Cómo funciona el arranque seguro en Windows 8 y 10, y qué significa para Linux
Las PC modernas se envían con una función llamada "Arranque seguro" habilitada. Esta es una función de plataforma en UEFI, que reemplaza al BIOS tradicional de PC. Si un fabricante de PC desea colocar un adhesivo con el logotipo de “Windows 10” o “Windows 8” en su PC, Microsoft requiere que habiliten el arranque seguro y sigan algunas pautas.
Desafortunadamente, también le impide instalar algunas distribuciones de Linux, lo que puede ser bastante complicado..
Cómo Secure Boot asegura el proceso de arranque de tu PC
El arranque seguro no solo está diseñado para dificultar la ejecución de Linux. Hay ventajas de seguridad reales al tener habilitado el arranque seguro, e incluso los usuarios de Linux pueden beneficiarse de ellas..
Un BIOS tradicional arrancará cualquier software. Cuando inicia su PC, verifica los dispositivos de hardware de acuerdo con el orden de inicio que ha configurado e intenta iniciar desde ellos. Normalmente, las PC típicas encontrarán e iniciarán el cargador de arranque de Windows, que se inicia para iniciar el sistema operativo Windows completo. Si utiliza Linux, el BIOS buscará e iniciará el cargador de arranque GRUB, que es el que utilizan la mayoría de las distribuciones de Linux..
Sin embargo, es posible que el malware, como un rootkit, reemplace su cargador de arranque. El rootkit podría cargar su sistema operativo normal sin ninguna indicación de que algo estuviera mal, permaneciendo completamente invisible e indetectable en su sistema. El BIOS no conoce la diferencia entre el malware y un cargador de arranque confiable: simplemente inicia lo que encuentra.
El arranque seguro está diseñado para detener esto. Las PC con Windows 8 y 10 se envían con el certificado de Microsoft almacenado en UEFI. UEFI comprobará el cargador de arranque antes de iniciarlo y se asegurará de que esté firmado por Microsoft. Si un rootkit u otra pieza de malware reemplaza su cargador de arranque o lo manipula indebidamente, UEFI no permitirá que arranque. Esto evita que el malware asalte el proceso de arranque y se oculte del sistema operativo..
Cómo Microsoft permite que las distribuciones de Linux se inicien con un arranque seguro
Esta característica, en teoría, solo está diseñada para proteger contra el malware. Así que Microsoft ofrece una manera de ayudar a las distribuciones de Linux a arrancar de todos modos. Es por eso que algunas distribuciones de Linux modernas, como Ubuntu y Fedora, "simplemente funcionarán" en las PC modernas, incluso con el arranque seguro habilitado. Las distribuciones de Linux pueden pagar una tarifa única de $ 99 para acceder al portal Microsoft Sysdev, donde pueden solicitar la firma de sus cargadores de arranque.
Las distribuciones de Linux generalmente tienen un "shim" firmado. El shim es un pequeño cargador de arranque que simplemente inicia el cargador de arranque GRUB principal de las distribuciones de Linux. El shim firmado por Microsoft comprueba que está arrancando un cargador de arranque firmado por la distribución de Linux, y luego la distribución de Linux arranca normalmente.
Ubuntu, Fedora, Red Hat Enterprise Linux y openSUSE actualmente admiten el arranque seguro y funcionarán sin ningún tipo de modificaciones en el hardware moderno. Puede haber otros, pero estos son los que conocemos. Algunas distribuciones de Linux se oponen filosóficamente a solicitar la firma de Microsoft.
Cómo puedes deshabilitar o controlar el arranque seguro
Si eso fuera todo lo que hizo Secure Boot, no podría ejecutar ningún sistema operativo no aprobado por Microsoft en su PC. Pero es probable que pueda controlar el arranque seguro desde el firmware UEFI de su PC, que es como el BIOS en las PC más antiguas.
