El nuevo sistema de arranque seguro UEFI en Windows 8 ha causado más confusión de la que le corresponde, especialmente entre los arrancadores duales. Siga leyendo mientras aclaramos los conceptos erróneos sobre el arranque dual con Windows 8 y Linux.
La sesión de preguntas y respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web de preguntas y respuestas impulsada por la comunidad.
La pregunta
El lector de superusuario Harsha K siente curiosidad por el nuevo sistema UEFI. El escribe:
He escuchado mucho acerca de cómo Microsoft está implementando UEFI Secure Boot en Windows 8. Aparentemente, evita que los cargadores de arranque "no autorizados" se ejecuten en la computadora para evitar el malware. Hay una campaña de la Free Software Foundation contra el arranque seguro, y mucha gente ha dicho en línea que es una "toma de poder" de Microsoft para "eliminar los sistemas operativos libres".
Si obtengo una computadora que tiene Windows 8 y Secure Boot preinstalados, ¿podré instalar Linux (o algún otro sistema operativo) más adelante? ¿O una computadora con Secure Boot solo funciona con Windows?
Entonces, ¿cuál es el trato? ¿Los botines duales realmente no tienen suerte?
La respuesta
El colaborador de superusuario Nathan Hinkle ofrece una descripción general fantástica de lo que es y no es UEFI:
En primer lugar, la respuesta simple a su pregunta:
- Si tiene una tableta ARM ejecutando Windows RT (como Surface RT o Asus Vivo RT), luego no podrá deshabilitar el arranque seguro ni instalar otros sistemas operativos . Como muchas otras tabletas ARM, estos dispositivos solamente ejecutar el sistema operativo con el que vienen.
- Si tiene una computadora que no es ARM ejecutando Windows 8 (como Surface Pro o cualquiera de los innumerables ultrabooks, computadoras de escritorio y tabletas con un procesador x86-64), luego puede deshabilitar el arranque seguro por completo , o puede instalar sus propias claves y firmar su propio gestor de arranque. De cualquier manera, puede instalar un sistema operativo de terceros como una distribución de Linux o FreeBSD o DOS o lo que te plazca.
Ahora, pasemos a los detalles de cómo funciona realmente todo este asunto del Arranque seguro: hay mucha información errónea sobre Arranque seguro, especialmente de la Free Software Foundation y grupos similares. Esto ha dificultado la búsqueda de información sobre lo que realmente hace Secure Boot, por lo que haré todo lo posible para explicarlo. Tenga en cuenta que no tengo experiencia personal en el desarrollo de sistemas de arranque seguros ni nada de eso; esto es solo lo que he aprendido leyendo en línea.
Ante todo, El arranque seguro es no algo que se le ocurrió a Microsoft. Son los primeros en implementarlo ampliamente, pero no lo inventaron. Sus parte de la especificación UEFI , que es básicamente un reemplazo más reciente del BIOS antiguo al que probablemente esté acostumbrado. UEFI es básicamente el software que habla entre el sistema operativo y el hardware. Los estándares UEFI son creados por un grupo llamado " Foro UEFI “, Que está compuesto por representantes de la industria informática, incluidos Microsoft, Apple, Intel, AMD y un puñado de fabricantes de computadoras.
Segundo punto más importante, tener el Arranque seguro habilitado en una computadora no significa que la computadora nunca puede arrancar ningún otro sistema operativo . De hecho, los propios requisitos de certificación de hardware de Windows de Microsoft establecen que para los sistemas que no son ARM, debe poder deshabilitar el arranque seguro y cambiar las claves (para permitir otros sistemas operativos). Sin embargo, más sobre eso más adelante.
¿Qué hace el arranque seguro?
Esencialmente, evita que el malware ataque su computadora a través de la secuencia de arranque. El malware que ingresa a través del cargador de arranque puede ser muy difícil de detectar y detener, ya que puede infiltrarse en funciones de bajo nivel del sistema operativo, manteniéndolo invisible para el software antivirus. Lo único que hace Secure Boot es verificar que el cargador de arranque sea de una fuente confiable y que no haya sido manipulado. Piense en ello como las tapas emergentes en las botellas que dicen "no abrir si la tapa está abierta o el sello ha sido manipulado".
En el nivel superior de protección, tiene la clave de plataforma (PK). Solo hay un PK en cada sistema y el OEM lo instala durante la fabricación. Esta clave se utiliza para proteger la base de datos KEK. La base de datos KEK contiene claves de intercambio de claves, que se utilizan para modificar las otras bases de datos de inicio seguro. Puede haber varias KEK. Luego hay un tercer nivel: la base de datos autorizada (db) y la base de datos prohibida (dbx). Estos contienen información sobre las autoridades de certificación, claves criptográficas adicionales e imágenes de dispositivos UEFI para permitir o bloquear, respectivamente. Para que se pueda ejecutar un cargador de arranque, debe estar firmado criptográficamente con una clave que es en la base de datos, y no es en el dbx.
Imagen de Construyendo Windows 8: Protección del entorno anterior al SO con UEFI
Cómo funciona esto en un sistema certificado de Windows 8 del mundo real
El OEM genera su propia PK y Microsoft proporciona una KEK que el OEM debe precargar en la base de datos de KEK. Microsoft luego firma el cargador de arranque de Windows 8 y usa su KEK para poner esta firma en la base de datos autorizada. Cuando UEFI arranca la computadora, verifica la PK, verifica la KEK de Microsoft y luego verifica el cargador de arranque. Si todo se ve bien, entonces el sistema operativo puede arrancar.
