Advertencia de Secure Boot

Aquellos que tengan memoria afilada recordarán que con el anuncio de Windows 8 hubo una controversia sobre el que no dejaría instalar otros sistemas operativos, debido a que para cumplir con el programa de logo “Diseñado para Windows 8“, el hardware debía tener soporte para la característica Secure Boot de UEFI. Ahora bien, un poco de background: para los que no sepan que es, Secure Boot es una característica que permite que un binario arranque dependiendo de si tiene la firma digital criptográfica correcta; de esta manera, si algún binario no se identifica de manera correcta, no podrá iniciar, con esto previniendo ciertos ataques muy especializados de malware y otros similares.

Para quedar claros: Secure Boot no es algo malo, muy al contrario, es una característica deseable de seguridad, a pesar de que como todas las medidas de seguridad es eso, otro nivel más, y puede ser atacado (ver este artículo); pero a pesar de ser algo bueno a la vez también deja fuera a todo sistema operativo que no tenga una firma criptográfica para identificarse al arrancar; de vuelta con el relajo de Windows 8, en aquel entonces Microsoft puso en marcha un plan de contingencia estableciendo que cada sistema debería tener un “switch” para deshabilitar Secure Boot, así como firmar binarios de terceros (por la módica suma de USD $99), y finalmente el que los usuarios pudieran añadir sus propias firmas y certificados al firmware de modo que sigan aprovechando Secure Boot. Pero hay indicios de que esto cambiará con Windows 10…

En las conferencias WinHEC 2015 se habló sobre los requerimientos de Windows 10, y hubo uno que llamó particularmente la atención: ahora el switch para deshabilitar Secure Boot será opcional, lo que abre la puerta a que los fabricantes de equipos (OEMs) puedan lanzar equipos diseñados para Windows 10 y nada más; aunado a esto, no se mencionó nada sobre la posibilidad de que tales OEMs ofrezcan la oportunidad de agregar certificados propios. El temor es que quizás en computadoras de escritorio no pase gran cosa, pero si en laptops y otros dispositivos con movilidad, donde bloquear el sistema operativo pueda significar menos dolores de cabeza relacionados con costos operativos de llamadas de soporte por otros sistemas no Windows.

Yo en lo personal no creo que esto sea tan catastrófico como muchos lo están haciendo ver. Algunos sabores de Linux como Fedora, OpenSuSE y Ubuntu ya tienen soporte para Secure Boot (Fedora desde hace tiempo, consistente con su naturaleza de estar al día), y hasta donde sé funcionan muy bien. Quizás el problema que aún queda por solucionar es que la autoridad certificadora (o CA, por sus siglas en inglés, Certificate Authority) principal es…adivinaron, Microsoft, y hasta donde sé es la única por ahora. Esto por supuesto representa un conflicto de intereses y dificulta las cosas para muchas distribuciones de Linux que no tienen el respaldo de una empresa. Por supuesto la comunidad intenta cosas y hay formas de bootear otras distribuciones (ver este artículo y este otro de Matthew Garret), que indistintamente de si funcionen o no con la distribución de tu elección, prueba que no hay tal catástrofe.

Pero el problema no está en el software, ni en que Microsoft sea la maldad hecha compañía, sino en la implementación del firmware…y ultimadamente, tiene que ver con la libertad de usar tu equipo (hardware) como mejor te venga en gana: mientras el hardware venga completo con todas las opciones posibles que te permitan hacerle lo que quieras, no veo problema. Sin embargo, el caso contrario significaría una grave ofensa a las libertades que los consumidores deben de tener sobre las cosas que poseen…y por supuesto esto no debe de ser aceptado por los compradores bajo ninguna excusa. Todavía queda un largo camino hasta que se libere Windows 10, así que esperemos una clarificación de Microsoft al respecto de como se manejará todo este asunto de Secure Boot y sistemas no Windows.