Hace unos días publiqué un post en el que comentaba que era posible que los equipos que vinieran con Windows 8 por defecto podrían tener serias dificultades para instalar Linux. Internet se ha llenado de teorías conspiranoicas y demás desde entonces, especulando con nuevas prácticas monopolísticas por parte de Microsoft.
Nada más lejos de la realidad: esa decisión no sería realizada por Microsoft. En las máquinas que entregaron en el BUILD Windows, de hecho, el secure boot es totalmente desactivable. La decisión dependería, por tanto, de los fabricantes. Son ellos los que deciden, en última instancia, incluso la autoridad certificadora que emite los certificados de los que hablábamos.
Respecto al tema relacionado con la famosa UEFI, la cosa podemos resumirla en que Windows 8 usará UEFI si está disponible y en que el secure boot es parte de la propia UEFI (¡y no de Windows 8!). De manera que Microsoft no bloquea otros cargadores de arranque (como mucho lo harían los fabricantes), y por tanto no bloquea otros sistemas operativos.
Hacía falta algo de luz sobre este asunto, dado que cada vez costaba más entender de qué iba el tema. Lo que queda claro es, desde luego, que no sería Microsoft quien emitiera la certificación para Secure Boot, y que el Secure Boot sería algo totalmente opcional para Windows 8.
Vía | WinRumors
Ver 59 comentarios
59 comentarios
razhan
Quería haber escrito este comentario por la mañana cuando salio la noticia, pero resulta que me lo había dejado sin publicar (uops xD)
Tengo ciertos conocimientos sobre arranque de SO, Windows y Linux por motivos laborales. Ayer me estuve leyendo la especificación de UEFI para ver si podía poner los puntos en claro, voy a intentar aclarar algunas cosas:
- Windows 8 necesita UEFI para arrancar? No, puede arrancar en sistemas BIOS (como hace la DP) sin ningun problema
- Windows 8 necesita Secure Boot? Tampoco, Windows 8 puede arrancar en un sistema UEFI sin Secure Boot. Lo que ha pedido Microsoft a los OEM es que si quieren participar en el programa Windows Logo (poner la pegatina de Windows en el ordenador), necesitan utilizar una placa UEFI con Secure Boot
- Significa esto que Secure Boot no se pueda desactivar? No, secure boot puede ser desactivado. Una placa base donde no pueda desactivarse secure boot sería muy poco practica. Entre otras cosas, implicaría que no se podría instalar Windows 7, y un OEM sabe que muchos equipos que vende acaban en empresas que instalan una versión específica de Windows. Tambíen Microsoft obliga a incluir una tecla de Windows y no por ello ha desaparecido la tecla de Ctrl - Cual es el objetivo de Secure Boot? Secure boot tiene dos objetivos principales, seguridad y antipiratería. Una copia de Windows (u otro software) no tiene forma de saber que no ha sido modificado (ya sea malware o el usuario para piratearla). Por definición, si han podido modificar algo de Windows, se puede modificar el código de validación para asegurar que todo esta bien. Sin embargo, en la practica este proceso puede volverse lo bastante complicado. Sin embargo, secure boot tiene otra ventaja, que proteje contra un ataque en Ring -1
- Que es un ataque Ring -1? Tradicionalmente en informatica, el mayor ataque que podías hacer era un ataque Ring 0 (Conseguir control total del sistema arrancado). Sin embargo, con las nuevas técnicas de virtualización, puede lograrse ir un punto más alla, que es hacer que el SO victima funcione en un entorno virtualizado. Este sistema tiene varias ventajas, entre ellas, que no es necesario modificar el OS cliente y es extremadamente dificil de detectar (aunque parece que no imposible). La idea es hacer que el sistema arranque nuestro software malicioso y este a su vez arranque el entorno virtualizado, convirtiendose en un hipervisor. Un hipervisor puede acceder a la información del OS cliente, pero no viceversa.
