Di che si tratta? Un protocollo di sicurezza che impedisce ad un computer, all’accensione, di avviare un software che non sia certificato… In sostanza rende impossibile avviare un live CD o un sistema operativo che non sia certificato.

I fatti:

  • la certificazione a Windows 8 richiede che il sistema abbia UEFI Secure Booting ABILITATO
  • la certificazione a Windows 8 NON richiede che l’utente abbia la possibilità di disabilitare l’UEFI, e vi sono dei produttori di hardware (computer) che hanno già affermato che questo non sarà possibile
  • la certificazione a Windows 8 NON richiede che il computer venga fornito con altre chiavi se non quelle Microsoft (ovvero, certificati firmati da Microsoft)
  • Un sistema che viene venduto con UEFI abilitato (e non disabilitabile) e contiene solo chiavi Microsoft avvierà sempre e solo sistemi operativi Microsoft

Avete presente quel bollino che trovate sui vostri computer con il logo di Windows?

Sul mio portatile ne ho uno con il simbolo di Windows e la scritta “Windows 7″.

I produttori di computer, per ottenere la certificazione di Microsoft DEVONO sottostare al programma di certificazione di Microsoft, chi ottiene il Logo di certificazione ottiene incentivi da Microsoft.

Ogni produttore può decidere, in autonomia, se sottostare al programma di certificazione ma, siccome Windows è in posizione dominante (90% del mercato circa) ottenere la certificazione è fondamentale per non perdere competitività con gli altri produttori. È facile prevedere che tutti i produttori venderanno PC con UEFI Secure Booting attivo, come richiesto per la certificazione Microsoft.

In genere questa certificazione si applica ai PC OEM, ovvero quelli con Windows preinstallato, la quasi-totalità dei computer acquistati dai comuni mortali :)

Fonte: Mathew Garret (aka mjg59) e nello specifico questo e questo post sul suo blog; mjg59 è uno sviluppatore Red Hat molto attivo nella community Linux; ultima fonte è Microsoft stessa.

Interrompo il lungo silenzio per riassumere quanto dice mjg59 nei suoi due articoli linkati qui sopra: in italiano, sia per dar eco alla notizia che NON DEVE passare inosservata sia per permettere anche ai non anglofoni di venirne informati.

È presto per andare nel panico ma è il caso di iniziare a preoccuparsi.

Vi state chiedendo, più nello specifico, cosa questo comporta?

Comincio subito spiegando un po’ meglio a cosa serve e come funziona questo UEFI Secure Booting, senza andare troppo nel tecnico:

Spiegazione semi-tecnica

Sostanzialmente il vostro computer, quando si avvia, dopo le inizializzazioni (tipicamente gestite dal BIOS) manda in esecuzione sul processore (CPU) del vostro computer il boot loader del vostro sistema operativo.

Il boot loader può essere, in realtà, qualunque software in grado di gestire l’avvio del vostro PC: windows ha il suo bootloader, Linux ne ha diversi (grub, lilo, …), se avviate da LiveCD/DVD o chiavetta USB state eseguendo altri programmi che “sanno” come avviare il vostro computer, d’ora in avanti chiamerò “software di avvio” il generico programma che si occupa di far avviare il vostro computer.

In realtà l’UEFI Secure Booting parla di Firmware, il che significa, più in generale, qualunque software, compresi software interni ai dispositivi fisici nel vostro computer (schede video, schede di rete, ….) vedremo più sotto che questo comporta problemi anche per chi non è interessato a sistemi operativi NON-Windows.

Richiedere che il software di avvio sia certificato significa FIRMARE digitalmente il software e controllare che la firma sia valida prima di eseguirlo.

Tipicamente questo avviene generando delle chiavi, una pubblica ed una privata: la chiave privata è segreta e viene usata per firmare il software di avvio prima di venderlo / distribuirlo; la chiave pubblica viene invece installata nei computer ed è in grado di determinare se la firma è valida (perché firmata con la corrispettiva chiave privata) o, in caso negativo, negare l’avvio.

