O novo sistema UEFI Secure Boot no Windows 8 causou mais confusão do que o normal, especialmente entre os dual booters. Continue lendo enquanto esclarecemos os equívocos sobre a inicialização dupla com Windows 8 e Linux.
A sessão de perguntas e respostas de hoje chega até nós como cortesia do SuperUser - uma subdivisão do Stack Exchange, um grupo de sites de perguntas e respostas voltado para a comunidade
A questão
O leitor SuperUser Harsha K está curioso sobre o novo sistema UEFI. Ele escreve:
Eu ouvi muito sobre como a Microsoft está implementando UEFI Secure Boot no Windows 8. Aparentemente, isso impede que bootloaders “não autorizados” sejam executados no computador, para prevenir malware. Há uma campanha da Free Software Foundation contra a inicialização segura, e muitas pessoas têm dito online que é uma “tomada de poder” da Microsoft para “eliminar os sistemas operacionais gratuitos”.
Se eu obtiver um computador com Windows 8 e inicialização segura pré-instalados, ainda poderei instalar o Linux (ou algum outro sistema operacional) mais tarde? Ou um computador com inicialização segura só funciona com o Windows?
Então qual é o acordo? Os booters duplos estão mesmo sem sorte?
A resposta
O contribuidor do SuperUser Nathan Hinkle oferece uma visão geral fantástica do que a UEFI é e não é:
Em primeiro lugar, a resposta simples à sua pergunta:
- Se você tiver um tablet ARM executando o Windows RT (como o Surface RT ou o Asus Vivo RT), então você não poderá desativar a inicialização segura ou instalar outros sistemas operacionais . Como muitos outros tablets ARM, esses dispositivos irão só execute o sistema operacional com o qual eles vêm.
- Se você tiver um computador não-ARM executando o Windows 8 (como o Surface Pro ou qualquer um dos inúmeros ultrabooks, desktops e tablets com um processador x86-64), então você pode desativar a inicialização segura completamente , ou você pode instalar suas próprias chaves e assinar seu próprio bootloader. De qualquer jeito, você pode instalar um sistema operacional de terceiros como uma distribuição Linux ou FreeBSD ou DOS ou o que quiser.
Agora, vamos aos detalhes de como toda essa coisa de inicialização segura realmente funciona: Há muita desinformação sobre a inicialização segura, especialmente da Free Software Foundation e grupos semelhantes. Isso tornou difícil encontrar informações sobre o que a inicialização segura realmente faz, então tentarei o meu melhor para explicar. Observe que não tenho experiência pessoal com o desenvolvimento de sistemas de inicialização seguros ou algo parecido; isso é exatamente o que aprendi lendo online.
Em primeiro lugar, Inicialização segura é não algo que a Microsoft criou. Eles são os primeiros a implementá-lo amplamente, mas não o inventaram. Está parte da especificação UEFI , que é basicamente um substituto mais recente para o BIOS antigo com o qual você provavelmente está acostumado. UEFI é basicamente o software que fala entre o sistema operacional e o hardware. Os padrões UEFI são criados por um grupo denominado “ Fórum UEFI “, Que é composta por representantes da indústria de computação, incluindo Microsoft, Apple, Intel, AMD e alguns fabricantes de computadores.
Segundo ponto mais importante, ter a inicialização segura ativada em um computador não significa que o computador nunca pode inicializar qualquer outro sistema operacional . Na verdade, os próprios Requisitos de Certificação de Hardware do Windows da Microsoft afirmam que, para sistemas não ARM, você deve ser capaz de desativar a Inicialização Segura e alterar as chaves (para permitir outros sistemas operacionais). Mais sobre isso mais tarde.
O que o Secure Boot faz?
Basicamente, ele evita que malware ataque seu computador por meio da sequência de inicialização. O malware que entra pelo bootloader pode ser muito difícil de detectar e parar, porque pode se infiltrar em funções de baixo nível do sistema operacional, mantendo-o invisível para o software antivírus. Tudo o que o Secure Boot realmente faz é verificar se o bootloader é de uma fonte confiável e se não foi adulterado. Pense nisso como as tampas pop-up em garrafas que dizem “não abra se a tampa estiver aberta ou se o selo tiver sido adulterado”.
No nível superior de proteção, você tem a chave de plataforma (PK). Existe apenas um PK em qualquer sistema e é instalado pelo OEM durante a fabricação. Esta chave é usada para proteger o banco de dados KEK. O banco de dados KEK contém chaves de troca de chaves, que são usadas para modificar os outros bancos de dados de inicialização segura. Pode haver várias KEKs. Existe então um terceiro nível: o Banco de Dados Autorizado (db) e o Banco de Dados Proibido (dbx). Eles contêm informações sobre autoridades de certificação, chaves criptográficas adicionais e imagens de dispositivo UEFI para permitir ou bloquear, respectivamente. Para que um bootloader possa ser executado, ele deve ser assinado criptograficamente com uma chave que é no banco de dados, e não é no dbx.
Imagem de Criando Windows 8: protegendo o ambiente pré-sistema operacional com UEFI
Como isso funciona em um sistema certificado pelo Windows 8 do mundo real
O OEM gera seu próprio PK e a Microsoft fornece uma KEK que o OEM deve pré-carregar no banco de dados KEK. A Microsoft então assina o carregador de inicialização do Windows 8 e usa sua KEK para colocar essa assinatura no banco de dados autorizado. Quando UEFI inicializa o computador, ele verifica o PK, verifica o KEK da Microsoft e, em seguida, verifica o carregador de inicialização. Se tudo estiver certo, o sistema operacional pode inicializar.
