У сучасних комп’ютерах замість старого BIOS часто встановлена UEFI. У багатьох UEFI за замовчуванням активована функція безпечного завантаження (Secure Boot). Вона запобігає запуску неавторизованого програмного забезпечення, включаючи драйвери та операційні системи. Якщо виробник комп’ютера (ноутбука) хоче отримати сертифікацію Microsoft і право наклеїти відповідний логотип Windows 10 або 8, функція Secure Boot має бути увімкнена. На жаль, це може ускладнити або навіть зробити неможливим встановлення Linux на такий комп’ютер. Розберімося, як працює Secure Boot і як він впливає на можливість встановлення операційних систем, відмінних від Windows.

Як Secure Boot захищає процес завантаження

Звичайний BIOS може завантажити будь-яке програмне забезпечення. Коли комп’ютер вмикається, він проводить перевірку всього обладнання, у разі несправностей виводить відповідне повідомлення, а якщо все гаразд — шукає завантажувач операційної системи та передає йому керування.

Такий підхід дозволяє запускати шкідливий код ще на етапі завантаження, після чого він може залишатися непомітним у працюючій ОС. BIOS не відрізняє вірус від завантажувача — він просто запускає те, що знайде. Функція безпечного завантаження створена, щоб цього уникнути.

Комп’ютери з попередньо встановленою Windows 8 або 10 містять спеціальний вшитий у UEFI сертифікат Microsoft. Коли UEFI знаходить завантажувач ОС, він перевіряє його цифровий підпис. Якщо він підтверджений Microsoft, завантаження триває. Якщо ж завантажувач підмінений вірусом або іншим непідписаним кодом, UEFI не дозволить йому запуститися.

Як Microsoft дозволяє завантажувати Linux із Secure Boot

Функція безпечного завантаження була розроблена для запобігання запуску шкідливого коду. Та на практиці спочатку це означало, що на комп’ютер із увімкненим Secure Boot не можна було встановити нічого, крім Windows. Користувачі альтернативних ОС опинилися в складному становищі.

Щоб вирішити цю проблему, Microsoft запропонувала можливість підписувати завантажувачі Linux. За одноразову плату в 99 доларів можна отримати доступ до порталу Microsoft Sysdev і підписати свої завантажувачі їхнім ключем.

Крім того, для дистрибутивів Linux вже є кілька готових підписаних завантажувачів. Наприклад, Shim — це невеликий завантажувач, завдання якого передати керування основному завантажувачу, наприклад GRUB. Оскільки Shim підписаний ключем Microsoft, він без проблем проходить перевірку UEFI та запускає підписаний завантажувач Linux-дистрибутива. Після цього Linux завантажується у звичайному режимі.

Такі дистрибутиви, як Ubuntu, Fedora, RHEL і openSUSE, без проблем працюють у режимі безпечного завантаження, тому можуть запускатися на будь-якому сучасному обладнанні. Однак деякі дистрибутиви, дотримуючись своєї філософії, не підписують ПЗ ключами Microsoft. Тому при виборі комп’ютера або дистрибутива варто враховувати цей нюанс.

Керування режимом Secure Boot

Якщо через режим безпечного завантаження ви не можете використовувати свій улюблений дистрибутив, є кілька способів вирішити цю проблему.

1. Найпростіший спосіб — відключити Secure Boot у налаштуваннях UEFI. Після цього UEFI перестане перевіряти підпис запущеного ПЗ, і ви зможете, як у старому BIOS, завантажувати будь-який дистрибутив.
2. Можна змінити параметри безпечного завантаження та керувати тим, що саме воно перевіряє. Користувач може самостійно додавати нові сертифікати та видаляти вже вшиті. Наприклад, можна видалити всі сертифікати Microsoft і встановити власні.