Perché questo è un problema?

Per l’UEFI Secure Booting non esistono Certification Authorities, il che significa che ogni produttore di hardware potrà scegliere (oltre alle chiavi microsoft) di includere le chiavi che più ritiene opportune.

Microsoft è in una posizione avvantaggiata perché può richiedere che su tutti i computer vi siano le proprie chiavi, nessun altro è nella stessa posizione per farlo, ne Red Hat, ne Canonical (Ubuntu) ne AMD, nVidia, Intel.

Sono i produttori dei computer (Dell, Asus, Acer, ….) a decidere quali chiavi pubbliche installare sui computer prima di venderli, e sono sempre loro a decidere se dare la possibilità a chi li compra di disabilitare l’UEFI Secure Booting (tipicamente tramite BIOS). Come già detto, però, nessun produttore sceglierà di rinunciare alla certificazione Microsoft perché verrebbe messo in una posizione di svantaggio rispetto agli altri.

È importante comprendere che questo interessa anche i dispositivi installati sul vostro computer: se voleste cambiare la scheda video o la scheda di rete il computer potrebbe non avviarsi più: dipende dalle chiavi installate, se la scheda di rete che avete comprato non è riconosciuta come certificata dal vostro PC questo potrebbe rifiutare di avviarsi.

A mio personale parere questo non avverrà perché i produttori sigleranno accordi appositamente per evitare che succeda, pagando Microsoft o i singoli fornitori per assicurarsi che le proprie chiavi siano inserite in tutti i computer… significa però aumento dei costi per l’utente finale, su qualcuno quelle spese devono ricadere.

Cosa può fare chi comprerà un computer con Windows 8?

Occorrerà prestare attenzione durante l’acquisto ecco quindi un piccolo sommario delle casistiche possibili.

Per il momento non esiste alcun modo di conoscere queste informazioni a priori se non cercando su Internet prima di recarsi a comprare.

Non esiste infatti, per ora, alcun obbligo per i produttori di comunicare al cliente finale questo tipo di informazioni.

Se sul vostro computer è IMPOSSIBILE disabilitare UEFI Secure Booting + solo chiavi Microsoft

Questo è il caso peggiore.

In questo caso NULLA se non prodotti Microsoft certificati potranno essere avviati sul computer.

Nessun hardware potrà essere cambiato se il nuovo hardware non è certificato da Microsoft (quali saranno le richieste di microsoft perché l’hardware sia certificato?)

Niente Linux, niente Live CD/DVD, niente boot da chiavetta, nulla che Microsoft non abbia certificato.

Per quel che ne so potrebbe essere impossibile avviare una versione precedente di Windows (come Windows Vista o Windows 7) a meno che Microsoft le fornisca firmate (non sono informato in merito e non so se le precedenti versioni sono state distribuite certificandole).

Se sul vostro computer è IMPOSSIBILE disabilitare UEFI Secure Booting + chiavi di diversi fornitori

La situazione è identica al caso precedente con la differenza che potrete avere software di avvio e dispositivi hardware firmati da Microsoft oppure da uno degli altri fornitori per cui è stata installata una chiave.

Per capire cosa questo significa vi descriverò una situazione molto improbabile, ma plausibile: immaginate che Dell stringa un accordo con Canonical (Ubuntu), e che quindi Dell installi nei propri computer le chiavi Microsoft (necessarie alla certificazione) e le chiavi Ubuntu. (NOTA: ho preso Dell e Ubuntu in modo totalmente casuale, l’esempio è valido con qualunque altra accoppiata).

Supponendo quindi che questo sia il PC in vostro possesso potrete installare Ubuntu ma nessun altra distribuzione Linux. Non potreste comunque installare versioni non certificate da Canonical del kernel e/o del boot loader. La vostra libertà sarebbe quindi, comunque, limitata.

Quindi in sostanza, ciò che potete fare, dipenderebbe dalle chiavi installate e da ciò che i proprietari delle chiavi hanno previsto; se non è stato previsto per voi dai produttori, non lo potete fare.