Imagem de Criando Windows 8: protegendo o ambiente pré-sistema operacional com UEFIOnde entram os sistemas operacionais de terceiros, como o Linux?
Primeiro, qualquer distro Linux pode escolher gerar um KEK e pedir aos OEMs para incluí-lo no banco de dados KEK por padrão. Eles teriam então tanto controle sobre o processo de inicialização quanto a Microsoft. Os problemas com isso, como explicado por Matthew Garrett do Fedora , são que a) seria difícil fazer com que todos os fabricantes de PC incluíssem a chave do Fedora eb) seria injusto com outras distros Linux, porque sua chave não seria incluída, uma vez que distros menores não têm tantos OEMs parcerias.
O que o Fedora escolheu fazer (e outras distros estão seguindo o exemplo) é usar os serviços de assinatura da Microsoft. Este cenário requer o pagamento de $ 99 para a Verisign (a autoridade de certificação que a Microsoft usa) e concede aos desenvolvedores a capacidade de assinar seu bootloader usando o KEK da Microsoft. Como o KEK da Microsoft já estará na maioria dos computadores, isso permite que eles assinem seu bootloader para usar o Secure Boot, sem exigir seu próprio KEK. Ele acaba sendo mais compatível com mais computadores e custa menos do que lidar com a configuração de seu próprio sistema de assinatura e distribuição de chaves. Existem mais alguns detalhes sobre como isso funcionará (usando GRUB, módulos assinados do Kernel e outras informações técnicas) na postagem do blog mencionada, que recomendo ler se você estiver interessado nesse tipo de coisa.
Suponha que você não queira lidar com o incômodo de se inscrever no sistema da Microsoft, ou não queira pagar US $ 99, ou apenas ter rancor de grandes corporações que começam com um M. Há outra opção de ainda usar a inicialização segura e execute um sistema operacional diferente do Windows. Certificação de hardware da Microsoft requer que os OEMs permitem que os usuários entrem em seu sistema no modo UEFI “personalizado”, onde podem modificar manualmente os bancos de dados de inicialização segura e o PK. O sistema pode ser colocado no Modo de Configuração UEFI, onde o usuário pode até especificar seu próprio PK e assinar os próprios bootloaders.
Além disso, os próprios requisitos de certificação da Microsoft tornam obrigatório para os OEMs incluir um método para desabilitar a Inicialização Segura em sistemas não-ARM. Você pode desligar o Secure Boot! Os únicos sistemas em que você não pode desativar a inicialização segura são os sistemas ARM executando o Windows RT, que funcionam de forma mais semelhante ao iPad, onde você não pode carregar sistemas operacionais personalizados. Embora eu deseje que seja possível mudar o sistema operacional em dispositivos ARM, é justo dizer que a Microsoft está seguindo o padrão da indústria com relação a tablets aqui.
Então, a inicialização segura não é inerentemente má?
Como você pode ver, a Inicialização segura não é ruim e não está restrita apenas ao uso com o Windows. A razão pela qual a FSF e outros estão tão chateados com isso é porque ele adiciona etapas extras ao uso de um sistema operacional de terceiros. As distros Linux podem não gostar de pagar para usar a chave da Microsoft, mas é a maneira mais fácil e econômica de fazer a inicialização segura funcionar para Linux. Felizmente, é fácil desligar o Secure Boot e possível adicionar diferentes chaves, evitando assim a necessidade de lidar com a Microsoft.
Dada a quantidade de malware cada vez mais avançado, o Secure Boot parece uma ideia razoável. Não é para ser uma conspiração maligna para dominar o mundo e é muito menos assustador do que alguns gurus do software livre vão fazer você acreditar.
Leitura adicional:
- Requisitos de certificação de hardware Microsoft
- Criando Windows 8: protegendo o ambiente pré-sistema operacional com UEFI
- Apresentação da Microsoft sobre implantação de inicialização segura e gerenciamento de chaves
- Implementando UEFI Secure Boot no Fedora
- Visão geral do TechNet Secure Boot
- Artigo da Wikipedia sobre UEFI
TL; DR: A inicialização segura evita que o malware infecte seu sistema em um nível baixo e indetectável durante a inicialização. Qualquer um pode criar as chaves necessárias para fazê-lo funcionar, mas é difícil convencer os fabricantes de computadores a distribuir seu chave para todos, então você pode optar por pagar a Verisign para usar a chave da Microsoft para assinar seus bootloaders e fazê-los funcionar. Você também pode desativar a inicialização segura em qualquer computador não-ARM.
Último pensamento, com relação à campanha da FSF contra a inicialização segura: Algumas de suas preocupações (ou seja, torna-se mais difíceis para instalar sistemas operacionais gratuitos) são válidos até um ponto . Dizer que as restrições irão “impedir que qualquer um inicialize qualquer coisa que não seja o Windows” é comprovadamente falso, pelos motivos ilustrados acima. Fazer campanha contra a UEFI / Secure Boot como uma tecnologia é míope, mal informado e improvável que seja eficaz de qualquer maneira. É mais importante garantir que os fabricantes realmente sigam os requisitos da Microsoft para permitir que os usuários desabilitem a inicialização segura ou alterem as chaves, se assim o desejarem.
Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui .
