Ma cos’è Secure Boot, a cosa serve e le cose stanno veramente così?
Iniziamo col dire che Secure Boot è una caratteristica di UEFI (Unified Extensible Firmware Interface; si pronuncia uify), successore del tradizionale BIOS ossia di quell’insieme di routine (contenute in una memoria non volatile presente sulla scheda madre) che forniscono funzionalità di base per l’avvio del computer.
Fino “all’altro ieri”, i computer utilizzavano l’arcaica accoppiata BIOS+MBR per avviare il sistema.
Basti ricordare che BIOS e MBR rappresentavano fino a poco tempo fa gli unici strumenti per “sovrintenere” la procedura di avvio (bootstrap).
Mentre il BIOS fornisce una serie di routine per l’accesso all’hardware del computer, alle periferiche integrate nella scheda madre da parte di sistema operativo e programmi, MBR (Master Boot Record) contiene le informazioni sulla struttura del disco e delle partizioni in esso presenti.
Il MBR è la prima area del disco cui viene fatto accesso all’avvio del sistema.
il MBR è nato all’inizio degli anni ’80, quella che nel campo informatico è praticamente preistoria. Nonostante la sua longevità, MBR porta con sé alcune limitazioni e qualche svantaggio. Innanzi tutto, un disco basato su MBR non può ospitare più di quattro partizioni primarie. Per creare un numero superiore di partizioni, si può impostare la quarta come partizione estesa quindi inserire al suo interno più sottopartizioni logiche. Ogni partizione, inoltre, non può superare la dimensione massima di 2 Terabyte.
Il settore contenente il MBR è l’unica locazione di memoria ove vengono conservate tutte le informazioni sulla struttura del disco fisso: se il suo contenuto dovesse danneggiarsi, risulterebbe impossibile avviare i sistemi operativi installati.GPT è parte integrante dello standard UEFI (anche se è usato anche in qualche BIOS per superare il limite dei 2 Terabyte a partizione) ed utilizza degli “identificativi globali” (GUID) per riferirsi al contenuto di ciascuna partizione presente all’interno del disco.
Utilizzando GPT è possibile creare un numero di partizioni teoricamente illimitato anche se la maggior parte dei sistemi operativi ne riduce il numero a 128.
Non è però soltanto questa la differenza tra GPT e MBR: mentre MBR limita la dimensione di ciascuna partizione a 2 Terabyte, GPT consente di arrivare addirittura sino a 9,44 Zettabyte ossia ad oltre 9 miliardi di Terabyte.
Microsoft Windows, comunque, riduce la dimensione massima delle partizioni GPT a 256 Terabyte.
Nel corso del tempo, il MBR è stato utilizzato da molti malware (di recente, in particolare, da diversi rootkit) per garantirsi il caricamento ad ogni avvio del sistema.
Questo problema, in aggiunta con una serie di limitazioni che contraddistinguono la coppia BIOS+MBR, ha spinto alla messa a punto di nuove specifiche che hanno portato alla nascita di UEFI.
UEFI, spazza via in un sol colpo il vecchio BIOS e MBR, sostituendo quest’ultimo con GPT.
Parte di UEFI è Secure Boot, una funzionalità che – in breve – permette di eseguire sul computer solo ed esclusivamente software autorizzato dal produttore del sistema.
In altre parole, Secure Boot consente il caricamento – all’avvio del computer – di quei soli moduli software dotati di una firma digitale autorizzata e riconosciuta (presente cioè nel database delle firme conservate nel firmware della scheda madre).
Con il rilascio di Windows 8.x, Microsoft ha raccomandato ai produttori di personal computer di implementare in UEFI un’opzione che permetta la completa disattivazione della funzionalità Secure Boot.
Concepita per bloccare il caricamento di componenti malware e software non autorizzati, Secure Boot di fatto può complicare la vita a coloro che desiderino installare certe distribuzioni Linux od effettuare il boot di alcuni programmi da un’unità di memorizzazione esterna.
