Cómo funciona el arranque seguro en Windows 8 y 10, y qué significa para Linux

Las PC modernas se envían con una función llamada Arranque seguro habilitada. Esta es una característica de la plataforma en UEFI, que reemplaza el BIOS de PC tradicional.

Las PC modernas se envían con una función llamada «Arranque seguro» habilitada. Esta es una característica de la plataforma en UEFI, que reemplaza el BIOS de PC tradicional. Si un fabricante de PC quiere colocar una etiqueta con el logotipo de «Windows 10» o «Windows 8» en su PC, Microsoft requiere que habiliten el Arranque seguro y sigan algunas pautas.

Desafortunadamente, también le impide instalar algunas distribuciones de Linux, lo que puede ser una molestia.

Cómo Secure Boot asegura el proceso de arranque de tu PC

Secure Boot no solo está diseñado para hacer que ejecutar Linux sea más difícil. Tener un arranque seguro habilitado tiene ventajas de seguridad reales, e incluso los usuarios de Linux pueden beneficiarse de ellos.

Un BIOS tradicional iniciará cualquier software. Cuando inicia su PC, verifica los dispositivos de hardware de acuerdo con el orden de inicio que configuró e intenta iniciarlos desde ellos. Las PC típicas normalmente encontrarán e iniciarán el cargador de inicio de Windows, que luego iniciará el sistema operativo Windows completo. Si usa Linux, el BIOS buscará e iniciará el cargador de arranque GRUB, que utilizan la mayoría de las distribuciones de Linux.

Sin embargo, es posible que el malware, como un rootkit, reemplace su gestor de arranque. El rootkit podría cargar su sistema operativo normal sin indicar que algo estaba mal, permaneciendo completamente invisible e indetectable en su sistema. El BIOS no conoce la diferencia entre el malware y un cargador de arranque de confianza, solo arranca lo que encuentre.

El arranque seguro está diseñado para detener esto. Las PC con Windows 8 y 10 se envían con el certificado de Microsoft almacenado en UEFI. UEFI verificará el cargador de arranque antes de iniciarlo y se asegurará de que esté firmado por Microsoft. Si un rootkit u otra pieza de malware reemplaza su gestor de arranque o lo manipula, UEFI no permitirá que arranque. Esto evita que el malware secuestre su proceso de arranque y se oculte de su sistema operativo.

Cómo Microsoft permite que las distribuciones de Linux arranquen con arranque seguro

Esta característica, en teoría, está diseñada para proteger contra el malware. Entonces, Microsoft ofrece una forma de ayudar a las distribuciones de Linux a arrancar de todos modos. Es por eso que algunas distribuciones modernas de Linux, como Ubuntu y Fedora, «simplemente funcionarán» en las PC modernas, incluso con Secure Boot habilitado. Las distribuciones de Linux pueden pagar una tarifa única de $ 99 para acceder al portal de Microsoft Sysdev, donde pueden solicitar la firma de sus cargadores de arranque.

Las distribuciones de Linux generalmente tienen un «shim» firmado. El shim es un pequeño cargador de arranque que simplemente arranca el cargador de arranque principal GRUB de las distribuciones de Linux. La cuña firmada por Microsoft verifica que se inicie un cargador de arranque firmado por la distribución de Linux, y luego la distribución de Linux se inicia normalmente.

Ubuntu, Fedora, Red Hat Enterprise Linux y openSUSE actualmente admiten el arranque seguro y funcionarán sin ajustes en el hardware moderno. Puede haber otros, pero estos son los que conocemos. Algunas distribuciones de Linux son filosóficamente opuestas a la solicitud de ser firmadas por Microsoft.

Cómo puede deshabilitar o controlar el arranque seguro

Si eso fue todo lo que hizo Secure Boot, no podría ejecutar ningún sistema operativo no aprobado por Microsoft en su PC. Pero es probable que pueda controlar el Arranque seguro desde el firmware UEFI de su PC, que es como el BIOS en las PC más antiguas.

