En primer lugar, la respuesta simple a su pregunta:
Si tiene una tableta ARM con Windows RT (como Surface RT o Asus Vivo RT), no podrá desactivar el Arranque seguro ni instalar otros sistemas operativos . Al igual que muchas otras tabletas ARM, estos dispositivos solo ejecutarán el sistema operativo con el que vienen.
Si tiene una computadora que no es ARM que ejecuta Windows 8 (como Surface Pro o cualquiera de los innumerables ultrabooks, computadoras de escritorio y tabletas con un procesador x86-64), puede deshabilitar completamente el Arranque seguro o puede instalar sus propias llaves y firma tu propio gestor de arranque. De cualquier manera, puede instalar un sistema operativo de terceros como una distribución de Linux o FreeBSD o DOS o lo que le plazca.
Ahora, en cuanto a los detalles de cómo funciona realmente todo esto del Arranque seguro: hay mucha información errónea sobre el Arranque seguro, especialmente de la Free Software Foundation y grupos similares. Esto ha dificultado la búsqueda de información sobre lo que hace Secure Boot, así que haré todo lo posible para explicarlo. Tenga en cuenta que no tengo experiencia personal en el desarrollo de sistemas de arranque seguros ni nada de eso; Esto es justo lo que aprendí leyendo en línea.
En primer lugar, el Arranque seguro no es algo que se le ocurrió a Microsoft. Son los primeros en implementarlo ampliamente, pero no lo inventaron. Es parte de la especificación UEFI , que es básicamente un reemplazo más nuevo para el BIOS antiguo al que probablemente estés acostumbrado. UEFI es básicamente el software que habla entre el sistema operativo y el hardware. Los estándares UEFI son creados por un grupo llamado " Foro UEFI ", que está compuesto por representantes de la industria informática, incluidos Microsoft, Apple, Intel, AMD y un puñado de fabricantes de computadoras.
Segundo punto más importante, tener Secure Boot habilitado en una computadora no significa que la computadora nunca pueda arrancar ningún otro sistema operativo . De hecho, los requisitos de certificación de hardware de Windows de Microsoft establecen que para los sistemas que no son ARM, debe poder deshabilitar el arranque seguro y cambiar las claves (para permitir otros sistemas operativos). Más sobre eso más tarde sin embargo.
¿Qué hace el arranque seguro?
Esencialmente, evita que el malware ataque su computadora a través de la secuencia de arranque. El malware que ingresa a través del gestor de arranque puede ser muy difícil de detectar y detener, ya que puede infiltrarse en funciones de bajo nivel del sistema operativo, manteniéndolo invisible para el software antivirus. Todo lo que Secure Boot realmente hace es verificar que el gestor de arranque es de una fuente confiable y que no ha sido manipulado. Piense en ello como las tapas emergentes en las botellas que dicen "no abrir si la tapa está abierta o si el sello ha sido manipulado".
En el nivel superior de protección, tiene la clave de plataforma (PK). Solo hay una PK en cualquier sistema, y el OEM la instala durante la fabricación. Esta clave se usa para proteger la base de datos KEK. La base de datos KEK contiene claves de intercambio de claves, que se utilizan para modificar las otras bases de datos de arranque seguras. Puede haber múltiples KEK. Existe entonces un tercer nivel: la Base de datos autorizada (db) y la Base de datos prohibida (dbx). Contienen información sobre autoridades de certificación, claves criptográficas adicionales e imágenes de dispositivos UEFI para permitir o bloquear, respectivamente. Para que se pueda ejecutar un gestor de arranque, debe estar firmado criptográficamente con una clave que está en la base de datos y no está en la base de datos.
Imagen de Building Windows 8: Protección del entorno previo al sistema operativo con UEFI
Cómo funciona esto en un sistema Windows 8 Certified del mundo real
El OEM genera su propia PK y Microsoft proporciona un KEK que el OEM debe cargar previamente en la base de datos KEK. Microsoft luego firma el Cargador de arranque de Windows 8 y usa su KEK para poner esta firma en la Base de datos autorizada. Cuando UEFI inicia la computadora, verifica la PK, verifica el KEK de Microsoft y luego verifica el gestor de arranque. Si todo se ve bien, el sistema operativo puede arrancar.
Imagen de Building Windows 8: Protección del entorno previo al sistema operativo con UEFI
¿Dónde entran los sistemas operativos de terceros, como Linux?
