Si compro una computadora con Windows 8 y Secure Boot, ¿podré seguir instalando Linux?


48

He escuchado mucho acerca de cómo Microsoft está implementando UEFI Secure Boot en Windows 8. Aparentemente, evita que los cargadores de arranque "no autorizados" se ejecuten en la computadora, para evitar el malware. Hay una campaña de la Free Software Foundation contra el arranque seguro, y mucha gente ha estado diciendo en línea que es una "toma de poder" de Microsoft para "eliminar los sistemas operativos libres".

Si obtengo una computadora que tiene Windows 8 y Secure Boot preinstalados, ¿podré instalar Linux (o algún otro sistema operativo) más adelante? ¿O una computadora con arranque seguro solo funciona con Windows?

Respuestas:


70

En primer lugar, la respuesta simple a su pregunta:

  • Si tiene una tableta ARM con Windows RT (como Surface RT o Asus Vivo RT), no podrá desactivar el Arranque seguro ni instalar otros sistemas operativos . Al igual que muchas otras tabletas ARM, estos dispositivos solo ejecutarán el sistema operativo con el que vienen.

  • Si tiene una computadora que no es ARM que ejecuta Windows 8 (como Surface Pro o cualquiera de los innumerables ultrabooks, computadoras de escritorio y tabletas con un procesador x86-64), puede deshabilitar completamente el Arranque seguro o puede instalar sus propias llaves y firma tu propio gestor de arranque. De cualquier manera, puede instalar un sistema operativo de terceros como una distribución de Linux o FreeBSD o DOS o lo que le plazca.


Ahora, en cuanto a los detalles de cómo funciona realmente todo esto del Arranque seguro: hay mucha información errónea sobre el Arranque seguro, especialmente de la Free Software Foundation y grupos similares. Esto ha dificultado la búsqueda de información sobre lo que hace Secure Boot, así que haré todo lo posible para explicarlo. Tenga en cuenta que no tengo experiencia personal en el desarrollo de sistemas de arranque seguros ni nada de eso; Esto es justo lo que aprendí leyendo en línea.

En primer lugar, el Arranque seguro no es algo que se le ocurrió a Microsoft. Son los primeros en implementarlo ampliamente, pero no lo inventaron. Es parte de la especificación UEFI , que es básicamente un reemplazo más nuevo para el BIOS antiguo al que probablemente estés acostumbrado. UEFI es básicamente el software que habla entre el sistema operativo y el hardware. Los estándares UEFI son creados por un grupo llamado " Foro UEFI ", que está compuesto por representantes de la industria informática, incluidos Microsoft, Apple, Intel, AMD y un puñado de fabricantes de computadoras.

Segundo punto más importante, tener Secure Boot habilitado en una computadora no significa que la computadora nunca pueda arrancar ningún otro sistema operativo . De hecho, los requisitos de certificación de hardware de Windows de Microsoft establecen que para los sistemas que no son ARM, debe poder deshabilitar el arranque seguro y cambiar las claves (para permitir otros sistemas operativos). Más sobre eso más tarde sin embargo.

 

¿Qué hace el arranque seguro?

Esencialmente, evita que el malware ataque su computadora a través de la secuencia de arranque. El malware que ingresa a través del gestor de arranque puede ser muy difícil de detectar y detener, ya que puede infiltrarse en funciones de bajo nivel del sistema operativo, manteniéndolo invisible para el software antivirus. Todo lo que Secure Boot realmente hace es verificar que el gestor de arranque es de una fuente confiable y que no ha sido manipulado. Piense en ello como las tapas emergentes en las botellas que dicen "no abrir si la tapa está abierta o si el sello ha sido manipulado".

