Windows 8, UEFI, y el derecho al dual boot

Cuando salió a la luz la vista previa de lo que sería Windows 8, al poco tiempo también salieron a la luz comentarios sobre si las PC’s que corrieran Windows 8 no dejarían instalar Linux y otros sistemas operativos. La razón de esto es que Windows 8 requerirá que las PC’s donde se ejecute tengan habilitado el arranque seguro (Secure Boot), una característica de UEFI. Antes que nada, ¿qué es UEFI? seguro alguna vez haz escuchado el término BIOS, en lo que a computadoras se refiere; el BIOS es un firmware, es decir, software que está empotrado en un circuito integrado, y que es el primer “programa” que corre tu computadora cuando arranca; el BIOS se encarga de identificar dispositivos e inicializarlos, así como prover comunicación de bajo nivel con los dispositivos de la PC, y por último es el encargado de encontrar el sistema operativo y cargarlo en la RAM, proceso al que todos llamamos boot o booting. El BIOS es bastante viejo: el término viene desde los días de CP/M, para que te des una idea: para suplantarlo, Intel propuso UEFI (Unified Extensible Firmware Interface, o Interfaz Unificada extensible para el Firmware), que es básicamente una versión más segura del BIOS que conocemos, así como también tiene la característica de que es independiente de arquitecturas, entre muchas otras.

Una de las muchas características nuevas de UEFI es el llamado Secure Boot (arranque seguro), una tecnología que básicamente permite tener una lista de software aprobado (identificado a través de una llave) que puede arrancar o bootear en la computadora, esto con miras a tratar de detener software malicioso que pretenda instalarse entre el firmware y el sistema operativo, como por ejemplo un rootkit. Sin embargo, varias empresas como Canonical (fabricante de Ubuntu) y Red Hat, han expresado su preocupación (incluso publicaron este white paper) de que esto permita que en particular sea considerablemente difícil instalar Linux en máquinas nuevas con Windows 8.

De acuerdo con este artículo, Windows 8 usará el Programa de Certificación de Windows para asegurarse de tres cosas: primero que nada, que las computadoras nuevas tengan habilitado Secure Boot por default; dos, que el firmware no permita el control programático de Secure Boot de modo que el malware no lo pueda deshabilitar; finalmente, en tercer lugar está el que los fabricantes de hardware prevengan intentos no autorizados de actualizar el firmware de modo que se comprometa la integridad del sistema. Esta último podría ser problemático para instalar otros sistemas operativos no registrados en la “lista blanca” de software aprobado, como por ejemplo, Linux.

Por su parte Microsoft ha dicho que no pretende que los OEM’s le quiten la opción a los usuarios de que puedan deshabilitar Secure Boot de modo que puedan (y cito textualmente) “ejecutar sistemas operativos viejos“, dicho sea de paso un pequeño golpecillo que no era necesario. Por su parte, Canonical y Red Hat recomiendan, primero, que los sistemas nuevos tengan Secure Boot desactivado, y que haya una forma fácil de cambiar este valor; segundo, que los fabricantes con ayuda de los vendedores de BIOS habiliten un mecanismo estandarizado que permita configurar llaves de software autorizado en el firmware del sistema; y en tercer lugar, que el sistema salga de la fábrica en modo de configuración, de modo que el sistema operativo (si este se ejecuta primero, instala su llave) o el usuario final tengan la desición de si usarán o no Secure Boot.

En general, el esquema de Secure Boot y software firmado podrían ser un problema para Linux, en particular en lo que se refiere al kernel y a ciertos componentes, pues el proceso de firmarlos digitalmente lo podría hacer impráctico para sus desarrolladores. Esto es en el escenario de que se tomara la ruta de Secure Boot, claro. Este parece que podría ser el camino, pues al parecer la Fundación Linux tiene recomendaciones similares a las de Canonical y Red Hat, todo esto para que se aprovechen las ventajas de usar UEFI, como un arranque más rápido y porqué no, mayor seguridad contra ciertos tipos potencialmente peligrosos de malware, entre otros. Sólo quisiera hacer una pequeña anotación: el que haya una forma de configurar Secure Boot cuando se prenda la computadora limita en cierta manera la experiencia “out of the box” de adquirir una PC, y me parece complicada y más de lo mismo que siempre ha plagado al mundo de las PC’s, que es complejidad, justo cuando no hace falta.

Así que para quedar claros: no debería haber ningún problema para instalar Windows 8 y Linux y cualquier otro sistema operativo; Microsoft no ha pedido a los fabricantes que bloqueen específicamente a otros sistemas operativos; y por último, se espera que los fabricantes de equipos nuevos con Windows NO bloqueen el poder deshabilitar Secure Boot en el firmware de sus PC’s. Ciertamente todo lo que aquí he dicho son declaraciones basadas en un principio de buena voluntad por parte de Microsoft y los fabricantes de computadoras y BIOS, pero desgraciadamente no hay nada oficial, y de aquí hasta que salga Windows 8 (supuestamente a finales del 2012), muchas cosas pueden pasar. Ojalá que todo se mantenga como hasta ahora.