Las PC modernas vienen con una función llamada «Arranque seguro» habilitado. Esta es una característica de la plataforma en UEFI, que reemplaza el BIOS de PC tradicional. Si un fabricante de PC desea colocar una etiqueta con el logotipo de «Windows 10» o «Windows 8» en su PC, Microsoft le pide que active el Arranque seguro y siga ciertas pautas.
Desafortunadamente, esto también le impide instalar algunas distribuciones de Linux, lo que puede ser bastante complicado.
Cómo el arranque seguro protege el proceso de arranque de su PC
El arranque seguro no solo está diseñado para dificultar la ejecución de Linux. Habilitar el arranque seguro tiene beneficios de seguridad reales, e incluso los usuarios de Linux pueden beneficiarse.
Un BIOS tradicional iniciará cualquier software. Cuando inicia su PC, busca dispositivos de hardware según el orden de inicio que configuró e intenta iniciar desde ellos. Las PC típicas encontrarán e iniciarán el cargador de arranque de Windows normalmente, que luego iniciará el sistema operativo completo de Windows. Si está utilizando Linux, el BIOS encontrará e iniciará el cargador de arranque GRUB, que utilizan la mayoría de las distribuciones de Linux.
Sin embargo, es posible que software malintencionado, como un rootkit, pueda reemplazar su cargador de arranque. El rootkit podría cargar su sistema operativo normal sin ninguna indicación de que algo andaba mal, permaneciendo completamente invisible e indetectable en su sistema. El BIOS no distingue entre malware y un cargador de arranque confiable, simplemente arranca lo que encuentra.
Secure Boot está diseñado para detener esto. Las PC con Windows 8 y 10 vienen con el certificado de Microsoft almacenado en UEFI. UEFI comprobará el cargador de arranque antes de iniciarlo y se asegurará de que esté firmado por Microsoft. Si un rootkit u otro malware reemplaza o manipula su cargador de arranque, UEFI no permitirá que se inicie. Esto evita que el malware se apropie de su proceso de inicio y se esconda de su sistema operativo.
Cómo Microsoft permite que las distribuciones de Linux se inicien con el inicio seguro
Esta función, en teoría, solo está diseñada para proteger contra el malware. Por lo tanto, Microsoft ofrece una forma de ayudar a que las distribuciones de Linux se inicien de todos modos. Esta es la razón por la que algunas distribuciones modernas de Linux, como Ubuntu y Fedora, «simplemente funcionarán» en las PC modernas, incluso con el Arranque seguro habilitado. Las distribuciones de Linux pueden pagar una tarifa única de $ 99 para acceder al portal Microsoft Sysdev, donde pueden solicitar la firma de sus cargadores de arranque.
Las distribuciones de Linux suelen tener un «shim» firmado. El shim es un pequeño cargador de arranque que simplemente arranca el cargador de arranque GRUB principal de la distribución de Linux. El shim firmado por Microsoft verifica que inicia un gestor de arranque firmado por la distribución de Linux, luego la distribución de Linux arranca normalmente.
Ubuntu, Fedora, Red Hat Enterprise Linux y openSUSE actualmente admiten el arranque seguro y funcionarán sin modificaciones en el hardware moderno. Puede haber otros, pero estos son los que conocemos. Algunas distribuciones de Linux se oponen filosóficamente a solicitar ser firmadas por Microsoft.
Cómo deshabilitar o controlar el arranque seguro
Si eso fuera todo lo que hizo Secure Boot, no podría ejecutar un sistema operativo no aprobado por Microsoft en su PC. Pero probablemente pueda controlar el arranque seguro desde el firmware UEFI de su PC, que se parece al BIOS de las PC más antiguas.
Hay dos formas de controlar el arranque seguro. El método más sencillo es ir al firmware UEFI y deshabilitarlo por completo. El firmware UEFI no verificará que esté ejecutando un cargador de arranque firmado y todo se iniciará. Puede iniciar cualquier distribución de Linux o incluso instalar Windows 7, que no es compatible con el arranque seguro. Windows 8 y 10 funcionarán bien, simplemente perderá los beneficios de seguridad de tener Secure Boot para proteger su proceso de arranque.
