Secure Boot è una funzionalità opzionale di Windows 8, divenuta popolare perché responsabile del blocco al dual-boot con altri sistemi operativi, tra i quali ovviamente Linux. Microsoft ha proposto un intervento dettagliato sul funzionamento dell’infrastruttura: le prospettive non sono così nefaste. Specie perché non è obbligatorio.
Il controllo del boot loader avviene con Unified Extensible Firmware Interface (UEFI) e può essere impostato dalla configurazione del BIOS: gli utenti di Linux, ecc. possono disabilitarlo in qualunque momento ed essere comunque in grado di avviare Windows 8. La facoltà d’attivare il Secure Boot in default è soltanto dei produttori.
Il meccanismo riconosce le chiavi di cifratura presenti in un database protetto e autorizza la procedura d’avvio del sistema operativo. Richiede UEFI 2.3.1 o superiore ed è concepito esclusivamente per Windows 8: se attivato, può bloccare qualunque sistema non riconosciuto. Inclusi quelli precedenti di Microsoft. Un falso problema.
Via | Building Windows 8
Seguici
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
slartibartfast
23 set 2011 - 12:21 - #1Non mi pare tanto falso come problema, se “La facoltà d’attivare il Secure Boot in default è soltanto dei produttori”. È un lavarsi le mani dal lato Microsoft. Ma i produttori potranno comunque imporci il sistema operativo. Quanti pc, specie portatili, hanno un bios estremamente scarno di possibilità di configurazione?
BidonBidon
23 set 2011 - 12:38 - #2Si, ma tu puoi entrare nel bios e disattivarlo.
I produttori te possono solo attivartelo di default, non “importelo”.
In pratica non capisco a cosa serva; forse per i server.. imponi l’avvio di un SO da bios e poi gli metti la password. Ma in genere i server sono sotto controllo in altri modi
groucho_nt
23 set 2011 - 12:46 - #3@2: E’ tutto da vedere se ogni produttore prevederà o meno la possibilità di entrare a cambiare le impostazioni del BIOS.
Microsoft potrebbe predicare bene e razzolare male, nel senso che a nostra completa insaputa potrebbe anche raggiungere accordi con i produttori per particolari “sconti” sui prezzi delle licenze in cambio dell’impossibilità di disattivare il Secure Boot.
Inoltre la presenza di questo blocco converrebbe anche ai produttori di PC: vuoi Windows 9 e sul tuo notebook hai Windows 8? Bene, non puoi fare un semplice upgrade, devi cambiare macchina.
Ovviamente la scusa ufficiale sarà che manca la certificazione per quel dato sistema operativo bla bla bla.
A pensar male ci si azzecca più spesso di quanto si creda.
romfladef
23 set 2011 - 12:53 - #4I produttori non potranno bloccare la funzione del BIOS, perché sarebbe ritenuto illegale in Europa: gli utenti di Windows 8 potranno avvalersi della funzionalità, gli altri disabilitarla.
Se GRUB prevedesse un controllo dell’integrità dei kernel via CRC e UEFI non mi dispiacerebbe!
groucho_nt
23 set 2011 - 12:56 - #5@4 ritenuto illegale? secondo quale legge? è illegale produrre e commercializzare smartphone o tablet ai quali (almeno in teoria) non è possibile cambiare sistema operativo? qual è la distanza che separa un pc da un netbook o da un tablet?
lepton
23 set 2011 - 13:04 - #6imho serve per i niubbi(in senso buono) che avranno meno malware sui loro PC. imho molte funzionalità sono pensate per chi non è esperto, ma la possibilità di smanettare viene lasciata all’utente più navigato. L’importante è che la funzione si possa disabilitare e che ci permetta di installare le nostre distro preferite (che non hanno problemi di malware).
Emanuele "ToX" Toscano
23 set 2011 - 13:06 - #7Certo che se un produttore lo attivasse di default non sarebbe così semplice per un utente non troppo avanzato “provare linux”, visto che ogni bios è diverso dall’altro (e che qualche volta si accede con il tasto canc, a volte con f10, f12 o chissaà che altro) e non si potrebbe avere una guida univoca su come disattivarlo… non è che basta dire “cerca secure boot nel bios e disattivalo”, la maggior parte delle persone non sa nemmeno cosa sia un bios!
malikay
23 set 2011 - 13:18 - #8Cerchiamo di non essere complottisti a tutti i costi.
Sarebbe più difficile dite? Perchè adesso installare Linux è davvero così facile secondo voi visto che in alcuni computer bisogna comunque andare a settare il bios per impostare una diversa priorità di boot? Molto rumore per nulla.
