Bagaimana Secure Boot Bekerja pada Windows 8 dan 10, dan What It Means for Linux

PC modern dikirimkan dengan fitur yang disebut "Secure Boot" diaktifkan. Ini adalah fitur platform di UEFI, yang menggantikan BIOS PC tradisional. Jika produsen PC ingin memasang stiker logo "Windows 10" atau "Windows 8" ke PC mereka, Microsoft mengharuskan mereka mengaktifkan Boot Aman dan mengikuti beberapa pedoman.

Sayangnya, ini juga menghalangi Anda untuk menginstal beberapa distribusi Linux, yang bisa sangat merepotkan.

Seberapa Aman Boot Mengamankan Proses Boot PC Anda

Secure Boot tidak hanya dirancang untuk membuat Linux menjadi lebih sulit. Ada keuntungan keamanan nyata dengan mengaktifkan Boot Aman, dan bahkan pengguna Linux pun dapat memanfaatkannya.

BIOS tradisional akan mem-boot perangkat lunak apa pun. Saat Anda mem-boot PC Anda, ia memeriksa perangkat keras sesuai dengan urutan boot yang Anda konfigurasikan, dan mencoba untuk mem-boot dari mereka. PC biasa biasanya akan menemukan dan mem-boot boot loader Windows, yang melanjutkan untuk mem-boot sistem operasi Windows penuh. Jika Anda menggunakan Linux, BIOS akan mencari dan mem-boot boot loader GRUB, yang digunakan oleh sebagian besar distribusi Linux.

Namun, ada kemungkinan malware, seperti rootkit, mengganti boot loader Anda. Rootkit dapat memuat sistem operasi normal Anda tanpa indikasi ada yang salah, tetap sama sekali tidak terlihat dan tidak terdeteksi di sistem Anda. BIOS tidak mengetahui perbedaan antara malware dan boot loader tepercaya – BIOS hanya mem-boot apa pun yang ditemukannya.

Boot Aman dirancang untuk menghentikan ini. Windows 8 dan 10 PC dikirimkan dengan sertifikat Microsoft yang disimpan di UEFI. UEFI akan memeriksa boot loader sebelum meluncurkannya dan memastikan itu ditandatangani oleh Microsoft. Jika rootkit atau malware lain memang menggantikan boot loader Anda atau merusaknya, UEFI tidak akan mengizinkannya untuk boot. Ini mencegah malware membajak proses boot Anda dan menyembunyikan dirinya dari sistem operasi Anda.

Bagaimana Microsoft Mengizinkan Distribusi Linux untuk Boot dengan Boot Aman

Secara teori, fitur ini hanya dirancang untuk melindungi dari malware. Jadi Microsoft menawarkan cara untuk membantu distribusi Linux tetap boot. Itulah mengapa beberapa distribusi Linux modern — seperti Ubuntu dan Fedora — akan “berfungsi” pada PC modern, bahkan dengan Boot Aman diaktifkan. Distribusi Linux dapat membayar biaya satu kali sebesar $ 99 untuk mengakses portal Microsoft Sysdev, di mana mereka dapat mengajukan permohonan agar pemuat boot mereka ditandatangani.

Distribusi Linux umumnya memiliki tanda "shim". Shim adalah boot loader kecil yang hanya mem-boot boot loader GRUB distribusi Linux utama. Shim yang ditandatangani Microsoft memeriksa untuk memastikan bahwa ia mem-boot boot loader yang ditandatangani oleh distribusi Linux, dan kemudian distribusi Linux melakukan boot secara normal.

Ubuntu, Fedora, Red Hat Enterprise Linux, dan openSUSE saat ini mendukung Boot Aman, dan akan berfungsi tanpa perubahan apa pun pada perangkat keras modern. Mungkin ada yang lain, tetapi inilah yang kami sadari. Beberapa distribusi Linux secara filosofis menentang penerapan untuk ditandatangani oleh Microsoft.

Bagaimana Anda Dapat Menonaktifkan atau Mengontrol Boot Aman

Jika hanya itu yang dilakukan Boot Aman, Anda tidak akan dapat menjalankan sistem operasi yang tidak disetujui Microsoft di PC Anda. Tetapi Anda mungkin dapat mengontrol Boot Aman dari firmware UEFI PC Anda, yang seperti BIOS di PC lama.

