Si compro una computadora con Windows 8 y arranque seguro, ¿puedo instalar Linux?
El nuevo sistema de arranque seguro UEFI en Windows 8 ha causado más que una buena cantidad de confusión, especialmente entre los arrancadores dobles. Sigue leyendo mientras aclaramos los conceptos erróneos sobre el arranque dual con Windows 8 y Linux.
La sesión de Preguntas y Respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, un grupo de sitios web de preguntas y respuestas impulsado por la comunidad..
La pregunta
El lector superusuario Harsha K siente curiosidad por el nuevo sistema UEFI. El escribe:
He escuchado mucho acerca de cómo Microsoft está implementando UEFI Secure Boot en Windows 8. Al parecer, evita que los cargadores de arranque "no autorizados" se ejecuten en la computadora, para evitar el malware. Hay una campaña de la Free Software Foundation contra el arranque seguro, y muchas personas han estado diciendo en línea que es una "toma de poder" de Microsoft para "eliminar los sistemas operativos libres"..
Si obtengo una computadora que tiene Windows 8 y arranque seguro preinstalados, ¿podré seguir instalando Linux (o algún otro sistema operativo) más tarde? ¿O una computadora con arranque seguro solo funciona con Windows??
Entonces, ¿cuál es el trato? ¿Son los botines duales realmente sin suerte??
La respuesta
El colaborador de SuperUser Nathan Hinkle ofrece una fantástica visión general de lo que UEFI es y no es:
En primer lugar, la respuesta simple a su pregunta:
- Si tienes una tableta ARM ejecutando Windows RT (como Surface RT o Asus Vivo RT), luego no podrá desactivar el arranque seguro ni instalar otros sistemas operativos. Al igual que muchas otras tabletas ARM, estos dispositivos solamente ejecuta el sistema operativo que vienen con.
- Si tienes una computadora que no sea ARM ejecutando Windows 8 (como Surface Pro o cualquiera de los innumerables ultrabooks, equipos de escritorio y tabletas con un procesador x86-64), luego puede deshabilitar el arranque seguro por completo, o puede instalar sus propias claves y firmar su propio gestor de arranque. De cualquier manera, Puede instalar un sistema operativo de terceros como una distribución de Linux o FreeBSD o DOS o lo que sea que te guste.
Ahora, veamos los detalles de cómo funciona todo esto de Arranque Seguro: hay mucha información errónea acerca del Arranque Seguro, especialmente de Free Software Foundation y grupos similares. Esto ha hecho que sea difícil encontrar información sobre lo que Secure Boot realmente hace, así que haré todo lo posible para explicarlo. Tenga en cuenta que no tengo experiencia personal con el desarrollo de sistemas de arranque seguros ni nada de eso; esto es justo lo que he aprendido de la lectura en línea.
Ante todo, El arranque seguro es no algo que a Microsoft se le ocurrió. Son los primeros en implementarlo ampliamente, pero no lo inventaron. Es parte de la especificación UEFI, que es básicamente un reemplazo más nuevo para el antiguo BIOS al que probablemente esté acostumbrado. UEFI es básicamente el software que habla entre el sistema operativo y el hardware. Los estándares UEFI son creados por un grupo llamado "Foro UEFI", que está compuesto por representantes de la industria informática, incluidos Microsoft, Apple, Intel, AMD y un puñado de fabricantes de computadoras..
Segundo punto más importante, tener el arranque seguro habilitado en una computadora hace no significa que la computadora nunca puede arrancar ningún otro sistema operativo. De hecho, los propios Requisitos de certificación de hardware de Windows de Microsoft establecen que para los sistemas que no son ARM, debe ser capaz de deshabilitar el inicio seguro y cambiar las claves (para permitir otros sistemas operativos). Más sobre eso más tarde, sin embargo.
¿Qué hace el arranque seguro??
Esencialmente, evita que el malware ataque su computadora a través de la secuencia de arranque. El malware que ingresa a través del gestor de arranque puede ser muy difícil de detectar y detener, ya que puede infiltrarse en las funciones de bajo nivel del sistema operativo, manteniéndolo invisible para el software antivirus. Todo lo que realmente hace Secure Boot es verificar que el gestor de arranque sea de una fuente confiable y que no haya sido manipulado. Piense en ello como en las tapas emergentes de las botellas que dicen "no abrir si la tapa se abre o si el sello ha sido manipulado".
En el nivel superior de protección, tiene la clave de plataforma (PK). Solo hay un PK en cualquier sistema, y el OEM lo instala durante la fabricación. Esta clave se utiliza para proteger la base de datos KEK. La base de datos KEK contiene claves de intercambio de claves, que se utilizan para modificar las otras bases de datos de arranque seguras. Puede haber múltiples KEKs. Luego hay un tercer nivel: la base de datos autorizada (db) y la base de datos prohibida (dbx). Estos contienen información sobre Autoridades de certificación, claves criptográficas adicionales e imágenes de dispositivos UEFI para permitir o bloquear, respectivamente. Para que un gestor de arranque pueda ejecutarse, debe estar firmado criptográficamente con una clave que es en la db, y no es en el dbx.
Imagen de Construyendo Windows 8: Protegiendo el entorno pre-OS con UEFI
Cómo funciona esto en un sistema Windows 8 Certified del mundo real
El OEM genera su propia PK, y Microsoft proporciona una KEK que el OEM debe cargar previamente en la base de datos de KEK. Microsoft luego firma el cargador de arranque de Windows 8 y usa su KEK para colocar esta firma en la base de datos autorizada. Cuando UEFI arranca la computadora, verifica el PK, verifica el KEK de Microsoft y luego verifica el cargador de arranque. Si todo se ve bien, entonces el sistema operativo puede arrancar.
