Представь, что твой компьютер — это банк.
Когда ты приходишь утром открывать сейф, сначала срабатывает система охраны: проверяет, тот ли ты человек, которому разрешено войти, ещё до того, как ты вообще прикоснёшься к деньгам. Secure Boot делает ровно то же самое, только вместо сейфа у него операционная система, а вместо охранника — криптографические подписи.
Как это устроено
- При включении компьютера управление берёт прошивка UEFI (современный аналог старого BIOS).
- В этой прошивке хранится база доверенных ключей — их туда заложили Microsoft, производитель материнской платы, иногда Linux-дистрибутивы.
- Загрузчик операционной системы (тот самый, который запускает Windows или Linux) обязан предъявить цифровую подпись, сделанную одним из этих ключей.
- Подпись совпала — загрузка продолжается.
Подпись отсутствует или повреждена — загрузка останавливается. Точка.
Никаких «почти», «на всякий случай» или «может быть». Либо подпись валидная, либо компьютер отказывается стартовать.
Зачем это вообще нужно
Потому что самые опасные вредоносы — буткиты и руткиты — живут ниже уровня операционной системы. Они подменяют загрузчик ещё до того, как запустится антивирус, Windows Defender или что угодно ещё. Такой код может перехватывать пароли, шифровать диски, создавать неубиваемые бэкдоры. Secure Boot просто не даёт этому коду выполниться: он даже не доходит до стадии запуска.
Реальный пример: в 2010-х годах были эпидемии буткитов вроде Mebromi или атак через уязвимости в старом BIOS. После повсеместного внедрения Secure Boot такие штуки практически исчезли из дикой природы.
Как обстоят дела с Linux и кастомными сборками
- Windows 10/11 подписана ключом Microsoft — всё работает из коробки.
- Все крупные дистрибутивы (Ubuntu, Fedora, Debian, openSUSE, Arch и т.д.) с 2015–2016 годов тоже подписывают свои загрузчики ключом Microsoft. На 99 % современных ноутбуков и ПК они ставятся без танцев.
- Если ты сам компилируешь ядро или используешь совсем экзотический дистрибутив без подписи — Secure Boot откажет.
Решение два:
а) добавить свой ключ в UEFI (поддерживается почти везде);
б) выключить Secure Boot в настройках (одна галочка в BIOS/UEFI).
Плюсы и минусы без воды
Плюсы:
- Защита от загрузочных вредоносов на уровне железа.
- Работает автоматически, ничего не тормозит.
- Серьёзно усложняет жизнь вымогателям и АРТ-группам.
Минусы:
- Добавляет небольшой порог входа для энтузиастов и разработчиков.
- Теоретически, если ключ Microsoft когда-нибудь скомпрометируют (пока не было ни одного случая), последствия будут глобальными.
- На железе старше ~2012 года его просто нет.
Итог
Secure Boot — это базовая гигиена безопасности современного компьютера.
Для обычного человека его нужно просто оставить включённым и забыть, что он существует.
Для тех, кто собирает ядра ночью и ставит Gentoo ради спорта — это небольшое неудобство, которое решается за 30 секунд.
Отключать Secure Boot имеет смысл только если ты точно понимаешь, что делаешь, и готов взять на себя все риски. Для всех остальных это как ремень безопасности: можно ездить и без него, но лучше не надо.