El botón aparece cuando el sello original está roto

En el nivel superior de protección, tiene la clave de plataforma (PK). Solo hay una PK en cualquier sistema, y ​​el OEM la instala durante la fabricación. Esta clave se usa para proteger la base de datos KEK. La base de datos KEK contiene claves de intercambio de claves, que se utilizan para modificar las otras bases de datos de arranque seguras. Puede haber múltiples KEK. Existe entonces un tercer nivel: la Base de datos autorizada (db) y la Base de datos prohibida (dbx). Contienen información sobre autoridades de certificación, claves criptográficas adicionales e imágenes de dispositivos UEFI para permitir o bloquear, respectivamente. Para que se pueda ejecutar un gestor de arranque, debe estar firmado criptográficamente con una clave que está en la base de datos y no está en la base de datos.

Clave de plataforma> KEK> (hashes permitidos / hashes no permitidos)
Imagen de Building Windows 8: Protección del entorno previo al sistema operativo con UEFI

Cómo funciona esto en un sistema Windows 8 Certified del mundo real

El OEM genera su propia PK y Microsoft proporciona un KEK que el OEM debe cargar previamente en la base de datos KEK. Microsoft luego firma el Cargador de arranque de Windows 8 y usa su KEK para poner esta firma en la Base de datos autorizada. Cuando UEFI inicia la computadora, verifica la PK, verifica el KEK de Microsoft y luego verifica el gestor de arranque. Si todo se ve bien, el sistema operativo puede arrancar.

Inicio seguro en Windows 8: UEFI nativo> Solo cargador de SO verificado> Inicio de SO / UEFI solo lanzará un cargador de SO verificado / Malware no puede cambiar el cargador de arranque
Imagen de Building Windows 8: Protección del entorno previo al sistema operativo con UEFI

 

¿Dónde entran los sistemas operativos de terceros, como Linux?

Primero, cualquier distribución de Linux podría elegir generar un KEK y solicitar a los OEM que lo incluyan en la base de datos de KEK de manera predeterminada. Luego tendrían tanto control sobre el proceso de arranque como Microsoft. Los problemas con esto, como lo explica Matthew Garrett de Fedora , son que a) sería difícil lograr que todos los fabricantes de PC incluyeran la clave de Fedora, yb) sería injusto para otras distribuciones de Linux, ya que su clave no se incluiría , y las distribuciones más pequeñas no tienen tantas asociaciones OEM.

Lo que Fedora ha elegido hacer (y otras distribuciones están siguiendo su ejemplo) es usar los servicios de firma de Microsoft. Este escenario requiere pagar $ 99 a Verisign (la Autoridad de Certificación que usa Microsoft), y otorga a los desarrolladores la capacidad de firmar su gestor de arranque usando KEK de Microsoft. Dado que el KEK de Microsoft ya estará en la mayoría de las computadoras, esto les permite firmar su gestor de arranque para usar el arranque seguro, sin requerir su propio KEK. Termina siendo más compatible con más computadoras, y cuesta menos en general que tratar de configurar su propio sistema de firma y distribución de claves. Hay algunos detalles más sobre cómo funcionará esto (utilizando GRUB, módulos Kernel firmados y otra información técnica) en la publicación de blog mencionada anteriormente, que recomiendo leer si está interesado en este tipo de cosas.

Suponga que no quiere lidiar con la molestia de registrarse en el sistema de Microsoft, o no quiere pagar $ 99, o simplemente tiene rencor contra las grandes corporaciones que comienzan con una M. Hay otra opción para seguir usando el Arranque seguro y ejecutar un sistema operativo que no sea Windows. La certificación de hardware de Microsoft requiere que los OEM permitan a los usuarios ingresar su sistema en modo UEFI "personalizado", donde pueden modificar manualmente las bases de datos de arranque seguro y la PK. El sistema se puede poner en modo de configuración UEFI, donde el usuario puede incluso especificar su propia PK y firmar los cargadores de arranque.