- Como consigue Secure Boot esto? Mediante el uso de criptografía de clave pública UEFI puede garantizar al OS que este no se esta ejecutando en un hipervisor, y que sí lo hace, es con concimiento del usuarip Para conseguir esto, el SO tiene un certificado almacenado el certificado publico correspondiente en una sección del Firmware UEFI (Como llega el certificado al almacen lo miraremos más adelante, pero una vez arrancado el sistema, no puede instalarse ahi, por lo que un atacante remoto no puede instalarlo) UEFI utiliza este certificado para comprobar que la firma digital de la imagen de arranque, así como los sucesivos drivers, no han sido modificados. Si se detecta una modificación, la firma falla y el sistema no arranca dicha imagen.
- Como llega el certificado al almacen de certificados del firmware? Hay varias formas, es posible (aunque no necesario) que algunos certificados vengan precargados por el fabricante, aunque hay otros modos. Se puede instalar automáticamente un certificado que viene firmado por un certificado de confianza. También hay un modo de gestión del almacen donde el usuario podría instalar un certificado manualmente. Por ultimo, un software que se instale puede dejar un certificado junto con la imagen que se va a arrancar. En el siguiente arranque, cuando el sistema detecte una imagen firmada con un certificado que no es de confianza, pero tampoco esta marcado como invalido, le da la opción al usuario de convertirlo en certificado de confianza
- Como instalo linux en mi máquina si el CD no va a venir firmado por una entidad de confianza? La especificación de UEFI menciona un modo Setup que el usuario puede marcar. Este modo esta pensado para la instalación/reparación del sistema y permitiría arrancar linux
- Como hago para arrancar linux con secure boot una vez instalado? El procedimiento sería que durante la instalación se generará un nuevo par de claves aleatoriamente para el usuario. La clave privada se utilizaría para firmar el bootloader (como grub). Tras la firma, el usuario debería sacar el certificado de la máquina y solo utilizarlo para firmar sucesivas versiones de grub (dejar el certificado en la máquina permitiría al usuario firmar su propio malware). En el primer reinicio tras la instalación de grub, el sistema nos indicaría que se ha instalado software nuevo. Tras mostrarnos el certificado y con nuestra aprobación, dicho certificado pasaría a ser de confianza para nuestra máquina
- Ha hecho Microsoft esta jugada con el fín de impedir la instalación de Linux? Aunque en la especificación no se hace referencia a linux, revisandola se ve claramente que esta diseñado para que cualquier OS pueda hacer uso de dicho sistema y creo que tenían esto en mente. Las menciones a Win que aparecen por las definiciones de estructuras a utilizar tienen ese nombre al ser heredadas de Authenticode, un sistema de firma de código desarrollado por Microsoft.
- Le interesa a Microsoft bloquear la instalación de linux en ordenadores personales? Definitivamente no. No hace tanto que se ha librado de la supervisión a la que estaba sometida por monopolio. Hacer esta jugada sería pedir a gritos una denuncía y que le obligaran a dar marcha atrás. Linux no ha modificado su cuota de mercado en 10 años, y honestamente, no parece que vaya a pasar repentinamente ahora.
- Y en otro tipo de ordenadores donde Linux si tiene presencia, como servidores? Aquí es que directamente no tiene la posibilidad de hacerlo. Los OEM hacen negocio con linux, muchisimo dinero. Por mucho que Microsoft los presionará para que no permitieran esto, hay muchisimos clientes que si el servidor solo arranca Windows, no lo compranrían y buscarían un servidor con Linux.
- A que viene tanto revuelo? Creo que Matthew Garrett es un tipo bastante razonable y que su objetivo con el post que publico no era tanto anunciar a bombo y platillo que Microsoft iba a impedir la instalación de linux sino que era más bien un aviso a la comunidad diciendo que hay que ponerse las pilas con esto porque dentro de un par de años habrá millones de ordenadores con esta opcion y tenemos que prepararnos para que linux funcione correctamente con el. Normalmente se acusa a Microsoft de lanzar FUDs, esta vez, diría que claramente ha sido victima de uno
Podeis descargar la especificación de UEFI de uefi.org. Son unas 2500 paginas, pero la sección de secure boot es manejable. Si os leeis la especificación es lo más neutro y cuidado que han hecho para securizar el arranque de los sistemas operativos, asegurando al usuario control sobre el almacen de claves, modo setup, autorización de nuevas imagenes...Viendo el documento queda clarísimo que no va a haber ningún problema instalando linux, pero se ve que la gente quiere sangre y polemica
He intentado explicar mi punto de vista sin entrar en excesivos detalles tecnicos. Se que es un tocho de cuidado, pero creo que merece la pena verlo
Usuario desactivado
Quizás el propio autor del post haya contribuido a las especulaciones con títulos como "Los equipos con Windows 8 podrían no ejecutar Linux (en un principio)". A ver si tenemos un poco más de rigor.
