O Secure Boot foi criado para aumentar a segurança do seu computador, mas acabou gerando efeitos colaterais, especialmente para quem tenta usar Linux em máquinas que vieram com Windows. Será que isso foi apenas um acidente… ou algo proposital?
Hoje nós vamos entender como essa tecnologia funciona, quais distros Linux lidam melhor com ela, e o que realmente acontece quando você desativa o Secure Boot no seu computador.
A introdução da polêmica
Será que essa foi mesmo a maior vigarice da Microsoft com o Linux na última década?
Quando a Microsoft lançou o Windows 8 lá em 2012, junto com aquele design cheio de quadrados coloridos e animações, ela também trouxe uma nova camada de segurança chamada Secure Boot. A promessa era tornar o Windows mais seguro, evitando que malwares conseguissem se infiltrar no sistema antes mesmo dele iniciar.
O problema é que, mais de dez anos depois, o Secure Boot não só foi quebrado várias vezes, como também trouxe uma série de efeitos colaterais, principalmente para quem tenta instalar Linux em computadores novos.
A situação chega ao ponto de algumas distros simplesmente não iniciarem quando o Secure Boot está ativo. E, em certos casos, até o próprio Windows começa a reclamar quando ele está desativado, como acontece em alguns jogos ou no próprio Windows 11, que exige o recurso para funcionar.
Mas afinal: o que é o Secure Boot? Por que ele existe? E será que há algo de proposital por trás de tudo isso?
O que é o Secure Boot e de onde ele veio
Embora o Secure Boot tenha estreado comercialmente com o Windows 8, ele foi criado antes disso, em 2011, pelo UEFI Forum, um consórcio internacional sem fins lucrativos responsável por desenvolver o padrão UEFI (Unified Extensible Firmware Interface), sucessor das antigas BIOS.
O UEFI é o software que roda antes do sistema operacional, aquele menu que você acessa pressionando teclas como Del ou F2. Ele é responsável por iniciar o hardware e preparar o sistema para o boot. É nesse ambiente que o Secure Boot entra em ação.
A nobre ideia por trás do Secure Boot é garantir que o computador só inicialize softwares confiáveis. Ele faz isso impedindo que códigos não assinados ou alterados rodem no processo de boot, ajudando a bloquear um tipo de ameaça chamado bootkit, malware capaz de infectar o sistema antes mesmo do carregamento do kernel.
Em resumo, o Secure Boot é como um porteiro na entrada do seu computador: ele verifica se o seu nome (ou melhor, sua assinatura digital) está na lista. Se estiver, você entra. Se não, a porta continua fechada.
Como o Secure Boot decide quem entra e quem fica de fora
A autenticação do Secure Boot é feita por meio de criptografia assimétrica. O firmware do seu computador (UEFI) possui uma chave pública, e o sistema operacional ou o bootloader tem uma chave privada correspondente. Quando você liga o PC, o UEFI valida essa assinatura e só permite a inicialização se o par de chaves for legítimo.
Essas chaves são armazenadas em bancos de dados dentro do firmware:
- o db contém as chaves permitidas;
- o dbx contém as chaves revogadas (bloqueadas);
- e o KEK (Key Exchange Key) permite atualizar essas listas.
A Microsoft, por ser a principal desenvolvedora de sistemas operacionais de uso comercial em desktops, acabou se tornando a autoridade certificadora predominante nesse processo. Ou seja, a maioria dos computadores vendidos com Windows de fábrica confiarão automaticamente em tudo o que for assinado pela Microsoft.
E aqui começa a raiz do problema.
Cara crachá
Imagine que você comprou um notebook novo, com Windows pré-instalado e Secure Boot ativado. Tudo parece normal, até que você tenta colocar o pendrive com sua distro Linux favorita para dar boot. De repente, o computador simplesmente… recusa inicializar.
Isso acontece porque o bootloader da sua distro não tem uma assinatura reconhecida pelo firmware. O porteiro (Secure Boot) olha o crachá, não reconhece, e fecha a porta.
Mas há nuances. Nem todas as distros estão do lado de fora, algumas têm crachás devidamente autenticados.
9 distros Linux contra o Secure Boot
Para entender melhor como as distribuições Linux lidam com o Secure Boot, nós instalamos e testamos nove distros populares com o recurso ativo: Ubuntu, Zorin OS, Linux Mint, Fedora, Debian, Arch Linux, BigLinux, openSUSE e Pop!_OS.
Os critérios foram simples e diretos, visando simular um usuário comum, sem ajustes manuais, sem tutoriais, sem hacks. Apenas colocar o pendrive, iniciar e instalar.
O resultado é revelador: apenas três distros funcionaram plenamente — Ubuntu, Zorin OS e Linux Mint, todas baseadas na mesma raiz: Ubuntu LTS com SHIM assinado pela Microsoft.
O papel do SHIM (e da Microsoft)
O que essas distros têm em comum é o uso de um componente chamado SHIM. Ele é um pequeno bootloader assinado pela Microsoft que serve como intermediário entre o firmware e o verdadeiro carregador do sistema (como o GRUB).
Quando o computador liga, o UEFI valida o SHIM (que possui assinatura reconhecida), e ele, por sua vez, valida o restante do processo usando chaves próprias da distro.