Hay dos formas de controlar el arranque seguro. El método más fácil es dirigirse al firmware UEFI y deshabilitarlo por completo. El firmware UEFI no se comprobará para asegurarse de que está ejecutando un cargador de arranque firmado, y todo se iniciará. Puede iniciar cualquier distribución de Linux o incluso instalar Windows 7, que no admite el inicio seguro. Windows 8 y 10 funcionarán bien, simplemente perderá las ventajas de seguridad de que el Arranque seguro proteja su proceso de arranque.

También puede personalizar aún más el arranque seguro. Puede controlar qué certificados de firma ofrece Secure Boot. Puede instalar certificados nuevos y eliminar certificados existentes. Una organización que ejecuta Linux en sus PC, por ejemplo, podría optar por eliminar los certificados de Microsoft e instalar el propio certificado de la organización en su lugar. Esas PC solo iniciarían los cargadores de arranque aprobados y firmados por esa organización específica.

Una persona también puede hacer esto: puede firmar su propio cargador de arranque de Linux y asegurarse de que su PC solo pueda arrancar los cargadores de arranque que compiló y firmó personalmente. Ese es el tipo de control y potencia que ofrece Secure Boot.

Lo que Microsoft requiere de los fabricantes de PC

Microsoft no solo requiere que los proveedores de PC habiliten el Arranque seguro si desean esa calcomanía de certificación «Windows 10» o «Windows 8» en sus PC. Microsoft requiere que los fabricantes de PC lo implementen de manera específica.

Para las PC con Windows 8, los fabricantes tenían que darle una forma de desactivar el arranque seguro.Microsoft exigió a los fabricantes de PC que pusieran un interruptor de apagado de arranque seguro en manos de los usuarios.

Para PC con Windows 10, esto ya no es obligatorio. Los fabricantes de PC pueden optar por habilitar el arranque seguro y no darles a los usuarios una forma de desactivarlo. Sin embargo, en realidad no tenemos conocimiento de ningún fabricante de PC que haga esto.

Del mismo modo, si bien los fabricantes de PC deben incluir la clave principal «Microsoft Windows Production PCA» de Microsoft para que Windows pueda arrancar, no tienen que incluir la clave «Microsoft Corporation UEFI CA». Esta segunda clave solo se recomienda. Es la segunda clave opcional que Microsoft usa para firmar los cargadores de arranque de Linux. La documentación de Ubuntu explica esto.

En otras palabras, no todas las PC iniciarán necesariamente las distribuciones de Linux firmadas con Secure Boot activado. Nuevamente, en la práctica, no hemos visto ninguna PC que haya hecho esto. Quizás ningún fabricante de PC quiera hacer la única línea de computadoras portátiles en las que no puede instalar Linux.

Por ahora, al menos, las PC con Windows convencionales deberían permitirle deshabilitar el Arranque seguro si lo desea, y deberían arrancar las distribuciones de Linux que han sido firmadas por Microsoft, incluso si no deshabilita el Arranque seguro.

El arranque seguro no se pudo deshabilitar en Windows RT, pero Windows RT está muerto

Todo lo anterior es cierto para los sistemas operativos estándar de Windows 8 y 10 en el hardware estándar Intel x86. Es diferente para ARM.

En Windows RT, la versión de Windows 8 para hardware ARM, que se entregó en Surface RT y Surface 2 de Microsoft, entre otros dispositivos, Secure Boot no se pudo desactivar. Hoy, el Arranque seguro todavía no se puede deshabilitar en el hardware de Windows 10 Mobile, en otras palabras, en los teléfonos que ejecutan Windows 10.

Esto se debe a que Microsoft quería que pensaras en los sistemas Windows RT basados ​​en ARM como «dispositivos», no como PC. Como Microsoft le dijo a Mozilla, Windows RT «ya no es Windows».

Sin embargo, Windows RT ahora está muerto. No existe una versión del sistema operativo de escritorio Windows 10 para hardware ARM, por lo que ya no es algo de lo que deba preocuparse. Pero, si Microsoft recupera el hardware de Windows RT 10, es probable que no pueda desactivar el Arranque seguro en él.

Crédito de la imagen: Embajador Base, John Bristowe

Rate article
labsfabs.com
Add a comment