UEFI Secure Boot e Linux: la strada è ancora in salita?

Le polemiche circa l’implementazione, da parte di Microsoft, della nuova funzionalità Secure Boot in Windows 8 non sono ancora sopite. Tutt’altro. Matthew Garrett, l’ingegnere di Red Hat che per primo ha portato alla luce il problema della “convivenza” tra l’UEFI Secure Boot e Linux, torna sull’argomento e spiega che, nonostante le modifiche apportate da Microsoft ai requisiti per l’ottenimento del “bollino” di compatibilità con Windows 8, permarrebbero alcuni punti oscuri che necessiterebbero di ulteriori riflessioni ed interventi.

Nella nuova versione del documento “Windows Hardware Certification Requirements“, datata dicembre 2011, Microsoft ha puntualizzato che gli utenti debbono essere in grado di disabilitare completamente la funzionalità Secure Boot. Inoltre, il produttore del personal computer è tenuto ad allestire una speciale modalità per il “boot sicuro” che potrà essere “personalizzata” mediante l’aggiunta o la rimozione delle “chiavi” dal firmware del sistema. In altre parole, disattivando la funzionalità “Secure Boot“, l’utente avrà modo d’installare qualunque sistema operativo sprovvisto di una firma digitale. La modalità di boot personalizzata, invece, aprirebbe le porte allo sviluppo di distribuzioni Linux che possano essere avviate in sicurezza utilizzando le nuove specifiche UEFI.

Garrett osserva, tuttavia, che la creazione di una versione di Linux compatibile con il “Secure Boot” sarebbe un’operazione non esente da difficoltà. L’implementazione tecnica, secondo l’ingegnere, sarebbe l’ultima delle problematiche. Molto più complesse sono invece le implicazioni di un’eventuale adesione alle specifiche “Secure Boot“: tutto il codice caricato utilizzando un kernel firmato digitalmente dovrebbe essere, esso stesso, egualmente firmato. Si pensi, ad esempio, a VirtualBox od ai driver NVidia. Garrett prosegue rilevando come i termini della licenza GNU GPLv3 impongano che per ogni codice firmato vengano rese pubbliche le corrispondenti chiavi crittografiche. Dal momento che non esiste alcuna autorità di certificazione incaricata di gestire le chiavi usate nella funzionalità “UEFI Secure Boot“, ogni organizzazione dovrebbe essere un’azienda registrata se desidera ottenere un certificato ed usarlo per firmware i propri software.

“Secure Boot” sarà parte integrante dei nuovi BIOS UEFI e tale meccanismo sarà utilizzato da Windows 8 per prevenire l’avvio di boot loader sprovvisti di firma digitale sulle macchine di più recente concezione. Nonostante Steven Sinofsky, presidente della divisione Windows e Windows Live di Microsoft, abbia più volte voluto gettare acqua sul fuoco spiegando che la società di Redmond non è assolutamente intenzionata a dare vita ad alcun progetto che miri a bloccare i sistemi operativi rivali, la “Free Software Foundation” (FSF), fondazione per lo sviluppo del software libero creata da Richard Stallman nel 1985, ha criticato “Secure Boot” chiedendo ai produttori di personal computer di comportarsi in modo leale evitando di introdurre una caratteristica che possa limitare la libertà di scelta degli utenti.
L’intervento di Garrett ha contribuito a riaprire il dibattito rimarcando i punti critici che tutt’oggi, secondo l’esperto di Red Hat, ancora permangono.

Maggiori informazioni sul BIOS UEFI e su “Secure Boot” sono disponibili in questi nostri articoli.