Ada dua cara untuk mengontrol Boot Aman. Metode termudah adalah menuju ke firmware UEFI dan menonaktifkannya sepenuhnya. Firmware UEFI tidak akan memeriksa untuk memastikan Anda menjalankan boot loader yang ditandatangani, dan apa pun akan boot. Anda dapat mem-boot distribusi Linux apa pun atau bahkan menginstal Windows 7, yang tidak mendukung Boot Aman. Windows 8 dan 10 akan berfungsi dengan baik, Anda hanya akan kehilangan keuntungan keamanan karena Secure Boot melindungi proses boot Anda.

Anda juga dapat menyesuaikan Boot Aman lebih lanjut. Anda dapat mengontrol sertifikat penandatanganan mana yang ditawarkan Secure Boot. Anda bebas memasang sertifikat baru dan menghapus sertifikat yang ada. Sebuah organisasi yang menjalankan Linux di PC-nya, misalnya, dapat memilih untuk menghapus sertifikat Microsoft dan menginstal sertifikat organisasi itu sendiri sebagai gantinya. PC tersebut kemudian hanya akan mem-boot loader yang disetujui dan ditandatangani oleh organisasi tertentu itu.

Seseorang dapat melakukan ini juga – Anda dapat menandatangani boot loader Linux Anda sendiri dan memastikan PC Anda hanya dapat mem-boot loader boot yang Anda kompilasi dan tandatangani sendiri. Itulah jenis kontrol dan daya yang ditawarkan Secure Boot.

Apa yang Dibutuhkan Microsoft dari Produsen PC

Microsoft tidak hanya mengharuskan vendor PC mengaktifkan Secure Boot jika mereka menginginkan stiker sertifikasi “Windows 10” atau “Windows 8” yang bagus di PC mereka. Microsoft mengharuskan produsen PC menerapkannya dengan cara tertentu.

Untuk PC Windows 8, produsen harus memberi Anda cara untuk mematikan Boot Aman. Microsoft meminta produsen PC untuk meletakkan tombol pemutus Boot Aman di tangan pengguna.

Untuk PC Windows 10, ini tidak lagi wajib. Produsen PC dapat memilih untuk mengaktifkan Boot Aman dan tidak memberi pengguna cara untuk mematikannya. Namun, kami sebenarnya tidak mengetahui produsen PC yang melakukan ini.

Demikian pula, meskipun produsen PC harus menyertakan kunci utama "Microsoft Windows Production PCA" agar Windows dapat melakukan boot, mereka tidak harus menyertakan kunci "Microsoft Corporation UEFI CA". Kunci kedua ini hanya disarankan. Ini adalah kunci opsional kedua yang digunakan Microsoft untuk menandatangani pemuat boot Linux. Dokumentasi Ubuntu menjelaskan hal ini.

Dengan kata lain, tidak semua PC harus mem-boot distribusi Linux yang ditandatangani dengan Boot Aman dihidupkan. Sekali lagi, dalam praktiknya, kami belum melihat PC yang melakukan ini. Mungkin tidak ada pabrikan PC yang ingin membuat satu-satunya laptop tempat Anda tidak dapat menginstal Linux.

Untuk saat ini, setidaknya, PC Windows arus utama harus memungkinkan Anda untuk menonaktifkan Boot Aman jika Anda mau, dan mereka harus mem-boot distribusi Linux yang telah ditandatangani oleh Microsoft meskipun Anda tidak menonaktifkan Boot Aman.

Boot Aman Tidak Dapat Dinonaktifkan di Windows RT, tetapi Windows RT Mati

TERKAIT: Apa Itu Windows RT, dan Apa Bedanya dari Windows 8?

Semua hal di atas berlaku untuk sistem operasi Windows 8 dan 10 standar pada perangkat keras Intel x86 standar. Ini berbeda untuk ARM.

Di Windows RT — versi Windows 8 untuk perangkat keras ARM, yang disertakan di antara perangkat Microsoft Surface RT dan Surface 2 lainnya — Secure Boot tidak dapat dinonaktifkan. Saat ini, Boot Aman masih tidak dapat dinonaktifkan di perangkat keras Windows 10 Mobile – dengan kata lain, ponsel yang menjalankan Windows 10.

Itu karena Microsoft ingin Anda menganggap sistem Windows RT berbasis ARM sebagai "perangkat", bukan PC. Seperti yang dikatakan Microsoft Mozilla, Windows RT "bukan Windows lagi".

Namun, Windows RT sekarang sudah mati. Tidak ada versi sistem operasi desktop Windows 10 untuk perangkat keras ARM, jadi ini bukan sesuatu yang perlu Anda khawatirkan lagi. Tetapi, jika Microsoft mengembalikan perangkat keras Windows RT 10, Anda kemungkinan tidak akan dapat menonaktifkan Boot Aman di dalamnya.

Kredit Gambar: Ambassador Base, John Bristowe