Además, los propios requisitos de certificación de Microsoft hacen obligatorio que los OEM incluyan un método para deshabilitar el Arranque seguro en sistemas que no son ARM. ¡Puede desactivar el arranque seguro! Los únicos sistemas donde no puede deshabilitar el Arranque seguro son los sistemas ARM que ejecutan Windows RT, que funcionan de manera más similar al iPad, donde no puede cargar sistemas operativos personalizados. Aunque deseo que sea posible cambiar el sistema operativo en los dispositivos ARM, es justo decir que Microsoft está siguiendo el estándar de la industria con respecto a las tabletas aquí.

 

¿Entonces el arranque seguro no es inherentemente malo?

Entonces, como puede ver, Secure Boot no es malo y no está restringido solo para usar con Windows. La razón por la cual la FSF y otros están tan molestos por esto es porque agrega pasos adicionales para usar un sistema operativo de terceros. Es posible que a las distribuciones de Linux no les guste pagar para usar la clave de Microsoft, pero es la forma más fácil y rentable de hacer que Secure Boot funcione para Linux. Afortunadamente, es fácil desactivar el arranque seguro y es posible agregar diferentes claves, evitando así la necesidad de tratar con Microsoft.

Dada la cantidad de malware cada vez más avanzado, el Arranque seguro parece una idea razonable. No pretende ser un plan malvado para dominar el mundo, y es mucho menos aterrador de lo que algunos expertos en software libre te harán creer.

logotipo malvado de UEFI

Lectura adicional:


TL; DR: el arranque seguro evita que el malware infecte su sistema a un nivel bajo e indetectable durante el arranque. Cualquiera puede crear las claves necesarias para que funcione, pero es difícil convencer a los fabricantes de computadoras para que distribuyan su clave a todos, por lo que también puede optar por pagar a Verisign para usar la clave de Microsoft para firmar sus cargadores de arranque y hacer que funcionen. También puede deshabilitar el Arranque seguro en cualquier computadora que no sea ARM.

Último pensamiento, con respecto a la campaña de la FSF contra el arranque seguro: algunas de sus preocupaciones (es decir, dificulta la instalación de sistemas operativos gratuitos) son válidas hasta cierto punto . Sin embargo, decir que las restricciones "evitarán que alguien inicie cualquier cosa que no sea Windows" es demostrablemente falso, por las razones ilustradas anteriormente. La campaña contra UEFI / Secure Boot como tecnología es miope, mal informada y es poco probable que sea efectiva de todos modos. Es más importante asegurarse de que los fabricantes realmente cumplan con los requisitos de Microsoft para permitir que los usuarios deshabiliten el Arranque seguro o cambien las claves si así lo desean.


44
>> "En primer lugar, el Arranque seguro no es algo con lo que se haya inventado Microsoft ... Es parte de la especificación UEFI, que es básicamente un reemplazo más nuevo para el BIOS anterior al que probablemente estés acostumbrado ... UEFI los estándares son creados por un grupo llamado "Foro UEFI", que está compuesto por representantes de la industria informática, incluidos Microsoft, Apple ... "Entonces, lo que quiere decir es: Secure Boot no es algo que Microsoft haya inventado por sí solo
mcalex

@mcalex Supongo que es una evaluación justa.
nhinkle

2
Esta es una explicación maravillosamente bien hecha. Pensé que sabía Secure Boot, pero aprendí mucho de esta respuesta. Estoy orgulloso de votarlo.
Harsha K

44
+1 < Ivo Style > Quizás deberías escribir una publicación de blog sobre este @nhinkle; -) </ Ivo Style >
Tamara Wijsman

2
No es Microsoft lo que me preocupa aquí, son los fabricantes. Claro, los dispositivos ARM todavía pueden verse como juguetes ahora , pero las diversas plataformas ARM han recorrido un largo camino en los últimos años, y puedo imaginar fácilmente un día en que la gente los use para algo más que solo mirar videos de YouTube ... Renunciar a la capacidad de actualizar o reemplazar el sistema operativo ahora parece miope. Dicho esto, gracias por escribir esto, definitivamente ayuda a aclarar qué es y qué no es problemático sobre el arranque seguro.
Shog9
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.