agwebrunner.com

Els equips moderns s’ofereixen amb la funció anomenada “Arrencada segura”. Aquesta és una característica de plataforma a UEFI, que substitueix el BIOS tradicional de PC. Si un fabricant de PC vol posar un adhesiu del logotip “Windows 10” o “Windows 8” al seu PC, Microsoft requereix que habiliti l’arrencada segura i segueixi algunes pautes.

Malauradament, també impedeix instal·lar algunes distribucions de Linux, cosa que pot suposar una molèstia.

Com assegura l’arrencada segura el procés d’arrencada del vostre PC

L’arrencada segura no només està dissenyada per dificultar l’execució de Linux. Hi ha avantatges de seguretat reals a l’haver activat l’arrencada segura i fins i tot els usuaris de Linux se’n poden beneficiar.

Una BIOS tradicional arrencarà qualsevol programari. En arrencar l’ordinador, comprova els dispositius de maquinari segons l’ordre d’arrencada que heu configurat i intenta arrencar-ne. Els ordinadors típics normalment troben i arrencen el carregador d’arrencada de Windows, que arrenca el sistema operatiu complet de Windows. Si utilitzeu Linux, la BIOS trobarà i arrencarà el carregador d’arrencada GRUB, que utilitzen la majoria de distribucions de Linux.

Tot i això, és possible que el programari maliciós, com ara un rootkit, substitueixi el carregador d’arrencada. El rootkit podria carregar el vostre sistema operatiu normal sense cap indicació que hi hagués cap problema, mantenint-se completament invisible i indetectable al vostre sistema. El BIOS no sap la diferència entre programari maliciós i un carregador d’arrencada de confiança: només arrenca el que trobi.

L'arrencada segura està dissenyada per aturar-ho. Els ordinadors Windows 8 i 10 s’inclouen amb el certificat de Microsoft emmagatzemat a UEFI. UEFI comprovarà el carregador d’arrencada abans d’iniciar-lo i s’assegurarà que està signat per Microsoft. Si un rootkit o un altre programari maliciós substitueix el carregador d’arrencada o el manipulador, UEFI no el permetrà arrencar. D’aquesta manera, s’evita que el programari maliciós segresti el procés d’arrencada i s’amagui del sistema operatiu.

Com Microsoft permet arrencar distribucions de Linux amb arrencada segura

Aquesta característica, en teoria, està dissenyada per protegir-se contra el malware. Així doncs, Microsoft ofereix una manera d’ajudar les distribucions Linux a arrencar de totes maneres. És per això que algunes distribucions Linux modernes, com Ubuntu i Fedora, "només funcionaran" en ordinadors moderns, fins i tot amb l’arrencada segura activada. Les distribucions de Linux poden pagar una tarifa única de 99 dòlars per accedir al portal Microsoft Sysdev, on poden sol·licitar que se signin els carregadors d’arrencada.

Les distribucions Linux solen tenir un signe "shim". El shim és un petit carregador d’arrencada que simplement arrenca el carregador d’arrencada principal GRUB de les distribucions de Linux. El shim signat per Microsoft comprova que s’inicia un carregador d’arrencada signat per la distribució Linux i, després, la distribució Linux arrenca normalment.

Ubuntu, Fedora, Red Hat Enterprise Linux i openSUSE actualment admeten l’arrencada segura i funcionaran sense cap modificació al maquinari modern. N’hi pot haver d’altres, però en som conscients. Algunes distribucions de Linux s’oposen filosòficament a la sol·licitud de signatura de Microsoft.

Com es pot desactivar o controlar l'arrencada segura

Si tot això va fer Secure Boot, no podríeu executar cap sistema operatiu no aprovat per Microsoft al vostre PC. Però és probable que pugueu controlar l’arrencada segura des del microprogramari UEFI del vostre PC, que és com la BIOS dels equips antics.

