Como funciona a inicialização segura no Windows 8 e 10 e o que isso significa para o Linux
PCs modernos são fornecidos com um recurso chamado “Boot Seguro” habilitado. Este é um recurso de plataforma no UEFI, que substitui o tradicional BIOS do PC. Se um fabricante de PCs quiser colocar um adesivo de logotipo “Windows 10” ou “Windows 8” em seu PC, a Microsoft exige que ele ative a Inicialização Segura e siga algumas diretrizes..
Infelizmente, isso também impede que você instale algumas distribuições Linux, o que pode ser um problema.
Como a inicialização segura protege o processo de inicialização do seu PC
Secure Boot não é apenas projetado para tornar o Linux em execução mais difícil. Há vantagens reais de segurança para ter o Secure Boot ativado, e até mesmo os usuários do Linux podem se beneficiar deles.
Um BIOS tradicional irá inicializar qualquer software. Quando você inicializa seu PC, ele verifica os dispositivos de hardware de acordo com a ordem de inicialização que você configurou e tenta inicializar a partir deles. Os PCs típicos normalmente encontrarão e inicializarão o gerenciador de inicialização do Windows, que continuará inicializando o sistema operacional Windows completo. Se você usa o Linux, o BIOS irá encontrar e inicializar o gerenciador de inicialização GRUB, que a maioria das distribuições Linux usa.
No entanto, é possível que um malware, como um rootkit, substitua seu gerenciador de inicialização. O rootkit pode carregar seu sistema operacional normal sem nenhuma indicação de que algo esteja errado, permanecendo completamente invisível e indetectável em seu sistema. O BIOS não sabe a diferença entre malware e um gerenciador de inicialização confiável - ele apenas inicializa o que encontrar.
Inicialização segura é projetada para parar isso. Os PCs com Windows 8 e 10 são fornecidos com o certificado da Microsoft armazenado no UEFI. A UEFI verificará o carregador de inicialização antes de iniciá-lo e garantir que ele seja assinado pela Microsoft. Se um rootkit ou outro malware substituir o carregador de boot ou adulterá-lo, a UEFI não permitirá que ele seja inicializado. Isso evita que o malware seqüestre seu processo de inicialização e se esconda do seu sistema operacional.
Como a Microsoft permite que as distribuições Linux sejam inicializadas com inicialização segura
Este recurso é, em teoria, projetado apenas para proteger contra malware. Portanto, a Microsoft oferece uma maneira de ajudar as distribuições do Linux a serem inicializadas de qualquer maneira. É por isso que algumas distribuições Linux modernas - como o Ubuntu e o Fedora - vão “funcionar” nos PCs modernos, mesmo com o Secure Boot ativado. As distribuições Linux podem pagar uma taxa única de US $ 99 para acessar o portal Microsoft Sysdev, onde podem se inscrever para que seus carregadores de boot assinem.
Distribuições Linux geralmente têm um “shim” assinado. O shim é um pequeno gerenciador de inicialização que simplesmente inicializa o gerenciador de inicialização GRUB principal das distribuições Linux. O shim assinado pela Microsoft verifica se ele está inicializando um gerenciador de inicialização assinado pela distribuição Linux e, em seguida, a distribuição do Linux inicializa normalmente.
O Ubuntu, o Fedora, o Red Hat Enterprise Linux e o openSUSE atualmente suportam o Secure Boot e funcionarão sem nenhum ajuste no hardware moderno. Pode haver outros, mas esses são os que estamos cientes. Algumas distribuições Linux são filosoficamente contrárias à solicitação de assinatura pela Microsoft..
Como você pode desativar ou controlar a inicialização segura
Se tudo isso foi feito pelo Secure Boot, você não conseguirá executar nenhum sistema operacional não aprovado pela Microsoft em seu computador. Mas você provavelmente pode controlar o Secure Boot a partir do firmware UEFI do seu PC, que é como o BIOS em PCs mais antigos.
Existem duas maneiras de controlar a inicialização segura. O método mais fácil é ir ao firmware UEFI e desativá-lo completamente. O firmware da UEFI não verificará se você está executando um carregador de boot assinado e tudo será inicializado. Você pode inicializar qualquer distribuição Linux ou até instalar o Windows 7, que não suporta inicialização segura. O Windows 8 e 10 funcionarão bem, você perderá as vantagens de segurança de ter o Secure Boot protegido seu processo de inicialização.
Você também pode personalizar ainda mais a inicialização segura. Você pode controlar quais certificados de assinatura o Secure Boot oferece. Você está livre para instalar novos certificados e remover certificados existentes. Uma organização que executava o Linux em seus PCs, por exemplo, poderia escolher remover os certificados da Microsoft e instalar o próprio certificado da organização em seu lugar. Esses PCs, então, só inicializariam carregadores de boot aprovados e assinados por essa organização específica.
Um indivíduo pode fazer isso também - você pode assinar seu próprio gerenciador de inicialização do Linux e garantir que seu PC possa apenas inicializar carregadores de inicialização que você pessoalmente compilou e assinou. Esse é o tipo de controle e poder de ofertas de inicialização segura.
O que a Microsoft exige dos fabricantes de PCs
A Microsoft não exige apenas que os fornecedores de PC ativem o Secure Boot se quiserem um adesivo de certificação “Windows 10” ou “Windows 8” em seus computadores. A Microsoft exige que os fabricantes de PCs implementem de maneira específica.
Para PCs com Windows 8, os fabricantes precisavam fornecer uma maneira de desativar o Secure Boot. A Microsoft exigiu que os fabricantes de PCs colocassem um switch kill seguro nas mãos dos usuários.
Para PCs com Windows 10, isso não é mais obrigatório. Os fabricantes de PCs podem optar por habilitar o Secure Boot e não dar aos usuários uma maneira de desativá-lo. No entanto, não estamos realmente cientes de nenhum fabricante de PC que faz isso.
Da mesma forma, enquanto os fabricantes de PC precisam incluir a chave principal “Microsoft Windows Production PCA” da Microsoft para que o Windows possa inicializar, eles não precisam incluir a chave “Microsoft Corporation UEFI CA”. Esta segunda chave é apenas recomendada. É a segunda chave opcional que a Microsoft usa para assinar carregadores de boot do Linux. A documentação do Ubuntu explica isso.
Em outras palavras, nem todos os PCs necessariamente inicializarão as distribuições assinadas do Linux com o Secure Boot ativado. Novamente, na prática, não vimos nenhum PC que fez isso. Talvez nenhum fabricante de PC queira fazer a única linha de laptops que você não pode instalar o Linux.
Por enquanto, pelo menos, os PCs com Windows tradicionais devem permitir que você desabilite o Secure Boot, se quiser, e eles devem inicializar as distribuições do Linux que foram assinadas pela Microsoft, mesmo que você não desabilite o Secure Boot..
Inicialização segura não pode ser desativada no Windows RT, mas o Windows RT está inativo
Todas as opções acima são verdadeiras para os sistemas operacionais Windows 8 e 10 padrão no hardware padrão Intel x86. É diferente para ARM.
No Windows RT - a versão do Windows 8 para hardware ARM, que é fornecida no Surface RT e Surface 2 da Microsoft, entre outros dispositivos - o Secure Boot não pôde ser desativado. Hoje, o Secure Boot ainda não pode ser desativado no hardware do Windows 10 Mobile; em outras palavras, os telefones que executam o Windows 10.
Isso porque a Microsoft queria que você pensasse em sistemas Windows RT baseados em ARM como "dispositivos", não PCs. Como a Microsoft disse ao Mozilla, o Windows RT “não é mais o Windows”.
No entanto, o Windows RT está morto. Não há nenhuma versão do sistema operacional Windows 10 para hardware ARM, então isso não é algo com que você precise se preocupar mais. Mas, se a Microsoft trouxer o hardware do Windows RT 10, você provavelmente não conseguirá desativar o Secure Boot nele.
Crédito de imagem: Base de embaixadores, John Bristowe