Imagen de Construyendo Windows 8: Protección del entorno anterior al SO con UEFI¿Dónde entran los sistemas operativos de terceros, como Linux?
Primero, cualquier distribución de Linux puede optar por generar una KEK y pedir a los OEM que la incluyan en la base de datos de KEK de forma predeterminada. Entonces tendrían tanto control sobre el proceso de arranque como Microsoft. Los problemas con esto, como explicado por Matthew Garrett de Fedora , son que a) sería difícil hacer que todos los fabricantes de PC incluyan la clave de Fedora, yb) sería injusto para otras distribuciones de Linux, porque su clave no se incluiría, ya que las distribuciones más pequeñas no tienen tantos OEM asociaciones.
Lo que Fedora ha decidido hacer (y otras distribuciones están siguiendo su ejemplo) es utilizar los servicios de firma de Microsoft. Este escenario requiere pagar $ 99 a Verisign (la autoridad de certificación que usa Microsoft) y otorga a los desarrolladores la capacidad de firmar su cargador de arranque utilizando la KEK de Microsoft. Dado que la KEK de Microsoft ya estará en la mayoría de las computadoras, esto les permite firmar su cargador de arranque para usar Secure Boot, sin requerir su propia KEK. Termina siendo más compatible con más computadoras y cuesta menos en general que tratar de configurar su propio sistema de distribución y firma de claves. Hay algunos detalles más sobre cómo funcionará esto (usando GRUB, módulos Kernel firmados y otra información técnica) en la publicación del blog antes mencionada, que recomiendo leer si está interesado en este tipo de cosas.
Suponga que no quiere lidiar con la molestia de registrarse en el sistema de Microsoft, o no quiere pagar $ 99, o simplemente guarda rencor contra las grandes corporaciones que comienzan con M. Hay otra opción para seguir usando Secure Boot y ejecutar un sistema operativo que no sea Windows. Certificación de hardware de Microsoft requiere que los OEM permiten a los usuarios ingresar a su sistema en el modo "personalizado" UEFI, donde pueden modificar manualmente las bases de datos de arranque seguro y la PK. El sistema se puede poner en modo de configuración UEFI, donde el usuario podría incluso especificar su propia PK y firmar los cargadores de arranque ellos mismos.
Además, los propios requisitos de certificación de Microsoft hacen obligatorio que los OEM incluyan un método para deshabilitar el arranque seguro en sistemas que no son ARM. ¡Puede desactivar el arranque seguro! Los únicos sistemas en los que no puede deshabilitar el arranque seguro son los sistemas ARM que ejecutan Windows RT, que funcionan de manera más similar al iPad, donde no puede cargar sistemas operativos personalizados. Aunque me gustaría que fuera posible cambiar el sistema operativo en los dispositivos ARM, es justo decir que Microsoft está siguiendo el estándar de la industria con respecto a las tabletas aquí.
¿Entonces el arranque seguro no es intrínsecamente malo?
Entonces, como puede ver, el arranque seguro no es malo y no está restringido solo para usar con Windows. La razón por la que la FSF y otros están tan molestos por esto es porque agrega pasos adicionales al uso de un sistema operativo de terceros. Es posible que a las distribuciones de Linux no les guste pagar por usar la clave de Microsoft, pero es la forma más fácil y rentable de hacer que el arranque seguro funcione para Linux. Afortunadamente, es fácil desactivar el Arranque seguro y es posible agregar diferentes claves, evitando así la necesidad de tratar con Microsoft.
Dada la cantidad de malware cada vez más avanzado, Secure Boot parece una idea razonable. No pretende ser un complot malvado para apoderarse del mundo, y es mucho menos aterrador de lo que algunos expertos en software libre te harán creer.
Lectura adicional:
- Requisitos de certificación de hardware de Microsoft
- Construyendo Windows 8: Protección del entorno anterior al SO con UEFI
- Presentación de Microsoft sobre implementación de arranque seguro y administración de claves
- Implementación de arranque seguro UEFI en Fedora
- Descripción general del arranque seguro de TechNet
- Artículo de Wikipedia sobre UEFI
TL; DR: El arranque seguro evita que el malware infecte su sistema a un nivel bajo e indetectable durante el arranque. Cualquiera puede crear las claves necesarias para que funcione, pero es difícil convencer a los fabricantes de computadoras para que distribuyan tu clave para todos, por lo que alternativamente puede elegir pagar a Verisign para que use la clave de Microsoft para firmar sus cargadores de arranque y hacer que funcionen. También puede deshabilitar el arranque seguro en alguna computadora no ARM.
Último pensamiento, con respecto a la campaña de la FSF contra el arranque seguro: algunas de sus preocupaciones (es decir, lo hace Más fuerte para instalar sistemas operativos libres) son válidos a un punto . Sin embargo, decir que las restricciones "evitarán que cualquier persona inicie cualquier cosa que no sea Windows" es demostrablemente falso, por las razones ilustradas anteriormente. Hacer campaña contra UEFI / Secure Boot como tecnología es miope, está mal informado y es poco probable que sea efectivo de todos modos. Es más importante asegurarse de que los fabricantes sigan realmente los requisitos de Microsoft para permitir que los usuarios deshabiliten el arranque seguro o cambien las claves si así lo desean.
¿Tiene algo que agregar a la explicación? Habla en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Consulte el hilo de discusión completo aquí .
