Secure Boot, Microsofts implementering av UEFI, har varit en orsak till oro för Linuxanvändare sedan den tillkännagavs i januari 2012. Vi har tittat på det några gånger tidigare, men som dammet fortfarande löses har vi bestämt oss för att se om det.

Men innan vi går före oss, låt oss gå tillbaka till början och ta reda på exakt vad Secure Boot är.

Före 2012 startade alla datorer med hjälp av BIOS. Detta var en relik på 80-talet som många tillverkare missade implementerat, vilket ledde till ett kludgey slags system som hölls ihop av den digitala ekvivalenten av gaffaband. Det fungerade, men bara på grund av det hårda arbetet hos utvecklare som kunde ha spenderat sin tid på att komma upp med mycket svalare saker än startgränssnitt om de inte fiddlade runt för att försöka göra de darneda sakerna mer smidigt.

Så när Microsoft började prata med tillverkare om möjligheten att ersätta det gamla systemet var alla ganska nöjda med den förestående nedgången av BIOS.

UEFI är i många avseenden ett överlägset överlägset system. Det ger startprogrammen mer utrymme att arbeta i, och kan bättre stödja modernare hårdvara. Om det hade blivit allt kvar där hade de flesta varit glada.

Det var dock inte. De tinkered. De var tvungna att gå ett steg längre och lade till Secure Boot. Detta är en förlängning till UEFI som begränsar uppstart till bara system som har skrivits kryptografiskt med hjälp av en betrodd nyckel. Och svansen i svansen: Microsoft styr huvudnyckeln. Listig.

Självklart, som vi vet, gör det här lilla tillägget inte helt för Linux att starta på Secure Boot-system, det gör det bara lite knepigt.

Säkerhetsrisk

Naturligtvis skulle det vara lätt att hävda att det bara är ett cyniskt försök från Microsoft att ytterligare strama sin hållning på PC-industrin - och det finns många som håller den visionen.

Det är dock baserat på en äkta säkerhetsrisk som finns i Windows: boot-virus. Det här är en klass av skadlig kod som infekterar Master Boot Record (MBR) som sitter i början av en skiva. När användaren startar upp kör BIOS koden i MBR. Om allt är bra, i ett korrekt körsystem startar detta operativsystemet. Ett boot-sektor-virus kan dock kapa på denna process och köra vissa skadliga åtgärder innan du startar operativsystemet.

Under Secure Boot-systemet startar systemet endast signerad kod, så i princip kommer sådana virus inte att kunna starta. Låter bra, eller hur? Tja, det finns ett par inte obetydliga problem med det.

För det första bygger det på en enda nyckel, och historiskt sett har enstaka nycklar inte kunnat hålla sig hemliga för länge (kom ihåg när PlayStation och Blu-ray-nycklarna var hemliga?). För det andra, och kanske viktigare, var boot-virusen vanliga i dagarna för MS-DOS. Världen har flyttat på en rättvis bit sedan dess och malware skribenter är inget undantag.

Secure Boot är en stor omvälvning för att lösa ett problem som var att dö ut på egen hand. Uppriktigt sagt finns det mycket mer pressande säkerhetsproblem för Windows som är helt opåverkade av det.

Microsoft talar

Att inaktivera UEFI kan vara en besvärlig uppgift, men det är värt att störa med i det långa loppet

Så det är inte troligt att det kommer att påverka världen av skadlig programvara på Windows. Det är inte särskilt effektivt att låsa andra operativsystem ut ur datorer. I riktlinjerna för maskinvaruintyg för Windows 8, Microsoft-status:

"17. Obligatoriskt. I icke-ARM-system måste plattformen implementera möjligheten för en fysiskt närvarande användare att välja mellan två Secure Boot-lägen i firmwareinställningar:" Custom "och" Standard ". Anpassad läge möjliggör större flexibilitet enligt specifikationen i följande: a. Det ska vara möjligt för en fysiskt närvarande användare att använda inställningsalternativet för anpassat läge för att ändra innehållet i Secure Boot-signaturdatabaserna och PK. Detta kan genomföras genom att helt enkelt ge möjlighet att rensa alla Secure Boot databaser (PK, KEK, db, dbx), som sätter systemet i installationsläget.