O Secure Boot é um recurso do UEFI (Unified Extensible Firmware Interface), após a Intel
passar o EFI para o Unified EFI Forum , composto por AMD, Microsoft e Apple.
Sua função é garantir que apenas software assinado digitalmente, e “confiável”, seja carregado na inicialização do sistema, protegendo contra malware e ataques que tentam modificar o processo de inicialização, garantindo que apenas software confiável seja executado.
Como funciona
O Secure Boot utiliza bancos de dados de chaves (PK, KEK, db e dbx) para validar a assinatura dos binários UEFI.
Durante a inicialização, o firmware verifica cada componente, como drivers e carregadores de inicialização, comparando suas assinaturas com as chaves armazenadas.
Quando um binário não assinado é detectado, ocorre uma violação de inicialização segura, resultando em mensagens de erro e impedindo o boot do sistema.
Secure boot X sistemas operacionais
O Secure Boot impacta a compatibilidade com diferentes sistemas operacionais, pois exige que todos os carregadores de inicialização e drivers sejam assinados digitalmente.
Apenas sistemas operacionais com suporte oficial ao Secure Boot, como Windows e algumas distribuições Linux (como Ubuntu), podem inicializar sem problemas.
Sistemas não assinados ou não reconhecidos são bloqueados, inpedindo a instalação de sistemas operacionais alternativos ou versões personalizadas.
É possível adicionar chaves ao banco de dados do Secure Boot, mas isso requer conhecimento técnico e pode não ser suportado por todos os fabricantes de hardware.
Muitos sistemas vêm com chaves de assinatura da Microsoft pré-instaladas, e apenas software assinado por ela ou por parceiros autorizados pode ser carregado.
Isso pode dificultar a instalação de distribuições Linux ou outros softwares que não tenham suporte oficial. Para contorná-las, os desenvolvedores criaram o shim.
Shim
O Shim é um bootloader crucial para “rodar” o Secure Boot no Linux, permitindo que os usuários mantenham controle sobre o que é executado durante a inicialização, mitigando as restrições impostas pelas chaves padrão da Microsoft.
Foi desenvolvido por um grupo de desenvolvedores de diversas distribuições Linux, para facilitar a implementação do Secure Boot em sistemas UEFI.
Após ser iniciado, verifica a assinatura do próximo bootloader (geralmente GRUB2) e só permite a inicialização se a assinatura for válida.
Ele é essencial para garantir que distribuições Linux possam ser executadas em ambientes com Secure Boot ativado, sem comprometer a segurança.
Permite que os usuários instalem chaves próprias e assinem seus próprios kernels - ou de terceiros, como Xanmod, Liquorix ou Linux Libre, mantendo assim a segurança do processo de inicialização.
Com o Shim, os projetos de código aberto podem aproveitar as vantagens do Secure Boot, evitando dependências de software proprietário.
Não desative o UEFI
Desativá-lo expõe o sistema a sérios riscos de segurança, pois impedie a execução de software não assinado ou malicioso durante a inicialização.
Ao desativá-lo, o computador fica vulnerável a malware, como rootkits e bootkits, que podem ser carregados antes do sistema operacional, comprometendo a sua integridade, permitindo que invasores instalem carregadores não autorizados, aumentando o risco de ataques cibernéticos.
Fontes: links no texto.