Primero, cualquier distribución de Linux podría elegir generar un KEK y solicitar a los OEM que lo incluyan en la base de datos de KEK de manera predeterminada. Luego tendrían tanto control sobre el proceso de arranque como Microsoft. Los problemas con esto, como lo explica Matthew Garrett de Fedora , son que a) sería difícil lograr que todos los fabricantes de PC incluyeran la clave de Fedora, yb) sería injusto para otras distribuciones de Linux, ya que su clave no se incluiría , y las distribuciones más pequeñas no tienen tantas asociaciones OEM.
Lo que Fedora ha elegido hacer (y otras distribuciones están siguiendo su ejemplo) es usar los servicios de firma de Microsoft. Este escenario requiere pagar $ 99 a Verisign (la Autoridad de Certificación que usa Microsoft), y otorga a los desarrolladores la capacidad de firmar su gestor de arranque usando KEK de Microsoft. Dado que el KEK de Microsoft ya estará en la mayoría de las computadoras, esto les permite firmar su gestor de arranque para usar el arranque seguro, sin requerir su propio KEK. Termina siendo más compatible con más computadoras, y cuesta menos en general que tratar de configurar su propio sistema de firma y distribución de claves. Hay algunos detalles más sobre cómo funcionará esto (utilizando GRUB, módulos Kernel firmados y otra información técnica) en la publicación de blog mencionada anteriormente, que recomiendo leer si está interesado en este tipo de cosas.
Suponga que no quiere lidiar con la molestia de registrarse en el sistema de Microsoft, o no quiere pagar $ 99, o simplemente tiene rencor contra las grandes corporaciones que comienzan con una M. Hay otra opción para seguir usando el Arranque seguro y ejecutar un sistema operativo que no sea Windows. La certificación de hardware de Microsoft requiere que los OEM permitan a los usuarios ingresar su sistema en modo UEFI "personalizado", donde pueden modificar manualmente las bases de datos de arranque seguro y la PK. El sistema se puede poner en modo de configuración UEFI, donde el usuario puede incluso especificar su propia PK y firmar los cargadores de arranque.
Además, los propios requisitos de certificación de Microsoft hacen obligatorio que los OEM incluyan un método para deshabilitar el Arranque seguro en sistemas que no son ARM. ¡Puede desactivar el arranque seguro! Los únicos sistemas donde no puede deshabilitar el Arranque seguro son los sistemas ARM que ejecutan Windows RT, que funcionan de manera más similar al iPad, donde no puede cargar sistemas operativos personalizados. Aunque deseo que sea posible cambiar el sistema operativo en los dispositivos ARM, es justo decir que Microsoft está siguiendo el estándar de la industria con respecto a las tabletas aquí.
¿Entonces el arranque seguro no es inherentemente malo?
Entonces, como puede ver, Secure Boot no es malo y no está restringido solo para usar con Windows. La razón por la cual la FSF y otros están tan molestos por esto es porque agrega pasos adicionales para usar un sistema operativo de terceros. Es posible que a las distribuciones de Linux no les guste pagar para usar la clave de Microsoft, pero es la forma más fácil y rentable de hacer que Secure Boot funcione para Linux. Afortunadamente, es fácil desactivar el arranque seguro y es posible agregar diferentes claves, evitando así la necesidad de tratar con Microsoft.
Dada la cantidad de malware cada vez más avanzado, el Arranque seguro parece una idea razonable. No pretende ser un plan malvado para dominar el mundo, y es mucho menos aterrador de lo que algunos expertos en software libre te harán creer.
Lectura adicional:
TL; DR: el arranque seguro evita que el malware infecte su sistema a un nivel bajo e indetectable durante el arranque. Cualquiera puede crear las claves necesarias para que funcione, pero es difícil convencer a los fabricantes de computadoras para que distribuyan su clave a todos, por lo que también puede optar por pagar a Verisign para usar la clave de Microsoft para firmar sus cargadores de arranque y hacer que funcionen. También puede deshabilitar el Arranque seguro en cualquier computadora que no sea ARM.
Último pensamiento, con respecto a la campaña de la FSF contra el arranque seguro: algunas de sus preocupaciones (es decir, dificulta la instalación de sistemas operativos gratuitos) son válidas hasta cierto punto . Sin embargo, decir que las restricciones "evitarán que alguien inicie cualquier cosa que no sea Windows" es demostrablemente falso, por las razones ilustradas anteriormente. La campaña contra UEFI / Secure Boot como tecnología es miope, mal informada y es poco probable que sea efectiva de todos modos. Es más importante asegurarse de que los fabricantes realmente cumplan con los requisitos de Microsoft para permitir que los usuarios deshabiliten el Arranque seguro o cambien las claves si así lo desean.