La comunità Linux oggi non deve temere Microsoft più di quanto non debba temere sè stessa.
groucho_nt
23 set 2011 - 13:21 - #9@8 installare linux è facile quanto installare qualunque altro sistema operativo
romfladef
23 set 2011 - 13:32 - #10È illegale imporre l’installazione di un sistema operativo su qualunque macchina: esistono moduli per il diritto di recesso dall’acquisto di Windows in associazione a un computer e l’utente può cambiare sistema operativo in qualunque momento, senza invalidare la garanzia. I contratti che prevedono qualcosa di diverso sono da ritenersi illegali per le norme vigenti in Europa sull’antitrust e secondo la giurisprudenza. Che poi siano in pochi ad avvalersi dei propri diritti è un altro paio di maniche: io, ad esempio, per tagliare corto ho cambiato il PC con uno che prevedeva Windows 7 e ho formattato appena rientrato in casa. Ho perso 100€ che mi sarebbero spettati di diritto, ma non un giorno di lavoro. È stata una mia scelta, consapevole. Fare il contrario è nel pieno esercizio delle proprie facoltà e il Secure Boot non è diverso dalla partizione EFI per il boot rapido degli EeePC. Se vuoi la utilizzi, se non vuoi la cancelli. Poi, magari il Secure Boot è inutile a prescindere… ma trovare il marcio dove non c’è è paranoico.
romfladef
23 set 2011 - 13:39 - #11Ecco una semplice panoramica sulla questione: http://avvertenze.aduc.it/rimborsowindows/
giancarlo g.
23 set 2011 - 13:42 - #12una volta fecero un esperimento:
misero una rana dentro una pentola con l’acqua bollente, la rana balzo fuori salvandosi
poi fecero un altro esperimento:
misero una rana dentro una pentola con l’acqua fredda e piano piano la scaldarono
la rana dopo un po’ è morì..
di questo se ne era già parlato anni fa.. ora cominciano a mettere i primi componenti hardware e software qua e la’ mostrando lo spettro della sicurezza informatica..
…ma come si fa a crederci?? …di certo se vogliono rendere windows più sicuro partirebbero da altrove…
già ora su molti i tablet è imposto il sistema operativo senza poterlo modificare
salvo che qualcuno non sappia compilare ubuntu o altro per architetture ARM…?!?
tosky
23 set 2011 - 15:31 - #13La risposta di MS non e’ proprio incoraggiante; Matthew Garret (che ha segnalato il problema) l’ha analizzata:
http://mjg59.dreamwidth.org/5850.html
flux2
23 set 2011 - 17:17 - #14@8
installo le distro linux più diffuse in meno di 5-10 min senza problemi… chissà perchè ogni volta che installo windows mi ritrovo con l’hdd totalmente formattato, partizioni illegibili ecc ecc… forse sarò sfortunato o io e win non andiamo d’accordo
Kim Allamandola
23 set 2011 - 20:52 - #15@flux2 #14
siamo onesti :-) 20-30′ più un’oretta di download e “accasamento” automatici
successivi! In 5-10′ anche ad aver tutto in locale dovresti installare dalla
ram sulla ram al netto delle tecnologie odierne :-)
Piuttosto con Windows c’è *come* impieghi il tempo durante l’installazione
ovvero il fatto che devi starci davanti sino alla fine mentre negli installer
delle più comuni distro le domande sono all’inizio (Ubiquity, Anaconda) e le
install automatizzate sono molto più scomode di preseed e kickstart…
Poi c’è l’enorme quantità di tempo che Windows ti mangia nella caccia ai driver
ed agli n cd di installazione, agli n update con n reboot, al defrag finale ecc.
Ubuntu a livello domestico, con una medio-bassa esperienza lo installi e sei
pronto a lavorare realmente in un paio d’ore al massimo con una normale ADSL
italica; con Windows ti serve una giornata. Idem dicasi per i tempi di
mantenimento.
QuestoNickNonCeL'HaNessunoVeroMaledettoSoftware
23 set 2011 - 21:03 - #16Per il discorso del rimborso della licenza di windows: sono *ancora* in corso battaglie legati (una class-action contro Microsoft da parte dell’ADUC stessa). Quindi non è affatto così automatico. Ricordo di aver visto foto e articoli su vere e proprie proteste partite in proposito.
Sembra che sarà un settaggio del BIOS, penso tranquillamente modificabile. La spacciano per funzionalità per la sicurezza ma faccio fatica a immaginare uno scenario in cui ne valga effettivamente la pena. Penso che in questo caso sarà si una seccatura, ma almeno non difficile da eliminare.
@12: riflessione interessante.
maximo90
23 set 2011 - 23:50 - #17Credo alla fine che sia un altro modo per far perdere tempo alle persone… Invece di pensare a ste s*t*r*o*n*z*a*t*e, perchè non cercano di migliorare o di cambiare interfaccia al bios? Oppure passare ad una alternativa libera del bios? Sono più di 50 anni che hanno lo stesso bios. Gli stessi colori, con le stesse opzioni…
cradi
24 set 2011 - 08:43 - #18@9
con questo metodo allora installare linux sarà difficile come installare qualsiasi altro sistema operativo.
@14
quelli che presenti sono problemi non reali, è chiaro che non sei né sfortunato né antipatico a windows ma di una certa incompetenza.
