Sistem UEFI Secure Boot baru di Windows 8 telah menyebabkan lebih dari sekadar kebingungan, terutama di antara boot ganda. Baca terus saat kita menjernihkan kesalahpahaman tentang boot ganda dengan Windows 8 dan Linux.
Sesi Tanya Jawab hari ini diberikan kepada kita atas izin SuperUser—subdivisi dari Stack Exchange, pengelompokan situs web Tanya Jawab berbasis komunitas.
Pertanyaan
Pembaca SuperUser Harsha K penasaran dengan sistem UEFI yang baru. Dia menulis:
Saya telah mendengar banyak tentang bagaimana Microsoft menerapkan UEFI Secure Boot di Windows 8. Rupanya itu mencegah bootloader “tidak sah” berjalan di komputer, untuk mencegah malware. Ada kampanye oleh Free Software Foundation terhadap boot aman, dan banyak orang telah mengatakan secara online bahwa itu adalah “perebutan kekuasaan” oleh Microsoft untuk “menghilangkan sistem operasi gratis”.
Jika saya mendapatkan komputer yang telah menginstal Windows 8 dan Secure Boot, apakah saya masih dapat menginstal Linux (atau OS lain) nanti? Atau apakah komputer dengan Boot Aman hanya berfungsi dengan Windows?
jadi, apa kesepakatannya? Apakah dual booter benar-benar kurang beruntung?
Jawabannya
Kontributor SuperUser Nathan Hinkle menawarkan ikhtisar fantastis tentang apa itu UEFI dan bukan:
Pertama-tama, jawaban sederhana untuk pertanyaan Anda:
- Jika Anda memiliki tablet ARM yang menjalankan Windows RT (seperti Surface RT atau Asus Vivo RT), maka Anda tidak akan dapat menonaktifkan Boot Aman atau menginstal OS lain. Seperti banyak tablet ARM lainnya, perangkat ini hanya akan menjalankan OS yang disertakan.
- Jika Anda memiliki komputer non-ARM yang menjalankan Windows 8 (seperti Surface Pro atau banyak sekali ultrabook, desktop, dan tablet dengan prosesor x86-64), maka Anda dapat menonaktifkan Boot Aman sepenuhnya, atau Anda dapat menginstal kunci Anda sendiri dan tandatangani bootloader Anda sendiri. Either way, Anda dapat menginstal OS pihak ketiga seperti distro Linux atau FreeBSD atau DOS atau apa pun yang Anda suka.
Sekarang, ke detail tentang cara kerja keseluruhan Boot Aman ini: Ada banyak informasi yang salah tentang Boot Aman, terutama dari Free Software Foundation dan grup serupa. Ini membuat sulit untuk menemukan info tentang apa yang sebenarnya dilakukan Boot Aman, jadi saya akan mencoba yang terbaik untuk menjelaskannya. Perhatikan bahwa saya tidak memiliki pengalaman pribadi dengan mengembangkan sistem boot aman atau semacamnya; ini hanya apa yang saya pelajari dari membaca online.
Pertama-tama, Boot Aman bukanlah sesuatu yang dibuat oleh Microsoft. Mereka yang pertama menerapkannya secara luas, tetapi mereka tidak menciptakannya. Ini adalah bagian dari spesifikasi UEFI, yang pada dasarnya merupakan pengganti yang lebih baru untuk BIOS lama yang mungkin biasa Anda gunakan. UEFI pada dasarnya adalah perangkat lunak yang berbicara antara OS dan perangkat keras. Standar UEFI dibuat oleh kelompok yang disebut ” Forum UEFI “, yang terdiri dari perwakilan industri komputasi termasuk Microsoft, Apple, Intel, AMD, dan beberapa produsen komputer.
Poin terpenting kedua, mengaktifkan Boot Aman di komputer tidak berarti bahwa komputer tidak akan pernah bisa mem-boot sistem operasi lain. Faktanya, Persyaratan Sertifikasi Perangkat Keras Windows Microsoft sendiri menyatakan bahwa untuk sistem non-ARM, Anda harus dapat menonaktifkan Boot Aman dan mengubah kunci (untuk mengizinkan OS lain). Lebih lanjut tentang itu nanti.
Apa yang dilakukan Boot Aman?