A prescindere dalle chiavi installate avrete sempre delle limitazioni, specialmente se siete un po’ tecnici e volete poter utilizzare il PC che avete comprato come più vi aggrada.

Ad esempio non sarà possibile utilizzare Grub2, l’attuale boot loader predefinito di Ubuntu e molte altre distribuzioni, per problemi di incompatibilità della licenza (GPLv3) [vedi sotto].

Non potrete mai compilare una versione personalizzata del kernel (Linux/FreeBSD) o del boot loader, non verrebbe riconosciuto come certificato.

Se sul vostro computer è POSSIBILE disabilitare UEFI Secure Booting

A patto che UEFI Secure Booting venga disabilitato qualunque software (compreso Linux) e dispositivo può essere installato.

In futuro, quando acquisterete un computer ASSICURATEVI di cosa state comprando e informatevi bene che l’UEFI si possa disabilitare prima di pagare!

Mi resta un dubbio, ma è solo un dubbio, Windows 8 si rifiuterà di avviarsi senza l’UEFI Secure Booting abilitato?

Se così fosse il Dual Booting Windows 8 / Linux non sarebbe possibile.

Questo però, ripeto, è solo un mio dubbio, non esiste al momento alcuna indicazione in merito.

Se sul vostro computer è POSSIBILE UEFI Secure Booting + possibile installare proprie chiavi

Questo è il caso più “roseo”.

Avete la possibilità di disabilitare l’UEFI Secure Booting, installando quindi quel che volete ma, gli utenti più tecnici, avrebbero anche la possibilità di aggiungere le proprie chiavi e firmare i propri software e/o hardware perché funzionino (_solo_ sul proprio computer) anche con UEFI Secure Booting attivo.

L’ironia è che comunque, anche volendolo, non potrete impedire a Windows 8 di avviarsi a meno che non vi sia fornita anche la possibilità di rimuovere le chiavi.

I software GPLv3 sono tagliati fuori dall’UEFI Secure Booting

Se prendiamo in esame la GPLv3 notiamo che questa obbligherebbe, firmando il software di avvio, a rilasciare anche la chiave privata: il che renderebbe inutile l’UEFI Secure Booting in quanto chiunque potrebbe firmare il proprio software e l’UEFI lo accetterebbe come valido, questo è sufficiente a farci capire che mai nessun produttore hardware includerebbe una simile chiave nel sistema.

Grub2, il recente boot loader Linux utilizzato da quasi tutte le moderne distribuzioni, utilizza la licenza GPLv3: non potrà mai essere firmato e quindi non funzionerà mai con UEFI Secure Booting attivo.

La natura di Linux

Il suo predecessore Grub (versione 1) è sotto a GPLv2, ma questo non risolverebbe il problema.

Prima di tutto perché Linux si sta evolvendo in modo da includere il boot loader stesso che quindi non sarà più un software separato (ecco perché parlavo di impossibilità di ricompilare il kernel), in secondo luogo perché gli utenti Linux e gli sviluppatori Linux sono abituati e hanno bisogno di compilare il kernel e il boot loader in proprio e non è pertanto sufficiente limitarsi ad utilizzare versioni compilate e firmate da fornitori certificati.

Concludendo

Microsoft afferma di non voler togliere agli utenti finali il controllo del proprio computer, ma i fatti dicono il contrario.

Al momento della scrittura di questo post NON esistono hardware in commercio che supportino il protocollo UEFI Secure Booting e l’unico produttore che ha un’implementazione è Intel.

Potrebbe risolversi tutto in fumo nei prossimi mesi, ma è importante restare sul chi vive e seguire attentamente la faccenda, seguite le fonti che vi ho indicato ad inizio articolo, io tenterò di mantenere questo post aggiornato ma non posso garantirlo. Aggiornamenti e altre segnalazioni correlate sono benvenute nei commenti.

Leggete i commenti per link di aggiornamento.

About these ads