@15
bastano skills di base per creare un disco di windows che non chieda nulla dall’inizio alla fine e installi tutto il sistema mentre stai in salotto a berti un the
@16 ti ricordo che quasi tutti i computer sono completamente vulnerabili se il malintenzionato di turno gli è fisicamente davanti, questo è un livello di sicurezza in più. Ovviamente a te non servirà.
Kim Allamandola
24 set 2011 - 11:08 - #19@cradi #18
Questo “secure boot” NON TI SERVIRÀ a nulla se hai la macchina fisicamente in
mano… Idem non ti servirà a nulla sul piano della sicurezza: controlla l’os
e l’hw non le applicazioni che l’os fa girare (virus inclusi).
Sulla competenza nell’installazione di Windows sei fuori strada, se il sistema
ti fa domande in ogni punto dell’install, non solo all’inizio non ha molto da
fare, se il sistema usa applicazioni su CD e richiede n riavvi quando aggiorni
non hai molto da fare, se il sistema è iper-scomodo da gestire non hai molto da
fare. Puoi fare un’install automatica di Windows, ma non la fai con la stessa
semplicità di kickstart o la completezza di preseed; e hai ad ogni modo da far
un mucchio di lavoro lato driver&c.
Col secureboot infine ti cambia eccome la difficoltà di installare qualunque OS
che non sia Windows 8: non c’è scritto da nessuna parte che il secure boot DEVE
poter essere disabilitabile, c’è scritto che DEVE essere presente e se proprio
vuoi PUÒ essere disabilitabile. Tradotto scarichiamo la palla agli OEM, se
questi non lo rendono disabilitabile gli vendiamo licenze di Windows a prezzi
inferiori. Come fanno ora a tutti quelli che “consigliano windows” e non offrono
altri os in alternativa.
cradi
24 set 2011 - 12:33 - #20@19
quindi non sarebbe possibile installare windows 8 su computer con bios NON UEFI?
non è vero che non hai molto da fare per nessuna di quelle cose che hai detto
QuestoNickNonCeL'HaNessunoVeroMaledettoSoftware
24 set 2011 - 15:36 - #21@18:
Francamente se il malintenzionato di turno ha accesso fisico al mio computer, il suo poter o meno installarmi un altro sistema operativo sinceramente sarebbe l’ultima delle mie preoccupazioni (perchè dovrebbe farlo tra l’altro?). La protezione migliore in quei casi IMHO è l’avere il disco crittografato (anche Windows fornisce questa funzionalità con il nome di BitLocker, anche se solo nelle versioni Enterprise e Ultimate).
Tra l’altro, non ne sono affatto sicuro ma se il meccanismo è lo stesso di alcuni anni fa, nei desktop posso accedere al bios e disabilitare il secure boot tranquillamente anche se il bios è bloccato da password.
cradi
25 set 2011 - 00:47 - #22@21
immagino che il secure boot non faccia partire neanche un OS live
diberton
25 set 2011 - 18:53 - #23…è un problema vero per un neofita che vorrebbe dare un’occhiata a Linux con un Live CD e non sà neppure cos’è il bios! Linux non è praticamente mai preinstallato per cui la vedo una grande limitazione per gli utenti non smanettoni…
Kim Allamandola
25 set 2011 - 21:52 - #24@cradi #22
Se ho accesso fisico alla macchina rimuovo il disco e me lo metto in un
cassetto USB od altro adattatore, non c’è password che tenga se non i dati
su disco cifrati, non tipo certi ssd il cui controller cifra i dati con una
chiave salvata nella sua eprom, grazie, le chiavi separate dalla macchina!
A parte questo quanto credi impieghi il solito craker di turno a tirar fuori
le chiavi private dalla eeprom della mobo?
Una serratura con chiavi annesse non è una cosa molto furba… Ha invece una
grande utilità: se riescono a piazzarti un’applicazione dubbia (cose che su
Windows l’esperienza dice sia molto facile) anziché avere un problema hai la
macchina del tutto bloccata… Se l’utente è alle prime armi, cose che
accade sempre più spesso grazie a Ubuntu, non sa cosa fare ecc.
‘Somma *non hai proprio nessuna sicurezza utente in più* ha invece una piccola
sicurezza lato vendor in più: il tuo lock-in è più forte ed invasivo. La gente
oggi accetta supinamente sui proprio smartphone Android ed Apple che le case
produttrici possano rimuovere (o aggiungere) contenuti sul loro dispositivo
anche a loro insaputa [1] coi computer classici ancora non è così ed i vari
vendor non sono ancora riusciti ad ucciderli…
[1]
Parlo di contenuti. Fossero solo applicazioni puoi avere sistemi “poco
invasivi” come ad es. degli “update” falsi che anziché aggiornare una
applicazione rimuovono la “vecchia” e non installano più nulla se non
un’eventuale messaggio sul motivo della rimozione. Parlo invece di contenuti
cosa che implica un accesso completo all’intero filesystem del dispositivo,
foto, video, sms ecc. inclusi e nel caso dei prodotti closed source, non
sai manco bene *come e cosa* chi ti *da in licenza* il tuo sistema operativo.