Hay dos formas de controlar el arranque seguro. El método más sencillo es dirigirse al firmware UEFI y deshabilitarlo por completo. El firmware de UEFI no comprobará para asegurarse de que está ejecutando un cargador de arranque firmado, y todo se iniciará. Puede arrancar cualquier distribución de Linux o incluso instalar Windows 7, que no es compatible con el arranque seguro. Windows 8 y 10 funcionarán bien, simplemente perderá las ventajas de seguridad de tener un arranque seguro que protege su proceso de arranque.
También puede personalizar aún más el arranque seguro. Puede controlar qué firmas de certificados ofrece Secure Boot. Usted es libre de instalar nuevos certificados y eliminar certificados existentes. Una organización que ejecutaba Linux en sus PC, por ejemplo, podría optar por eliminar los certificados de Microsoft e instalar el certificado propio de la organización en su lugar. Esas PC solo iniciarían los cargadores de arranque aprobados y firmados por esa organización específica.
Un individuo también podría hacer esto: usted podría firmar su propio cargador de arranque de Linux y asegurarse de que su PC solo pueda arrancar los cargadores de arranque que usted personalmente compiló y firmó. Ese es el tipo de control y poder que ofrece Secure Boot..
Lo que Microsoft requiere de fabricantes de PC
Microsoft no solo requiere que los proveedores de PC habiliten el Arranque seguro si quieren la bonita etiqueta de certificación "Windows 10" o "Windows 8" en sus PC. Microsoft requiere que los fabricantes de PC lo implementen de una manera específica..
Para las PC con Windows 8, los fabricantes tenían que darle una forma de desactivar el arranque seguro. Microsoft exigió a los fabricantes de PC que pusieran un interruptor de eliminación de arranque seguro en las manos de los usuarios.
Para PC con Windows 10, esto ya no es obligatorio. Los fabricantes de PC pueden optar por habilitar el arranque seguro y no dar a los usuarios una forma de desactivarlo. Sin embargo, no conocemos a ningún fabricante de PC que haga esto..
Del mismo modo, mientras que los fabricantes de PC deben incluir la clave principal de Microsoft "Microsoft Windows Production PCA" para que Windows pueda iniciarse, no tienen que incluir la clave "Microsoft Corporation UEFI CA". Esta segunda llave solo se recomienda. Es la segunda clave opcional que usa Microsoft para firmar los cargadores de arranque de Linux. La documentación de Ubuntu explica esto..
En otras palabras, no todas las PC arrancarán necesariamente las distribuciones de Linux firmadas con el arranque seguro activado. Nuevamente, en la práctica, no hemos visto ninguna PC que haya hecho esto. Tal vez ningún fabricante de PC quiera hacer la única línea de computadoras portátiles en las que no puede instalar Linux.
Por ahora, al menos, las computadoras Windows principales le permitirán deshabilitar el arranque seguro si lo desea, y deberían arrancar las distribuciones de Linux firmadas por Microsoft incluso si no deshabilita el arranque seguro.
El arranque seguro no se pudo deshabilitar en Windows RT, pero Windows RT está muerto
Todo lo anterior es válido para los sistemas operativos estándar Windows 8 y 10 en el hardware estándar Intel x86. Es diferente para ARM.
En Windows RT, la versión de Windows 8 para hardware ARM, que se distribuyó en Surface RT y Surface 2 de Microsoft, entre otros dispositivos, Secure Boot no se pudo desactivar. Hoy en día, el arranque seguro aún no se puede desactivar en el hardware de Windows 10 Mobile, es decir, los teléfonos que ejecutan Windows 10.
Esto se debe a que Microsoft quería que pensara en los sistemas de Windows RT basados en ARM como "dispositivos", no PC. Como Microsoft le dijo a Mozilla, Windows RT "ya no es Windows".
Sin embargo, Windows RT ahora está muerto. No hay una versión del sistema operativo de escritorio Windows 10 para ARM-hardware, por lo que ya no es algo de lo que deba preocuparse. Pero, si Microsoft recupera el hardware de Windows RT 10, es probable que no pueda deshabilitar el inicio seguro en él.
Crédito de la imagen: Ambassador Base, John Bristowe