Secure boot: mantendo seu computador mais seguro

O Secure Boot é um recurso do UEFI (Unified Extensible Firmware Interface), após a Intel
passar o EFI para o Unified EFI Forum , composto por AMD, Microsoft e Apple.

Sua função é garantir que apenas software assinado digitalmente, e “confiável”, seja carregado na inicialização do sistema, protegendo contra malware e ataques que tentam modificar o processo de inicialização, garantindo que apenas software confiável seja executado.

Como funciona

O Secure Boot utiliza bancos de dados de chaves (PK, KEK, db e dbx) para validar a assinatura dos binários UEFI.

Durante a inicialização, o firmware verifica cada componente, como drivers e carregadores de inicialização, comparando suas assinaturas com as chaves armazenadas.

Quando um binário não assinado é detectado, ocorre uma violação de inicialização segura, resultando em mensagens de erro e impedindo o boot do sistema.

1000114495
Secure Boot Violation

Secure boot X sistemas operacionais

O Secure Boot impacta a compatibilidade com diferentes sistemas operacionais, pois exige que todos os carregadores de inicialização e drivers sejam assinados digitalmente.

Apenas sistemas operacionais com suporte oficial ao Secure Boot, como Windows e algumas distribuições Linux (como Ubuntu), podem inicializar sem problemas.

Sistemas não assinados ou não reconhecidos são bloqueados, inpedindo a instalação de sistemas operacionais alternativos ou versões personalizadas.

É possível adicionar chaves ao banco de dados do Secure Boot, mas isso requer conhecimento técnico e pode não ser suportado por todos os fabricantes de hardware.

Muitos sistemas vêm com chaves de assinatura da Microsoft pré-instaladas, e apenas software assinado por ela ou por parceiros autorizados pode ser carregado.

Isso pode dificultar a instalação de distribuições Linux ou outros softwares que não tenham suporte oficial. Para contorná-las, os desenvolvedores criaram o shim.

Shim

O Shim é um bootloader crucial para “rodar” o Secure Boot no Linux, permitindo que os usuários mantenham controle sobre o que é executado durante a inicialização, mitigando as restrições impostas pelas chaves padrão da Microsoft.

Foi desenvolvido por um grupo de desenvolvedores de diversas distribuições Linux, para facilitar a implementação do Secure Boot em sistemas UEFI.

Após ser iniciado, verifica a assinatura do próximo bootloader (geralmente GRUB2) e só permite a inicialização se a assinatura for válida.

Ele é essencial para garantir que distribuições Linux possam ser executadas em ambientes com Secure Boot ativado, sem comprometer a segurança.

Permite que os usuários instalem chaves próprias e assinem seus próprios kernels - ou de terceiros, como Xanmod, Liquorix ou Linux Libre, mantendo assim a segurança do processo de inicialização.

Com o Shim, os projetos de código aberto podem aproveitar as vantagens do Secure Boot, evitando dependências de software proprietário.

Não desative o UEFI

Desativá-lo expõe o sistema a sérios riscos de segurança, pois impedie a execução de software não assinado ou malicioso durante a inicialização.

Ao desativá-lo, o computador fica vulnerável a malware, como rootkits e bootkits, que podem ser carregados antes do sistema operacional, comprometendo a sua integridade, permitindo que invasores instalem carregadores não autorizados, aumentando o risco de ataques cibernéticos.

Fontes: links no texto.

4 curtidas

Amado por ninguém e odiado por todos!

Como funciona? Para que serve? Mais ajuda que atrapalha?
Não sabemos!
Gostaríamos de viver sem? Com toda certeza!

5 curtidas

Minha opinião sincera é que nunca estamos seguros nem na nossa própria casa o que dirá um PC ?
Talvez vocês interprete mal o que vou contar agora mas será em poucas palavras.
“Imagine um submarino militar de alta tecnologia que foi desenvolvido para ser um fantasma no oceano, indetectável e de repente acontece o inesperado, “blecaute total” como que esse submarino irá pedir ajuda a superfície sem nem mesmo o radar ou sonar pode detectá-lo ?”

Agora vocês podem vê que hoje temos o “Secure Boot” em PCs modernos prometendo mais segurança contra ataques cibernéticos, pergunta, estamos seguros ?
Vocês viram a polêmica do “Recall” do windows 11 que parou no gabinete do “Pentágono” e que a microsoft teve que se explicar de forma convincente para não sofrer processos.
Outra coisa, as fabricantes de placa-mãe que adicionam o secure boot em seus equipamentos sempre acham que naquele equipamento só terá o windows e o windows vai se aproveitar dessa função que para falar a verdade o secure boot é na verdade o “travamento” para impedir que outro sistema que não seja da microsoft de ser instalado.

1 curtida

Bem, a segurança existe em vários níveis. Para evitar o carregamento de sistemas “não autorizados”, usa-se o secure boot.

Pessoalmente eu só vejo vantagem de usar o secure boot caso o computador seja de uma organização que implemente sua própria chave e revogue as demais, inclusive a da Microsoft. Isso impede que pessoas iniciem outros sistemas operacionais naquele computador com o objetivo de roubar os dados.

Também só faz sentido usar o secure boot caso ele adicione senha à BIOS, senão qualquer um pode simplesmente carregar qualquer sistema.

A proteção padrão (secure boot ativo e sem senha na BIOS) é funciona contra vírus arcaicos de inicialização do sistema. Porém é muito efetivo em evitar a instalação de sistemas operacionais que não estejam dispostos a pagar para a a assinatura de seu bootloader por um certificador global.

5 curtidas

Nesse caso para ter dual boot é preciso desativar o secure boot ?

Isso me faz lembrar do anti-cheat de alguns jogos específicos da steam para banii usuários de trapacear tanto que o alvo disso se voltou contra o linux, é mais ou menos parecido.

Agora eu pergunto, com o secure boot ativado eu posso escolher qual dos sistema operacional instalar somente nessa máquina, tipo nesse pc somente o linux vai usufrui do secure boot ? Ou não tem nada haver ?

1 curtida

O objetivo de manter seguro é apenas quando você (ou sua organização) cria chaves específicas para o boot. É possível sim ter dual boot desde que se assine o bootloader de ambos os sistemas. Não sei se é possível adicionar assinatura ao bootloader do Windows, ou se o Windows vai aceitar uma assinatura que não seja a dele. O contexto é com sistemas rodando o grub ou com boot direto no kernel.

Se for para manter a assinatura da Microsoft, não faz sentido pois qualquer pendrive de inicialização do Windows vai poder ser inicializado.

Ao ativar o secure boot, somente serão iniciados os sistemas que tenham o seu bootloader assinado por alguma das chaves cadastradas na firmware. Do contrário o sistema não será inicializado. Não seria nem um pouco prático ficar ativando/desativando o secure boot durante a troca de sistema, sem falar que ao se usar o sistema sem secure boot, o computador está sujeito à inicialização de qualquer sistema (inclusive de um hacker que entrou no quarto de hotel enquanto vc estava tomando café da manhã, e trocou o bootloader padrão por um com backdoor e monitorar o seu uso, inclusive a senha de descriptografia do seu disco)

1 curtida