Pada dasarnya, ini mencegah malware menyerang komputer Anda melalui urutan boot. Malware yang masuk melalui bootloader bisa sangat sulit untuk dideteksi dan dihentikan, karena dapat menyusup ke fungsi tingkat rendah dari sistem operasi, membuatnya tidak terlihat oleh perangkat lunak antivirus. Semua yang benar-benar dilakukan oleh Boot Aman adalah memverifikasi bahwa bootloader berasal dari sumber tepercaya, dan tidak dirusak. Anggap saja seperti tutup pop-up pada botol yang mengatakan “jangan dibuka jika tutupnya muncul atau segelnya telah dirusak”.
Di tingkat perlindungan teratas, Anda memiliki kunci platform (PK). Hanya ada satu PK di sistem apa pun, dan itu dipasang oleh OEM selama pembuatan. Kunci ini digunakan untuk melindungi database KEK. Basis data KEK menyimpan Kunci Pertukaran Kunci, yang digunakan untuk memodifikasi basis data boot aman lainnya. Bisa ada beberapa KEK. Kemudian ada tingkat ketiga: Basis Data Resmi (db) dan Basis Data Terlarang (dbx). Ini berisi informasi tentang Otoritas Sertifikat, kunci kriptografi tambahan, dan gambar perangkat UEFI untuk diizinkan atau diblokir. Agar bootloader diizinkan untuk berjalan, itu harus ditandatangani secara kriptografis dengan kunci yang ada di db, dan tidak ada di dbx.
Gambar dari Membangun Windows 8: Melindungi lingkungan pra-OS dengan UEFI
Bagaimana ini bekerja pada sistem Bersertifikat Windows 8 dunia nyata
OEM menghasilkan PK-nya sendiri, dan Microsoft menyediakan KEK yang diperlukan OEM untuk dimuat sebelumnya ke dalam database KEK. Microsoft kemudian menandatangani Bootloader Windows 8, dan menggunakan KEK mereka untuk memasukkan tanda tangan ini ke dalam Basis Data Resmi. Saat UEFI mem-boot komputer, komputer akan memverifikasi PK, memverifikasi KEK Microsoft, dan kemudian memverifikasi bootloader. Jika semuanya terlihat baik, maka OS bisa boot.
Gambar dari Membangun Windows 8: Melindungi lingkungan pra-OS dengan UEFI
Di mana OS pihak ketiga, seperti Linux, masuk?
Pertama, distro Linux mana pun dapat memilih untuk membuat KEK dan meminta OEM untuk memasukkannya ke dalam basis data KEK secara default. Mereka kemudian akan memiliki kendali atas proses booting seperti halnya Microsoft. Masalah dengan ini, seperti yang dijelaskan oleh Matthew Garrett dari Fedora, adalah bahwa a) akan sulit untuk membuat setiap produsen PC menyertakan kunci Fedora, dan b) tidak adil untuk distro Linux lainnya, karena kunci mereka tidak akan disertakan, karena distro yang lebih kecil tidak memiliki banyak kemitraan OEM.
Apa yang Fedora pilih untuk dilakukan (dan distro lain mengikutinya) adalah menggunakan layanan penandatanganan Microsoft. Skenario ini mengharuskan membayar $99 ke Verisign (Otoritas Sertifikat yang digunakan Microsoft), dan memberi pengembang kemampuan untuk menandatangani bootloader mereka menggunakan KEK Microsoft. Karena KEK Microsoft sudah ada di sebagian besar komputer, ini memungkinkan mereka untuk menandatangani bootloader mereka untuk menggunakan Boot Aman, tanpa memerlukan KEK mereka sendiri. Ini akhirnya menjadi lebih kompatibel dengan lebih banyak komputer, dan biaya keseluruhan lebih murah daripada berurusan dengan pengaturan penandatanganan kunci dan sistem distribusi mereka sendiri. Ada beberapa detail lebih lanjut tentang cara kerjanya (menggunakan GRUB, modul Kernel yang ditandatangani, dan info teknis lainnya) di posting blog yang disebutkan di atas, yang saya sarankan untuk dibaca jika Anda tertarik dengan hal semacam ini.
