Nei giorni scorsi ha destato più di qualche preoccupazione la notizia circa l’assenza di un’opzione per disabilitare Secure Boot sui sistemi basati su Windows 10.
Ma cos’è Secure Boot, a cosa serve e le cose stanno veramente così?
Iniziamo col dire che Secure Boot è una caratteristica di UEFI (Unified Extensible Firmware Interface; si pronuncia uify), successore del tradizionale BIOS ossia di quell’insieme di routine (contenute in una memoria non volatile presente sulla scheda madre) che forniscono funzionalità di base per l’avvio del computer.
Fino “all’altro ieri”, i computer utilizzavano l’arcaica accoppiata BIOS+MBR per avviare il sistema.
Negli articoli Che cos’è UEFI e quello che c’è da sapere sul nuovo BIOS e Accedere a UEFI, sostituto del BIOS sui nuovi pc abbiamo messo in luce le principali differenze tra BIOS tradizionale e UEFI.
Basti ricordare che BIOS e MBR rappresentavano fino a poco tempo fa gli unici strumenti per “sovrintenere” la procedura di avvio (bootstrap).
Mentre il BIOS fornisce una serie di routine per l’accesso all’hardware del computer, alle periferiche integrate nella scheda madre da parte di sistema operativo e programmi, MBR (Master Boot Record) contiene le informazioni sulla struttura del disco e delle partizioni in esso presenti.
Il MBR è la prima area del disco cui viene fatto accesso all’avvio del sistema (vedere Differenze tra MBR e GPT. Ecco come vengono gestite partizioni ed avviato il sistema).
Nel corso del tempo, il MBR è stato utilizzato da molti malware (di recente, in particolare, da diversi rootkit) per garantirsi il caricamento ad ogni avvio del sistema.
Questo problema, in aggiunta con una serie di limitazioni che contraddistinguono la coppia BIOS+MBR, ha spinto alla messa a punto di nuove specifiche che hanno portato alla nascita di UEFI.
UEFI, spazza via in un sol colpo il vecchio BIOS e MBR, sostituendo quest’ultimo con GPT.
Parte di UEFI è Secure Boot, una funzionalità che – in breve – permette di eseguire sul computer solo ed esclusivamente software autorizzato dal produttore del sistema.
In altre parole, Secure Boot consente il caricamento – all’avvio del computer – di quei soli moduli software dotati di una firma digitale autorizzata e riconosciuta (presente cioè nel database delle firme conservate nel firmware della scheda madre).
Con il rilascio di Windows 8.x, Microsoft ha raccomandato ai produttori di personal computer di implementare in UEFI un’opzione che permetta la completa disattivazione della funzionalità Secure Boot.
Concepita per bloccare il caricamento di componenti malware e software non autorizzati, Secure Boot di fatto può complicare la vita a coloro che desiderino installare certe distribuzioni Linux od effettuare il boot di alcuni programmi da un’unità di memorizzazione esterna.
Secure Boot e Windows 10
In queste settimane si è fatto un gran parlare dei requisiti hardware minimi richiesti per l’installazione di Windows 10. Iniziamo subito con l’evidenziare che Windows 10 è tranquillamente installabile ed avviabile anche sui sistemi sprovvisti di UEFI o con la funzionalità Secure Boot disabilitata.
Per ottenere la certificazione Windows 10, Microsoft ha semplicemente stabilito che i produttori di personal computer devono attivare di default Secure Boot ma non ha esplicitamente richiesto che la possibilità di disattivare Secure Boot da UEFI venga rimossa (vedere Requisiti hardware Windows 10 svelati da Microsoft e questo documento ufficiale a pagina 8).
Piuttosto, i produttori di computer potrebbero però non essere obbligati a prevedere la possibilità di disattivare Secure Boot da UEFI. Questo sarebbe l’aspetto più problematico ma ci auguriamo che questa possibilità non venga negata agli utenti.
L’eventuale rimozione dell’opzione per la disabilitazione di Secure Boot impedirà agli utenti di installare le varie distribuzioni Linux o di eseguire software popolari ed apprezzati al boot del sistema? Nient’affatto.
Convivere con Secure Boot?
Va detto, innanzi tutto, la maggior parte delle più famose ed apprezzate distribuzioni Linux supporta Secure Boot. È quindi possibile avviare la versione “live” delle distribuzioni Linux o installarle sul sistema senza disattivare Secure Boot in UEFI.
Red Hat e Fedora, ad esempio, hanno acquistato per la modica somma di 99 dollari la chiave Microsoft che di fatto dà il via libera per il caricamento delle loro distribuzioni al boot del sistema.
Canonical, con Ubuntu (tutte le versioni a partire dalla 12.04.2), già da tempo utilizza una propria chiave compatibile con Secure Boot e Linux Mint (a partire dalla versione 16 compresa) è altrettanto avviabile con Secure Boot abilitato.
Altri sviluppatori, comprese molte distribuzioni Linux minori, stanno utilizzando il pre-bootloader messo a punto dalla Linux Foundation che, poggiando a sua volta sulla chiave Microsoft, consente di ottenere il “lasciapassare” da parte di Secure Boot (Linux Foundation fa la pace con UEFI e Windows 8).
Cosa fare in caso di problemi con Secure Boot
In caso di problemi (i.e. impossibilità di avviare un particolare software al boot), suggeriamo in primis di accedere al BIOS e disattivare le seguenti funzionalità:
– Quickboot/Fastboot
– Intel Smart Response Technology (ISRT)
– FastStartUp
Qualora quest’intervento non sortisse l’effetto sperato, si potrà riavviare la macchina Windows 8, Windows 8.1 o Windows 10 ed accedere a UEFI.
In Windows 8.x basta far apparire la charm bar, cliccare sull’icona Impostazioni in basso ed infine tenere premuto il tasto MAIUSC mentre si fa clic su Riavvia il sistema.
In Windows 10 basta cliccare sul nuovo menu Start, dall’interfaccia desktop, fare clic sull’icona per lo spegnimento del sistema (in alto a destra) quindi tenere sempre premuto il tasto MAIUSC mentre si fa clic sulla voce Riavvia il sistema.
In alternativa, sui sistemi Windows 8 o Windows 8.1, si può fare clic su Impostazioni nella charm bar quindi su Modifica impostazioni PC:
Dal menù di sinistra bisognerà selezionare Aggiorna e ripristina (Generale in Windows 8), Ripristino e Riavvia ora in corrispondenza di Avvio avanzato.
Alla comparsa del menù di scelta seguente, bisognerà selezionare Risoluzione dei problemi quindi Opzioni avanzate.
La schermata successiva contiene l’opzione per accedere alle impostazioni UEFI.
Dalla schermata di UEFI, si potrà procedere con la disattivazione della funzionalità Secure Boot.
Vale la pena evidenziare che, come spiegato nell’articolo Che cos’è UEFI e quello che c’è da sapere sul nuovo BIOS, alcuni firmware UEFI consentono di attivare la cosiddetta modalità legacy (EFI).
Talvolta presentata come Compatibility Support Module, la modalità legacy consente di ripristinare – anche temporaneamente – l’utilizzo di un BIOS “old-style” sprovvisto di funzionalità Secure Boot. Attivando questa modalità non si dovrebbero avere problemi nel caricamento di qualunque software al boot del computer.