Hi ha dues maneres de controlar l’arrencada segura. El mètode més senzill és dirigir-se al firmware UEFI i desactivar-lo completament. El microprogramari UEFI no comprovarà si esteu executant un carregador d’arrencada signat i s’iniciarà qualsevol cosa. Podeu iniciar qualsevol distribució de Linux o fins i tot instal·lar Windows 7, que no admet l’arrencada segura. Windows 8 i 10 funcionaran bé, només perdreu els avantatges de seguretat de protegir el vostre procés d’arrencada amb l’arrencada segura.

També podeu personalitzar l’arrencada segura. Podeu controlar quins certificats de signatura ofereix Secure Boot. Podeu instal·lar certificats nous i suprimir els certificats existents. Una organització que executés Linux als seus ordinadors, per exemple, podria optar per eliminar els certificats de Microsoft i instal·lar el certificat propi de l’organització al seu lloc. Aquests ordinadors només arrencarien carregadors d’arrencada aprovats i signats per aquesta organització específica.

Una persona també ho podria fer: podeu signar el vostre propi carregador d'arrencada de Linux i assegurar-vos que el vostre PC només pogués arrencar els carregadors d'arrencada que heu compilat i signat personalment. Aquest és el tipus de control i poder que ofereix Secure Boot.

Què requereix Microsoft dels fabricants de PC

Microsoft no només requereix que els proveïdors de PC activin l’arrencada segura si volen aquest bonic adhesiu de certificació “Windows 10” o “Windows 8” als seus ordinadors. Microsoft requereix que els fabricants de PC l’implementin d’una manera específica.

Per a ordinadors amb Windows 8, els fabricants havien de donar-vos la manera de desactivar l'arrencada segura. Microsoft va exigir als fabricants de PC que posessin un commutador d’arrencada segur a les mans dels usuaris.

Per als ordinadors amb Windows 10, això ja no és obligatori. Els fabricants de PC poden optar per habilitar l’arrencada segura i no oferir als usuaris la manera de desactivar-lo. Tot i això, en realitat no coneixem cap fabricant de PC que ho faci.

De la mateixa manera, si bé els fabricants de PC han d’incloure la clau principal de Microsoft “Microsoft Windows Production PCA” perquè Windows pugui arrencar, no han d’incloure la clau “Microsoft Corporation UEFI CA”. Aquesta segona clau només es recomana. És la segona clau opcional que Microsoft utilitza per signar els carregadors d’arrencada de Linux. La documentació d’Ubuntu ho explica.

Dit d’una altra manera, no tots els ordinadors necessàriament arrencaran distribucions signades de Linux amb l’arrencada segura activada. Una vegada més, a la pràctica, no hem vist cap PC que ho fes. Potser cap fabricant de PC vol fabricar l’única línia de portàtils en què no pugueu instal·lar Linux.

Per ara, com a mínim, els ordinadors amb Windows convencionals us haurien de permetre desactivar l’arrencada segura si voleu, i haurien d’arrencar distribucions de Linux que hagi signat Microsoft encara que no desactiveu l’arrencada segura.

L'arrencada segura no s'ha pogut desactivar al Windows RT, però Windows RT ha mort

RELACIONATS:Què és Windows RT i en què es diferencia del Windows 8?

Tot l’anterior és cert per als sistemes operatius estàndard de Windows 8 i 10 del maquinari Intel x86 estàndard. És diferent per a ARM.

A Windows RT, la versió de Windows 8 per al maquinari ARM, que es va enviar a Surface RT i Surface 2 de Microsoft, entre altres dispositius, no es va poder desactivar l’arrencada segura. Avui en dia, l’arrencada segura encara no es pot desactivar al maquinari de Windows 10 Mobile, és a dir, als telèfons que executen Windows 10.

Això es deu al fet que Microsoft volia que penséssiu dels sistemes Windows RT basats en ARM com a "dispositius" i no com a ordinadors. Com va dir Microsoft a Mozilla, Windows RT "ja no és Windows".

Tot i això, Windows RT ja està mort. No hi ha cap versió del sistema operatiu d’escriptori de Windows 10 per al maquinari ARM, de manera que ja no us heu de preocupar. Però, si Microsoft recupera el maquinari de Windows RT 10, és probable que no pugueu desactivar l’arrencada segura.

Crèdit de la imatge: Ambaixador Base, John Bristowe