Secure Boot e Windows 10
In queste settimane si è fatto un gran parlare dei requisiti hardware minimi richiesti per l’installazione di Windows 10. Iniziamo subito con l’evidenziare che Windows 10 è tranquillamente installabile ed avviabile anche sui sistemi sprovvisti di UEFI o con la funzionalità Secure Boot disabilitata.
Per ottenere la certificazione Windows 10, Microsoft ha semplicemente stabilito che i produttori di personal computer devono attivare di default Secure Boot ma non ha esplicitamente richiesto che la possibilità di disattivare Secure Boot da UEFI venga rimossa.
Piuttosto, i produttori di computer potrebbero però non essere obbligati a prevedere la possibilità di disattivare Secure Boot da UEFI. Questo sarebbe l’aspetto più problematico ma ci auguriamo che questa possibilità non venga negata agli utenti.
L’eventuale rimozione dell’opzione per la disabilitazione di Secure Boot impedirà agli utenti di installare le varie distribuzioni Linux o di eseguire software popolari ed apprezzati al boot del sistema? Nient’affatto.
Convivere con Secure Boot?
Va detto, innanzi tutto, la maggior parte delle più famose ed apprezzate distribuzioni Linux supporta Secure Boot. È quindi possibile avviare la versione “live” delle distribuzioni Linux o installarle sul sistema senza disattivare Secure Boot in UEFI.
Red Hat e Fedora, ad esempio, hanno acquistato per la modica somma di 99 dollari la chiave Microsoft che di fatto dà il via libera per il caricamento delle loro distribuzioni al boot del sistema.
Canonical, con Ubuntu (tutte le versioni a partire dalla 12.04.2), già da tempo utilizza una propria chiave compatibile con Secure Boot e Linux Mint (a partire dalla versione 16 compresa) è altrettanto avviabile con Secure Boot abilitato.
Altri sviluppatori, comprese molte distribuzioni Linux minori, stanno utilizzando il pre-bootloader messo a punto dalla Linux Foundation che, poggiando a sua volta sulla chiave Microsoft, consente di ottenere il “lasciapassare” da parte di Secure Boot .
Cosa fare in caso di problemi con Secure Boot
In caso di problemi (i.e. impossibilità di avviare un particolare software al boot), suggeriamo in primis di accedere al BIOS e disattivare le seguenti funzionalità:
- Quickboot/Fastboot
– Intel Smart Response Technology (ISRT)
– FastStartUp
Qualora quest’intervento non sortisse l’effetto sperato, si potrà riavviare la macchina Windows 8, Windows 8.1 o Windows 10 ed accedere a UEFI.
In Windows 8.x basta far apparire la charm bar, cliccare sull’icona Impostazioni in basso ed infine tenere premuto il tasto MAIUSC mentre si fa clic su Riavvia il sistema.
In Windows 10 basta cliccare sul nuovo menu Start, dall’interfaccia desktop, fare clic sull’icona per lo spegnimento del sistema (in alto a destra) quindi tenere sempre premuto il tasto MAIUSC mentre si fa clic sulla voce Riavvia il sistema.
In alternativa, sui sistemi Windows 8 o Windows 8.1, si può fare clic su Impostazioni nella charm bar quindi su Modifica impostazioni PC:
Dal menù di sinistra bisognerà selezionare Aggiorna e ripristina (Generale in Windows 8), Ripristino e Riavvia ora in corrispondenza di Avvio avanzato.
Alla comparsa del menù di scelta seguente, bisognerà selezionare Risoluzione dei problemi quindi Opzioni avanzate.
La schermata successiva contiene l’opzione per accedere alle impostazioni UEFI.
Dalla schermata di UEFI, si potrà procedere con la disattivazione della funzionalità Secure Boot.
Vale la pena evidenziare che alcuni firmware UEFI consentono di attivare la cosiddetta modalità legacy (EFI).
Talvolta presentata come Compatibility Support Module, la modalità legacy consente di ripristinare – anche temporaneamente – l’utilizzo di un BIOS “old-style” sprovvisto di funzionalità Secure Boot. Attivando questa modalità non si dovrebbero avere problemi nel caricamento di qualunque software al boot del computer.
