PENJELASAN SINGKAT SECURE BOOT:
Spesifikasi Unified Extensible Firmware Interface (UEFI) mendefinisikan mekanisme yang disebut “Secure Boot” untuk memastikan integritas firmware dan perangkat lunak yang berjalan di platform tertentu.
Secure Boot membangun hubungan kepercayaan antara UEFI BIOS dan perangkat lunak yang akan dijalankan (seperti bootloader, OS, atau driver dan utilitas UEFI).
Setelah Secure Boot diaktifkan dan dikonfigurasi, hanya perangkat lunak atau firmware yang ditandatangani dengan kunci yang disetujui yang boleh dijalankan.
Sebaliknya, perangkat lunak yang ditandatangani dengan kunci daftar hitam tidak diizinkan untuk dijalankan. Dengan cara ini, sistem dapat melindungi dari serangan jahat, rootkit, dan pembaruan perangkat lunak tidak sah yang dapat terjadi sebelum OS berjalan.
Mekanisme Secure Boot mengandalkan pasangan kunci publik / privat untuk memverifikasi tanda tangan digital dari semua firmware dan perangkat lunak sebelum di eksekusi.
Sebagian besar perangkat keras x86 yang di produksi oleh pabrik pc atau laptop telah di pasang kunci digital/key dari Microsoft untuk bisa menjalankan windows OS dalam mode secure boot.
Ini berarti kita dapat mengandalkan firmware pada sistem ini untuk mempercayai binari yang ditandatangani oleh kunci digital/key Microsoft, dan di komunitas Linux sangat mengandalkan pada asumsi ini agar Secure Boot juga dapat berfungsi di lingkungan sistem operasi linux.
Ini adalah proses yang sama yang digunakan sebagai contoh oleh vendor linux Red Hat dan SUSE.
Dari penjelasan diatas dapat kita simpulkan bahwa secure boot adalah salah satu teknik pengamanan dari sisi hardware untuk meminimalis kerentanan sistem operasi dari tindakan-tindakan baik itu pencurian data maupun kerusakan akibat menggunakan software yang belum terverifikasi melalui kunci digital di UEFI bios.
Windows sebagai produk dari microsoft sudah dipastikan akan bisa berjalan dengan sangat baik di mode secure boot ini dikarenakan hampir semua vendor hardware sudah menanamkan certificate secure boot dari microsoft sebagai certificate Authority (CA) kedalam produk mereka masing-masing, dan teruntuk pengguna linux pastinya akan mengalami kendala jika kita akan menginstall OS linux terutama yang berbasis Linux From scratch (LFS).
Untuk bisa menjalankan sistem operasi linux di mode secure boot hampir tidak ada bedanya dengan tanpa secure boot aktif karena semua distro-distro linux besar seperti Ubuntu, Centos dll sudah memiliki kunci yang valid untuk berkomunikasi dengan UEFI Bios.
Hal yang perlu diperhatikan adalah ketika melakukan partisi dan melakukan instalasi GRUB.
Dalam artikel tutorial ini saya akan mencoba memasang linux Mint 20.1 Ulyssa sebagai OS tamu menggunakan VMware Workstation.
Tentu saja kita perlu memilih template tamu nya sebagai windows karena nanti akan muncul pilihan secure boot di menu Advanced.
PROSEDUR INSTALASI LINUX MINT DI MODE SECURE BOOT
Persiapkan quota hardisk, disini saya buat 30GB untuk media instalasi di hardisk virtual.
Pembuatan USB Flashdisk installer bisa dengan menggunakan software UNetbootin (https://unetbootin.github.io/linux_download.html) dengan perintah:
$ cd /home/aghe/Downloads $ wget --no-check-certificate https://github.com/unetbootin/unetbootin/releases/download/700/unetbootin-linux-700.bin $ chmod +x unetbootin-linux-700.bin $ sudo ./unetbootin-linux-700.bin
Dengan catatan flashdisk saya terdeteksi sebagai /dev/sdb1 dan iso linux dengan nama linuxmint-20.1-cinnamon-64bit.iso.
Booting laptop ke USB device (flashdisk) tunggu beberapa saat sampai masuk ke desktop linux mint live.
Jalankan program gparted untuk mengedit partisi hardisk (pict-1 dan pict-2) kemudian buat table partisi dengan skema GPT.
Klik Icon “Install Linux Mint” untuk memulai instalasi.
Sampai dengan pilihan Multimedia Codecs akan di minta memasukan password secure boot, catat dan simpan password jangan sampai hilang atau lupa.
Untuk partisi hardisk pilih “something else “.
Bila lupa untuk membuat partisi EFI akan muncul peringatan, klik Go Back untuk mengulangi pembuatan partisi hardisk.
Ukuran partisi EFI ukuran 200 – 300 Mb sudah mencukupi bahkan jika kita menginginkan dualboot dengan windows.
Gambar dibawah adalah hasil pembuatan partisi efi 200Mb, dibawah nya partisi swap 4Gb sisanya dipakai semua oleh partisi / (root).
Perhatikan untuk hardisk dengan skema GPT, installer akan otomatis menyisakan free space sebesar 1Mb di awal dan di akhir hardisk.
Pembuatan sistem user yang akan menggunakan linux ini selain user root.
Setelah mengklik Tombol Restart Now, perhatikan proses bootingnya karena kita akan diminta untuk melakukan Enroll Key, masih ingatkan password ketika notifikasi codecs muncul di instalan?
Booting pertama kali kita akan di suguhi dengan tampilan MOK management.Silahkan pilih Enroll MOK.
Selanjutnya kita akan diberikan pilihan view key atau Continue.
Berikut tampilan View key 0 yang berisi key dari pengembang linux mint untuk authorisasi multimedia codecs .
Jika kita memilih continue akan diberikan konfirmasi YES atau NO, tentu saja kita harus memilih YES jika tidak codecs akan tidak bisa berfungsi dengan baik.
Langkah selanjutnya sesuai gambar di bawah adalah yang terpenting, kita harus memverifikasi password secure boot untuk bisa menginstall key.
Langkah terakhir reboot linux.
Sampai di akhir artikel, saat ini kita sudah bisa menggunakan os linux kita di hardware dengan mode secure boot.
Intinya jangan takut ataupun gagap dengan teknologi terbaru karena teknologi akan terus berkembang, ikuti atau anda akan tertinggal.
Jika ada pertanyaan silahkan tambahkan di kolom komentar atau lewat contact form.
Wasalam.