Naveto
Vamos a ver, Microsoft quiere hacer algo parecido a lo que tiene Apple, pero desde el punto de vista del software.
Está claro que aplicarán el viejo método del descuento por exclusividad, de tal manera que al fabricante siempre le saldrá más interesante bloquear la UEFI.
De todas maneras lo tenemos fácil, si tienes interés en instalar otro sistema operativo diferente, no compres un ordenador que tenga dicho bloqueo en la UEFI.
keysher
Hombre, las teorías conspiratorias son igualmente válidas, porque puede ser Microsoft la que "sugiera" a los fabricantes que sólo dejen cargar su Sistema Operativo.
No sé hasta qué punto esto será posible, pero viendo el historial de Microsoft a la hora de intentar implantar su SO a todo coste no lo veo tan descablleado.
(No me he puesto a investigar cómo funciona el sistema, ni si cada fabricante puede bloquear los certificados que les venga en gana)
cpcbegin
Cuando salieron los primeros portátiles que no permitían instalar XP con la configuración BIOS de fabrica, si lo permitían porque se podía desactivar el modo nativo del disco duro y cambiarlo por uno compatible.
Hoy en día la mayoría no tienen esta opción y por tanto no dejan instalar dicho sistema tal y como viene.
Por tanto, lo lógico es pensar que esa posibilidad de desactivar este modo de 'arranque seguro' solo estará presente en las primeras placas, las siguientes simplemente no tendrán la posibilidad de desactivarlo.
acerswap
A mi me suena que desde hace decadas existe una opcion en las BIOS tradicionales para bloquear la grabacion en los MBR de los discos. ¿Era necesario todo esto?
jm345
Aquí hay mucho barullo por tan poco. Simplemente lo que va a hacer Windows a partir de la versión 8 es formatear por defecto el disco en tabla de particiones GUID o GPT (como le quieran llamar), y que el sistema arranque por EFI. Para aquellas computadoras que tengan UEFI BIOS. En realidad esta opción ya se presenta desde Windows Vista SP1 en versiones 64 bits, y en Windows 7 (versiones de 64 bits). La diferencia es que para hacer esto, tenias que arrancar con el DVD de instalación, entrar a la consola, y convertir con diskpart el disco de MBR a GPT. Luego arrancas de nuevo el DVD pero desde el BIOS seleccionas arranque desde la EFI que se incluye en el DVD, y ahi instalas Windows. Lo que obtenes es que cuando cargas Windows se carga desde un archivo .efi, que esta alojado en la primera partición del disco (de unos 200 MB mas o menos, en formato FAT32), en vez de que arranque a traves de bootmgr que esta alojado en la partición donde esta instalado Windows. No existe ninguna diferencia en rendimiento ni en nada. Solo aquellas ventajas que conllevan el uso de EFIs (como este es el caso de seguridad), o el uso de GPT (que basicamente permite particiones mayores a 2,2 TB que MBR no permitia, y la posibilidad de crear hasta 128 particiones primarias, mientras que MBR permitia solo 4). Apple usa este sistema desde sus primeras Macs con procesador Intel y Linux lo soporta desde hace muchos años.
53299
Volvemos a lo de siempre ... ¿que necesidad real tiene Microsoft de utilizar secure boot?, sinceramente: ninguna.
Microsoft ofrece esta posiblidad y "aconseja" que venga activada a los fabricantes, ok, todos ganan dinero, y el usuario medio ... cada día más tonto porque traga con todo, por desconocimiento o por miedo.
