Ubuntu e Fedora dão um jeito para iniciar com o Secure Boot do UEFI

O Secure Boot do UEFI, que tem a Microsoft por trás da grande jogada comercial, ainda está dando o que falar no mundo Linux. Com este recurso as novas máquinas vendidas com Windows terão dificuldades em iniciar distros Linux (ou outros sistemas) devido uma restrição artificial, já que exigirão um bootloader assinado. A menos que a chave e o mecanismo de proteção sejam quebrados (o que deverá acontecer num momento ou outro, mas pode demorar bastante) quem quiser instalar outros sistemas poderá ter uma boa dor de cabeça extra.

A opção poderá ser desativada no programa de configuração do UEFI (algo similar ao tradicional SETUP) para máquinas comuns com processadores x86, mas nos tablets com Windows RT (ARM) isso deverá ficar mais restrito, provavelmente sendo impossível desativá-la. Ainda assim não é legal para o Linux ter que exigir que o usuário desative a opção no SETUP, sendo um processo a mais para um simples boot de um liveCD (ainda mais considerando que muitos usuários iniciantes no Linux mal sabem configurar o SETUP para dar boot pelo CD/DVD…). A solução encontrada parece ser assinar o bootloader do Linux com uma chave válida pela Microsoft, fornecida mediante um licenciamento – algo parecido com o que a Red Hat fará com o Fedora, adquirindo a chave por meio de um pagamento de $100 à Verisign.

A proposta da Canonical não é apoiar o Secure Boot nem restringir outros sistemas de rodarem nos computadores que vêm com Ubuntu pré-instalado, mas apenas permitir que o Ubuntu possa rodar em PCs “feitos para Windows 8”.

Recentemente comentou-se que a Canonical teria uma chave própria similar ao que a Microsoft fará. Desta forma os usuários teriam a dificuldade contrária, que seria instalar Windows ou outros sistemas nos computadores que vêm de fábrica com Ubuntu. Não parece ser esta a medida adotada.

Há alguns detalhes técnicos no blog da empresa e na lista de discussão ubuntu-devel.

Em máquinas com UEFI e o Secure Boot ativado o Ubuntu não usará o GRUB 2, mas um outro bootloader, que então carregará o kernel (os desenvolvedores pretendem usar o efilinux da Intel com algumas modificações e um menu simplificado). Como apenas o bootloader precisa ser assinado, nada muda no kernel, módulos ou drivers: eles continuarão funcionando da mesma forma.

A polêmica tem dois grandes lados: enquanto permite oferecer maior segurança contra malwares (rootkits, bootkits e afins) que modificam o bootloader do Windows, ela também será um grande ponto para dificultar a instalação de outros sistemas em máquinas que virão com o Windows 8 de fábrica. Inclusive a instalação do Windows 7 (ou versões anteriores do Windows) também será afetada.

É de se esperar que a maioria dos fabricantes realmente inclua uma opção prática para desativar o Secure Boot no menu de opções do UEFI.

Ele deverá vir ativado em máquinas com Windows 8 por uma exigência da Microsoft, caso contrário a máquina não seria certificada para o Windows. Naquelas sem Windows 8 (ou para quem compra placas-mãe e processadores isolados) é bem provável que virá desativado. Ainda teremos que ver na prática, mas tudo indica que a venda casada de PCs com Windows ficará ainda mais forte, especialmente no ramo de notebooks, já que é raro achar modelos atrativos sem Windows na maioria das lojas. Além de ficar restrito a poucas opções de placas de vídeo, o jeito para os fãs de Linux será fugir das máquinas com o logo do Windows. Afinal não é só de Fedora e Ubuntu que se faz o ecossistema de distros…