Imagen de Construyendo Windows 8: Protegiendo el entorno pre-OS con UEFI¿Dónde entran los sistemas operativos de terceros, como Linux,?
Primero, cualquier distribución de Linux podría optar por generar una KEK y pedir a los OEM que la incluyan en la base de datos de KEK de forma predeterminada. Entonces tendrían tanto control sobre el proceso de arranque como lo tiene Microsoft. Los problemas con esto, como lo explicó Matthew Garrett de Fedora, son que a) sería difícil lograr que todos los fabricantes de PC incluyeran la clave de Fedora, yb) sería injusto para otras distribuciones de Linux, porque no se incluiría su clave , ya que las distribuciones más pequeñas no tienen tantas asociaciones OEM.
Lo que Fedora ha elegido hacer (y otras distribuciones siguen su ejemplo) es utilizar los servicios de firma de Microsoft. Este escenario requiere pagar $ 99 a Verisign (la autoridad de certificación que usa Microsoft) y otorga a los desarrolladores la capacidad de firmar su cargador de arranque utilizando el KEK de Microsoft. Como el KEK de Microsoft ya estará en la mayoría de las computadoras, esto les permite firmar su cargador de arranque para usar el Arranque seguro, sin requerir su propio KEK. Termina siendo más compatible con más computadoras y cuesta menos en general que tratar de configurar su propio sistema de firma y distribución de claves. Hay más detalles sobre cómo funcionará esto (usando GRUB, módulos de kernel firmados y otra información técnica) en la publicación de blog mencionada anteriormente, que recomiendo leer si está interesado en este tipo de cosas..
Supongamos que no desea lidiar con la molestia de registrarse en el sistema de Microsoft, o no desea pagar $ 99, o simplemente tener un rencor contra grandes corporaciones que comienzan con una M. Hay otra opción para seguir usando el arranque seguro y ejecute un sistema operativo distinto de Windows. Certificación de hardware de Microsoft requiere que los fabricantes de equipos originales permiten a los usuarios ingresar su sistema en el modo "personalizado" de UEFI, donde pueden modificar manualmente las bases de datos de arranque seguro y la PK. El sistema se puede poner en modo de configuración UEFI, donde el usuario podría incluso especificar su propia PK y firmar los propios cargadores de arranque..
Además, los propios requisitos de certificación de Microsoft hacen obligatorio que los OEM incluyan un método para deshabilitar el arranque seguro en sistemas que no sean ARM. Puede desactivar el arranque seguro! Los únicos sistemas en los que no puede deshabilitar el arranque seguro son los sistemas ARM que ejecutan Windows RT, que funcionan de manera más similar a la del iPad, donde no puede cargar sistemas operativos personalizados. Aunque deseo que sea posible cambiar el sistema operativo en dispositivos ARM, es justo decir que Microsoft está siguiendo el estándar de la industria con respecto a las tabletas aquí.
Así que el arranque seguro no es inherentemente malo?
Así que, como puede ver, el arranque seguro no es malo y no está restringido solo para su uso con Windows. La razón por la que la FSF y otros están tan molestos es porque agrega pasos adicionales al uso de un sistema operativo de terceros. Puede que a las distribuciones de Linux no les guste pagar para usar la clave de Microsoft, pero es la forma más fácil y económica de hacer que el arranque seguro funcione para Linux. Afortunadamente, es fácil desactivar el arranque seguro y es posible agregar claves diferentes, evitando así la necesidad de tratar con Microsoft.
Dada la cantidad de malware cada vez más avanzado, Secure Boot parece una idea razonable. No está destinado a ser un complot malvado para conquistar el mundo, y es mucho menos aterrador de lo que algunos expertos en software libre le harán creer..
Lectura adicional:
- Requisitos de certificación de hardware de Microsoft
- Construyendo Windows 8: Protegiendo el entorno pre-OS con UEFI
- Presentación de Microsoft sobre implementación de arranque seguro y administración de claves
- Implementando UEFI Secure Boot en Fedora
- Descripción general del arranque seguro de TechNet
- Artículo de Wikipedia sobre UEFI
TL; DR: El arranque seguro evita que el malware infecte su sistema a un nivel bajo e indetectable durante el arranque. Cualquiera puede crear las claves necesarias para que funcione, pero es difícil convencer a los fabricantes de computadoras para que distribuyan tu clave para todos, por lo que también puede optar por pagar Verisign para usar la clave de Microsoft para firmar sus cargadores de arranque y hacer que funcionen. También puede deshabilitar el arranque seguro en alguna computadora no ARM.
Último pensamiento, con respecto a la campaña de FSF contra el arranque seguro: algunas de sus preocupaciones (es decir, lo hace Más fuerte para instalar sistemas operativos libres) son validos a un punto. Decir que las restricciones "evitarán que cualquier persona inicie algo que no sea Windows" es demostrablemente falso, por las razones que se ilustran anteriormente. Hacer campaña contra UEFI / Secure Boot como tecnología es miope, está mal informado y es poco probable que sea efectivo de todos modos. Es más importante asegurarse de que los fabricantes realmente sigan los requisitos de Microsoft para permitir que los usuarios deshabiliten el arranque seguro o cambien las claves si lo desean..
¿Tienes algo que agregar a la explicación? Apague el sonido en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange con experiencia en tecnología? Echa un vistazo a la discusión completa aquí.