Triste recurrir a estas artimañas, teniendo un buen producto, que no necesita de estas tretas.
josua92
Haber no me termina esto de quedar claro, según tengo entendido un ordenador busca un soporte desde donde ejecutar algo (el sistema operativo que haya en el soporte), y en el caso de que sea un disco duro busca la ejecución del MBR o sector principal, ¿entonces si yo en ese disco pongo un grub2 que se arranque el con el MBR puedo cambiar de sistema operativo? o es ¿que van a verificar el SO que se ejecuta en el disco?
¿Qué alguien me lo explique mejor? Muchas gracias amigos.
masini2002
Al menos aqui han tenido los cojones suficientes para aclarar el tema del arranque. Conozco otros sitios donde esta aclaración no será mencionada.
yayosry
Entonces que????
se podra usar ubuntu en mi nueva computadora ( que comprare despues )
que nivel de conocimientos se debera tener para hacer eso??????
yayosry
Bueno, despues de que ya se pelearoon todos
digan a los usuarios menos especializados si se podra isntalar linux en las nuevas computadoras
de manera relativamente facil!!!
zalex
En mi caso tengo un equipo de hace un año al que han sacado drivers para W8. Entre las actualizaciones hay una de la Bios y me da un poco de mal rollo instalarla y que luego no pueda arrancar con YUMI (Your Universal Multiboot Installer).
Siendo que se puede desactivar el Secure Boot no tendré problemas?
Desde el soporte de Samsung me dicen que sin problemas pero igual no saben ni lo que es...
xtremox1983
saco la Bios y coloco coreboot y adios problema inutil de windows jamás lo usare
Land-of-Mordor
"...De manera que Microsoft no bloquea otros cargadores de arranque (como mucho lo harían los fabricantes), y por tanto no bloquea otros sistemas operativos..."
Esperemos que al final no acabe siendo como ahora, que técnicamente no se impide la instalación de otros sistemas operativos, pero se ponen todas las trabas posibles anulando la garantía en caso de que lo hayas hecho. Con este nuevo sistema se haría de manera más "técnica" y menos comprensible para las autoridades que velan por la competencia en el caso de que vuelen los maletines a los fabricantes por parte de los chicos de Redmon.
jm345
A mi me parece que Windows 8 va a ser el mejor Windows lanzado hasta el momento en su historia. Ya Windows 7 es excelente. Por lo que he leido son muchisimos los avances de Windows especialmente "los que no se ven" que son los mas importantes, como nuevas tecnologías, aceleración, etc. También lei por ahi que tal vez incluya un nuevo sistema de ficheros para finalmente reemplazar el NTFS que viene desde los tiempos del primer Windows NT, y que no ha recibido actualización desde Windows XP. Ojalá.
genbeto
Claro, igual que en el caso del SO, los fabricantes tienen un contrato con Microsoft en que prácticamente solo pueden pre-instalar Windows.
Artimañas Microsoftvianas
jgalvez0221
microsoft lo unico que hizo fue tirarle a culpa otro, me imagino que le diran a las compañias que lo bloquen para no poder instalar linux.
como hizo que foxconn buggeara el driver ACPI de sus motherboards para linux
carlesrgm
En ningun momento Microsoft ha bloqueado la instalacion de ningun otro sistema operativo (linux) en su equipo ya que la maquina no es suya. Seguramente nunca habran investigado sobre el tema ya que yo y mi compañero de trabajo cuando instalamos Windows 8 teniamos Linux y Windows7 en el arranque y desaparecio Linux, "uOu". Normal, windows se come el grub de ubuntu o cualquier otra version de linux. La solucion? Dificil eh....! o modificas el grub manualmente, o si no tienes nada en el ubuntu instalado lo vuelves a instalar de nuevo en la misma particion. nada de bloqueos, nada de menitras, como os gusta a todos leer y divulgar cosas que ni van ni vienen.
Y al finalizar tienes el arranque de todos tus sistemas operativos.
"Lo que pasa es que os gusta hablar sin investigar, copiar & pegar" Facil.