Secure Boot je bezpečnostní funkce, která je součástí moderních UEFI (Unified Extensible Firmware Interface) systémů. Jejím cílem je zajistit, aby se při spuštění počítače (bootování) načítal pouze důvěryhodný a podepsaný software. To znamená, že se zabrání spuštění škodlivého kódu nebo neautorizovaných operačních systémů při startu zařízení.
Secure Boot ověřuje kryptografické podpisy všech komponent, které se načítají – od firmwaru, přes bootloader, až po samotný operační systém.
Jak Secure Boot funguje?
Při zapnutém Secure Boot proces funguje následovně:
UEFI firmware kontroluje, zda je bootloader podepsán platným digitálním podpisem od důvěryhodné autority.
Pokud podpis sedí, proces pokračuje a načte se operační systém.
Pokud se zjistí, že software není podepsán, nebo má neplatný podpis, proces bootování je zastaven – čímž se zamezí spuštění neověřeného kódu.
Tím se efektivně blokují rootkity a jiné škodlivé nástroje, které by se mohly snažit spustit ještě před načtením operačního systému.
Význam Secure Boot v praxi
Secure Boot je klíčovou ochranou proti tzv. bootkitům a low-level malwaru, který se snaží spustit co nejdříve po zapnutí zařízení – dříve, než má operační systém šanci začít se bránit. Pomáhá také při zajištění integrity systému, zejména u zařízení, kde je důležitá důvěryhodnost – například u firemních notebooků, serverů nebo zařízení s citlivými daty.
Je rovněž jedním z požadavků Microsoftu pro certifikaci Windows (např. Windows 11 vyžaduje aktivovaný Secure Boot a TPM).
Problémy a kontroverze
Secure Boot ale není bez kontroverzí. Kritici tvrdí, že tím může být omezena svoboda uživatelů, zejména těch, kteří chtějí na svých počítačích provozovat alternativní operační systémy (např. Linux). Pokud výrobce počítače neumožní Secure Boot vypnout, může to bránit instalaci jiného systému, než který má podepsaný klíč.
Naštěstí většina výrobců umožňuje tuto funkci v BIOS/UEFI deaktivovat, nebo přidat vlastní klíče.
Praktické tipy
Firemní prostředí: Aktivujte Secure Boot na všech firemních zařízeních jako součást bezpečnostní politiky.
Domácí uživatelé: Pokud neinstalujete alternativní OS, doporučuje se nechat Secure Boot aktivní – chrání vás před neviditelným malwarem.
Linux: Moderní distribuce (např. Ubuntu, Fedora) jsou kompatibilní se Secure Boot a obsahují podepsané bootloadery.
Závěr
Secure Boot je důležitým prvkem moderní kybernetické ochrany, který pomáhá zabránit spuštění škodlivého softwaru hned při startu systému. I když může být v určitých případech nepraktický (např. při instalaci Linuxu), jeho přínosy z hlediska bezpečnosti výrazně převažují. Správně nastavený Secure Boot je jedním z pilířů obrany proti sofistikovaným útokům na nejnižší úrovni systému.