Misalkan Anda tidak ingin berurusan dengan kerumitan mendaftar untuk sistem Microsoft, atau tidak ingin membayar $99, atau hanya memiliki dendam terhadap perusahaan besar yang dimulai dengan M. Ada opsi lain untuk tetap menggunakan Boot Aman dan menjalankan OS selain Windows. Sertifikasi perangkat keras Microsoft mengharuskan OEM mengizinkan pengguna memasuki sistem mereka ke cara “kustom” UEFI, di mana mereka dapat secara manual memodifikasi database Boot Aman dan PK. Sistem dapat dimasukkan ke UEFI Setup Mode, di mana pengguna bahkan dapat menentukan PK mereka sendiri, dan menandatangani bootloader sendiri.
Selain itu, persyaratan sertifikasi Microsoft sendiri mewajibkan OEM untuk menyertakan metode untuk menonaktifkan Boot Aman pada sistem non-ARM. Anda dapat mematikan Boot Aman! Satu-satunya sistem di mana Anda tidak dapat menonaktifkan Boot Aman adalah sistem ARM yang menjalankan Windows RT, yang berfungsi lebih mirip dengan iPad, di mana Anda tidak dapat memuat OS khusus. Meskipun saya berharap dapat mengubah OS pada perangkat ARM, cukup adil untuk mengatakan bahwa Microsoft mengikuti standar industri terkait tablet di sini.
Jadi boot aman pada dasarnya tidak jahat?
Jadi seperti yang mudah-mudahan bisa Anda lihat, Boot Aman tidak jahat, dan tidak dibatasi hanya untuk digunakan dengan Windows. Alasan FSF dan yang lainnya sangat kesal tentang hal itu adalah karena FSF menambahkan langkah-langkah tambahan untuk menggunakan sistem operasi pihak ketiga. Distro Linux mungkin tidak suka membayar untuk menggunakan kunci Microsoft, tetapi ini adalah cara termudah dan paling hemat biaya untuk membuat Boot Aman berfungsi untuk Linux. Untungnya, mudah untuk mematikan Boot Aman, dan memungkinkan untuk menambahkan kunci yang berbeda, sehingga menghindari kebutuhan untuk berurusan dengan Microsoft.
Mengingat jumlah malware yang semakin canggih, Boot Aman sepertinya ide yang masuk akal. Ini tidak dimaksudkan untuk menjadi plot jahat untuk mengambil alih dunia, dan jauh lebih tidak menakutkan daripada yang Anda percayai oleh beberapa pakar perangkat lunak gratis.
Bacaan tambahan:
- Persyaratan Sertifikasi Perangkat Keras Microsoft
- Membangun Windows 8: Melindungi lingkungan pra-OS dengan UEFI
- Presentasi Microsoft tentang penerapan Boot Aman dan manajemen kunci
- Menerapkan UEFI Secure Boot di Fedora
- Ikhtisar Boot Aman TechNet
- Artikel Wikipedia tentang UEFI
TL; DR: Boot aman mencegah malware menginfeksi sistem Anda pada tingkat yang rendah dan tidak terdeteksi selama boot. Siapa saja dapat membuat kunci yang diperlukan untuk membuatnya berfungsi, tetapi sulit untuk meyakinkan pembuat komputer untuk mendistribusikan kunci Anda kepada semua orang, jadi Anda dapat memilih untuk membayar Verisign untuk menggunakan kunci Microsoft untuk menandatangani bootloader Anda dan membuatnya berfungsi. Anda juga dapat menonaktifkan Boot Aman di komputer non-ARM mana pun.
Pemikiran terakhir, sehubungan dengan kampanye FSF terhadap boot Aman: Beberapa kekhawatiran mereka (yaitu membuat lebih sulit untuk menginstal sistem operasi gratis) valid sampai titik tertentu. Mengatakan bahwa pembatasan akan “mencegah siapa pun mem-boot apa pun selain Windows” terbukti salah, karena alasan yang diilustrasikan di atas. Berkampanye melawan UEFI/Secure Boot sebagai teknologi adalah pandangan yang picik, salah informasi, dan bagaimanapun juga tidak mungkin efektif. Lebih penting untuk memastikan bahwa produsen benar-benar mengikuti persyaratan Microsoft untuk mengizinkan pengguna menonaktifkan Boot Aman atau mengubah kunci jika mereka menginginkannya.
Punya sesuatu untuk ditambahkan ke penjelasan? Suarakan di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi lainnya? Lihat utas diskusi lengkapnya di sini.