También puede personalizar aún más el Arranque seguro. Puede controlar los certificados de firma que ofrece Secure Boot. Puede instalar nuevos certificados y eliminar certificados existentes. Una organización que estaba ejecutando Linux en sus PC, por ejemplo, podría optar por eliminar los certificados de Microsoft e instalar el certificado propio de la organización en su lugar. Estas PC solo iniciarían cargadores de arranque aprobados y firmados por esa organización específica.
Una persona también puede hacerlo: puede firmar su propio cargador de arranque de Linux y asegurarse de que su PC solo pueda arrancar los cargadores de arranque que haya compilado y firmado personalmente. Este es el tipo de control y potencia que ofrece Secure Boot.
Lo que Microsoft requiere de los fabricantes de PC
Microsoft no solo requiere que los proveedores de PC habiliten el Arranque seguro si quieren ese lindo adhesivo de certificación de «Windows 10» o «Windows 8» en sus PC. Microsoft requiere que los fabricantes de PC lo implementen de una manera específica.
Para las PC con Windows 8, los fabricantes tenían que ofrecerle una forma de desactivar el Arranque seguro. Microsoft ha pedido a los fabricantes de PC que pongan un interruptor de interrupción de arranque seguro en manos de los usuarios.
Para PC con Windows 10, esto ya no es necesario. Los fabricantes de PC pueden optar por habilitar el Arranque seguro y no darles a los usuarios una forma de apagarlo. Sin embargo, no conocemos ningún fabricante de PC que lo haga.
Asimismo, aunque los fabricantes de PC deben incluir la clave maestra “Microsoft Windows Production PCA” de Microsoft para que Windows se inicie, no es necesario que incluyan la clave “Microsoft Corporation UEFI CA”. Esta segunda clave solo se recomienda. Esta es la segunda clave opcional que utiliza Microsoft para firmar cargadores de arranque de Linux. Documentación de Ubuntu explica esto.
En otras palabras, no todas las PC arrancarán necesariamente distribuciones de Linux firmadas con Arranque seguro habilitado. Nuevamente, en la práctica, no hemos visto ninguna PC haciendo esto. Tal vez ningún fabricante de PC quiera crear la única línea de computadoras portátiles en las que no puede instalar Linux.
Por ahora, al menos, las PC tradicionales con Windows deberían permitirle deshabilitar el Arranque seguro si lo desea, y deberían arrancar las distribuciones de Linux que han sido firmadas por Microsoft incluso si no deshabilita el Arranque seguro.
El arranque seguro no se pudo deshabilitar en Windows RT, pero Windows RT está muerto
Todo lo anterior es cierto para los sistemas operativos estándar Windows 8 y 10 en hardware estándar Intel x86. Es diferente para ARM.
En Windows RT, la versión de Windows 8 para hardware ARM, enviada en Surface RT y Surface 2 de Microsoft, entre otros dispositivos, Secure Boot no se pudo deshabilitar. Hoy en día, el Arranque seguro todavía no se puede deshabilitar en el hardware de Windows 10 Mobile, es decir, en los teléfonos que ejecutan Windows 10.
Esto se debe a que Microsoft quería que pensaras en los sistemas Windows RT basados en ARM como «dispositivos», no como PC. Como Microsoft le dijo a Mozilla, Windows RT «ya no es Windows».
Sin embargo, Windows RT ahora está muerto. No existe una versión del sistema operativo de escritorio Windows 10 para hardware ARM, por lo que ya no es algo de lo que tenga que preocuparse. Pero, si Microsoft recupera el hardware de Windows RT 10, probablemente no podrá deshabilitar el Arranque seguro en él.
Credito de imagen: Base de embajadores, John Bristowe