Esse SHIM foi criado por desenvolvedores de Linux e posteriormente submetido à Microsoft, que cobra uma taxa única de 99 dólares para o processo de certificação e assinatura. Uma vez assinado, qualquer distro que use o mesmo SHIM pode herdar essa compatibilidade, como acontece com Ubuntu, Mint e Zorin OS. O Debian, embora não tenha uma entidade como a Canonical por trás, também adquiriu uma assinatura reconhecida.
Mas, você deve ter percebido que a tabela tem alguns asteriscos.No caso do Linux Mint, ele funciona com Secure Boot ativo, inclusive com telas auxiliares para te ajudar a configurar as coisas, só tenha certeza de instalar o driver da NVIDIA pelo gestor de drivers depois. Não foi preciso nenhuma configuração complexa para deixar o sistema funcionando perfeitamente.
No caso do Fedora e do Debian, os sistemas têm suporte oficial para o Secure Boot, com AMD e Intel não existem problemas, porém, com NVIDIA sim. No caso do Fedora, seguindo a documentação oficial da distro, foi possível fazer o ajuste necessário para o sistema operar com o Secure Boot ativo e o Driver da NVIDIA funcionando. Mas isso foge um pouco da premissa do nosso teste de ligar e usar, como um usuário leigo faria. O Debian simplesmente não funcionou com NVIDIA.
Já distros como o Pop!_OS, que usam kernel ou bootloader próprios, perdem essa compatibilidade, mesmo sendo baseadas no Ubuntu.
E se eu quiser rodar Linux sem o Secure Boot?
Nada impede que você desative o recurso. Em desktops é fácil, basta acessar a BIOS/UEFI e mudar a opção para Disabled. Mas em alguns notebooks modernos, especialmente ultrafinos, essa configuração já vem bloqueada pelo fabricante.
Desativar o Secure Boot não é ilegal nem destrói o computador, mas significa perder uma camada de segurança importante. Sem ele, fica mais fácil qualquer código, legítimo ou malicioso, ser carregado no boot. Para a maioria dos usuários domésticos, o risco é baixo; mas em ambientes corporativos, o impacto pode ser grande.
O Secure Boot não é à prova de falhas: pesquisadores já encontraram formas de contorná-lo em vulnerabilidades UEFI, algumas inclusive impossíveis de corrigir. Mas, ainda assim, ele continua sendo uma camada útil de defesa.
Criando suas próprias chaves
Se sua distro não é compatível com o Secure Boot, ainda existe uma saída: assinar suas próprias chaves. O método é chamado de MOK (Machine Owner Key), e permite que o próprio usuário gere certificados e os adicione ao firmware, assumindo o papel da Microsoft.
Funciona, mas exige conhecimento técnico. E cada distribuição lida com o processo de um jeito diferente. Algumas, como o Debian e o Fedora, já oferecem documentação detalhada e até ferramentas gráficas para auxiliar o processo.
Na prática, o MOK é o meio-termo entre liberdade e segurança: você decide o que é confiável, sem depender de uma autoridade central.
E se eu quiser fugir do UEFI?
Outra opção é usar um firmware alternativo como o Coreboot, projeto open source que substitui o UEFI proprietário por uma implementação livre. Ele é usado em vários Chromebooks e nos notebooks da System76, que já vêm com o Linux Pop!_OS pré-instalado.
O Coreboot também possui um recurso de segurança próprio chamado vboot, desenvolvido em parceria com o Google, que faz verificações similares ao Secure Boot, mas com controle total do usuário sobre as chaves.
Ainda é um nicho, nem todas as placas-mãe são compatíveis, mas representa um exemplo real de soberania tecnológica aplicada à segurança.
Então o Secure Boot é uma vigarice da Microsoft?
Depende do ponto de vista.
Do ponto de vista técnico, não. O Secure Boot é uma tecnologia legítima, criada para resolver um problema real, o malware no processo de inicialização, e qualquer sistema pode se beneficiar dela, inclusive distros Linux.
Do ponto de vista prático, há um desequilíbrio estrutural: como a Microsoft é a certificadora dominante, ela define, de fato, quem entra na festa. Isso coloca distribuições menores em desvantagem, especialmente as que não têm recursos para pagar a certificação ou preferem não depender de um serviço dominado pela Microsoft.
Então não é uma “vigarice” planejada, mas sim um efeito colateral do monopólio de mercado. A Microsoft não impediu o Linux de usar o Secure Boot, mas tornou o processo tão burocrático e centralizado que, na prática, muita gente desiste.
Vale a pena deixar o Secure Boot ligado?
Sim, desde que o seu sistema funcione bem com ele. Para a maioria dos usuários, especialmente no Windows, é melhor manter o Secure Boot ativado. Ele não é perfeito, mas reduz o risco de infecções que operam abaixo do nível do sistema operacional.
Se você usa Linux, é bastante válido escolher uma distribuição com suporte nativo ao Secure Boot. Essas distros já trazem tudo pronto para funcionar sem dores de cabeça. Se a sua distro favorita não suporta, desative o recurso com consciência, sabendo que você está abrindo mão de uma camada de segurança.
E, claro, não baixe ISOs de fontes desconhecidas.
Se você está começando no Linux e não quer ter trabalho com o Secure Boot, vale a pena conhecer o Zorin OS!