filosóficamente opostas à candidatura para serem assinadas pela Microsoft.
Como você pode desativar ou controlar a inicialização segura
Se isso fosse tudo o que o Secure Boot fez, você não poderá executar nenhum sistema operacional não aprovado pela Microsoft em seu PC.Mas você provavelmente pode controlar o Secure Boot do firmware UEFI do seu PC, que é como o BIOS em PCs mais antigos.
Existem duas maneiras de controlar a inicialização segura. O método mais fácil é dirigir-se ao firmware UEFI e desativá-lo inteiramente. O firmware UEFI não verificará se você está executando um carregador de inicialização assinado e qualquer coisa será iniciada. Você pode inicializar qualquer distribuição do Linux ou mesmo instalar o Windows 7, que não suporta o Secure Boot. O Windows 8 e o 10 funcionarão bem, você perderá as vantagens de segurança de ter o Secure Boot proteger seu processo de inicialização.
Você também pode personalizar a inicialização segura. Você pode controlar quais certificados de assinatura oferece o Secure Boot. Você é livre para instalar novos certificados e remover os certificados existentes. Uma organização que executou o Linux em seus PCs, por exemplo, poderia escolher remover os certificados da Microsoft e instalar o próprio certificado da organização em seu lugar. Esses PCs apenas inicializariam carregadores de inicialização aprovados e assinados por essa organização específica.
Um indivíduo também poderia fazer isso - você poderia assinar seu próprio carregador de inicialização do Linux e garantir que o seu PC só poderia inicializar os carregadores de inicialização que você compilou e assinou pessoalmente. Esse é o tipo de controle e poder que o Secure Boot oferece.
O que a Microsoft requer de fabricantes de PCs
A Microsoft não exige apenas que os fornecedores de PCs ativem a inicialização segura se quiserem esse agradável adesivo de certificação "Windows 10" ou "Windows 8" em seus PCs. A Microsoft exige que os fabricantes de PC o implementem de forma específica.
Para PCs do Windows 8, os fabricantes tiveram que dar uma maneira de desligar o Secure Boot. A Microsoft exigiu que fabricantes de PCs colocassem um interruptor de inicialização de inicialização segura nas mãos dos usuários.
Para PCs do Windows 10, isso não é mais obrigatório. Os fabricantes de PCs podem optar por ativar o Secure Boot e não dar aos usuários uma maneira de desligá-lo. No entanto, não temos conhecimento de nenhum fabricante de PCs que faça isso.
Da mesma forma, enquanto os fabricantes de PCs devem incluir a principal chave "Microsoft Windows Production PCA" da Microsoft para que o Windows possa inicializar, eles não precisam incluir a chave "Microsoft Corporation UEFI CA".Esta segunda chave só é recomendada.É a segunda chave opcional que a Microsoft usa para assinar carregadores de inicialização do Linux. A documentação do Ubuntu explica isso.
Em outras palavras, nem todas as PCs necessariamente iniciarão as distribuições do Linux assinadas com o Secure Boot ativado. Mais uma vez, na prática, não vimos nenhum PC que fizesse isso. Talvez nenhum fabricante de PC quer fazer a única linha de laptops em que você não pode instalar o Linux.
Por enquanto, pelo menos, os PCs Windows convencionais devem permitir que você desative a inicialização segura se quiser, e eles devem inicializar as distribuições Linux que foram assinadas pela Microsoft, mesmo que não desative a inicialização segura.
Boot seguro não pôde ser desativado no Windows RT, mas o Windows RT está morto
Tudo o que se passa acima é verdadeiro para os sistemas operacionais padrão do Windows 8 e 10 no hardware Intel x86 padrão.É diferente para ARM.
No Windows RT, a versão do Windows 8 para o hardware ARM, que foi enviada na Surface RT e Surface 2 da Microsoft, entre outros dispositivos, o Secure Boot não pôde ser desativado. Hoje, o Secure Boot ainda não pode ser desativado no hardware móvel do Windows 10 - em outras palavras, os telefones que executam o Windows 10.
Isso porque a Microsoft queria que você pensasse em sistemas Windows RT baseados em ARM como "dispositivos", não PCs. Como a Microsoft disse à Mozilla, o Windows RT "não é mais Windows".
No entanto, o Windows RT está agora morto. Não há nenhuma versão do sistema operacional de desktop do Windows 10 para ARM-hardware, então isso não é algo sobre o que você precisa se preocupar mais. Mas, se a Microsoft traz de volta o hardware do Windows RT 10, provavelmente não será capaz de desativar a inicialização segura nela.
Crédito de Imagem: Embaixador Base, John Bristowe
