Rufus diventa compatibile con Secure Boot: svolta nella creazione di supporti USB avviabili

I sistemi basati su BIOS UEFI di default permettono il boot da supporti USB avviabili formattati con il file system FAT32.
Come sappiamo dall’articolo in cui parliamo delle differenze tra FAT32 e gli altri file system come NTFS ed exFAT, FAT32 soffre però di importanti limitazioni. La più importante è senza dubbio quella che non consente di memorizzare file di dimensioni superiori a 4 GB. Com’è noto, invece, le immagini di Windows in formato WIM o ESD contenute nei supporti d’installazione superano tranquillamente i 4 GB e oggi si spingono ben oltre i 5 GB (vedere il contenuto della cartella sources). Per questo motivo FAT32 non è adatto per i supporti avviabili contenenti i file d’installazione di Windows.

UEFI consente di effettuare il boot anche a unità formattate con altri file system a patto però che venga utilizzato un driver adatto e compatibile.

L’ideatore di Rufus, celeberrimo programma gratuito che permette di predisporre supporti di avvio USB contenenti non soltanto Windows ma anche distribuzioni Linux, software per la manutenzione del sistema e così via, ha sviluppato UEFI:NTFS ovvero un bootloader generico che permette l’avvio di unità NTFS ed exFAT utilizzando la modalità UEFI pura.

Rufus permette quindi di creare unità USB avviabili contenenti ad esempio i file d’installazione di Windows (inseriti a partire da un’immagine ISO, eventualmente scaricabile dai server Microsoft senza passaggi aggiuntivi) ma fino alla release 3.16 compresa era necessario disattivare la funzionalità Secure Boot per avviare il contenuto del supporto.
Questo perché i driver di UEFI:NTFS non contenevano una firma digitale approvata da Microsoft.

Con il rilascio di Rufus 3.17 e versioni successive il problema viene definitivamente superato perché come annunciato dall’autore del programma UEFI:NTFS diventa compatibile con Secure Boot grazie all’uso di un driver firmato da Microsoft.
Nell’archivio di Rufus ospitato su GitHub gli interessati possono trovare i file binari (nelle versioni x86_64, x86_32 e ARM64) debitamente firmati.

Lo sviluppatore di Rufus tiene comunque a precisare che “a causa delle restrizioni arbitrarie impostate da Microsoft sui progetti GPLv3 gli unici driver che possono essere utilizzati con UEFI:NTFS in un ambiente Secure Boot sono quelli ntfs-3g con licenza GPLv2. In particolare i driver NTFS ed exFAT di EfiFs che sono derivati da GRUB 2.0 e quindi GPLv3 non possono essere sottoposti a Microsoft per la firma“.

Utilizzando ntfs-3g, comunque, tutti i supporti USB avviabili generati d’ora in avanti con Rufus possono essere utilizzati per il boot del sistema anche sulle macchine ove Secure Boot risulta abilitato. Ricordiamo che a meno dell’utilizzo di workaround comunque funzionanti, l’attivazione del Secure Boot a livello di BIOS UEFI e condicio sine qua non per installare e usare Windows 11.