He leído algunos artículos recientemente sobre la función de arranque seguro de UEFI y cómo Microsoft requerirá que se habilite de forma predeterminada en todos los sistemas x86 con certificación de Windows 8. En teoría, parece una buena idea: el sistema verificará la integridad del cargador de arranque antes de cada arranque. Sin embargo, también proporciona algunas complicaciones.
El problema principal surge cuando alguien quiere ejecutar un sistema operativo que no sea de Microsoft en un hardware x86 certificado por Windows 8. Dado que el hardware tendrá habilitado el arranque seguro, y es probable que solo tenga la clave de Microsoft instalada de manera predeterminada, el usuario tiene que solucionar el problema de varias maneras:
- Desactivar arranque seguro : esta es, por supuesto, la solución menos ideal. Sin embargo, para algunos, puede ser la única opción disponible.
- Instalar un certificado personalizado : una opción para el técnico inclinado, pero no es probable que los usuarios finales normales consideren fácilmente.
- Elija un sistema operativo con un cargador de arranque firmado por Microsoft : este es probablemente el más amigable para el usuario final, aunque puede limitar sus opciones. Fedora ha anunciado que estarán entre estas opciones. Esto no requiere modificaciones en el UEFI o la eliminación de certificados personalizados. Simplemente instale el sistema operativo firmado por Microsoft y listo.
- Obtenga su cargador de arranque firmado por Microsoft : quizás la opción menos preferible, ya que tiene un costo real (tarifa única de $ 99). Sin embargo, es útil si está creando su propia distribución y desea compartirla con amigos.
Sin embargo, esas dos últimas opciones son realmente mi punto de preocupación. Si solo cuesta $ 99, una sola vez, tener el privilegio de que Microsoft firme todos sus cargadores de arranque, ¿es realmente tan grande una barrera para los escritores de malware que se enfrentan a ¿Hacer millones con sus rootkits firmados por Microsoft?
¿Hay algo que me esté perdiendo aquí o este requisito de arranque seguro (y todo lo que se ha creado para admitirlo) puede llevar a una falsa sensación de mejora de la seguridad? ¿Qué tipo de complicaciones podrían surgir si el sistema es abusado de esta manera? ¿Tendremos que actualizar nuestros UEFI cada vez que se publique una nueva CRL?