"Secure Boot": chi avrà il controllo del tuo prossimo computer?
Matthias KirschnerLo scopo della FSFE è quello di assicurarsi che i proprietari dei sistemi informatici detengano sempre il completo controllo degli stessi. Questo principio fondamentale è stato recentemente messo in discussione.
Tramite una funzione denominata "Secure Boot", implementata nei computer a partire dal 2012, i produttori di componenti hardware e software ambiscono ad ottenere una posizione attraverso cui poter controllare in modo permanente i sistemi informatici che producono. In questo modo, le periferiche sarebbero "sicure" dal punto di vista del produttore, ma non necessariamente da quello del proprietario, che può essere trattato come un avversario. Impedendo determinati utilizzi delle periferiche, i produttori possono controllare e limitare i possibili utilizzi di una macchina d'impiego generale (PC, portatili, netbook...). Nel caso di un computer dotato di accesso a internet, possono modificare queste restrizioni all'uso anche senza informare il proprietario del computer. Ne consegue che i produttori di tecnologia informatica possono, a loro piacimento, limitare i diritti che normalmente spettano ai proprietari dei computer.
"Secure Boot": un guardiano davanti al sistema operativo
Subito dopo l'accensione, i dispositivi informatici eseguono un processo di avvio denominato boot. Nel caso dei computer, questo processo di avvio è incluso nel firmware. Questo firmware esegue un programma denominato boot loader, che procede all'esecuzione del sistema operativo vero e proprio, grazie al quale le applicazioni possono essere avviate. Nel 2012 la transizione generale del firmware dei PC, dei portatili, dei server dal BIOS convenzionale al sistema UEFI sarà quasi completa. Rispetto al BIOS convenzionale, UEFI ha molti vantaggi, tra cui tempi di avvio più rapidi, driver indipendenti dal sistema operativo, il tutto insieme alla promessa di una migliore sicurezza.
L'aspetto relativo alla sicurezza è gestito da una funzione chiamata "Secure Boot". A partire dalla versione UEFI 2.3.1 (rilasciato l'8 aprile 2011), "Secure Boot" fa sì che durante il processo di boot venga eseguito solo software compatibile con le firme crittografiche autorizzate. Lo scopo è quello di impedire che software indesiderato venga eseguito durante l'avvio del computer, attraverso una verifica crittografica della firma di ogni componente software (differenti funzioni del firmware UEFI, il boot loader, il kernel del sistema operativo, etc.), prima del loro avvio. Quindi, le firme crittografiche da utilizzare devono essere implementate nel database delle firme UEFI, per ogni strumento dotato della funzionalità "Secure Boot", prima che un componente software firmato crittograficamente possa essere avviato su quella specifica macchina.
FSFE si aspetta che la vasta maggioranza dei produttori di computer implementerà "Secure Boot", poiché Microsoft ha annunciato che i produttori di computer devono implementare il "Secure Boot" di UEFI, per poter acquisire una certificazione Windows 8 per gli elaboratori che producono, ad esempio mostrando il logo "Compatibile con Windows 8" sugli stessi.
Il computer: una macchina d'impiego generale
Attraverso l'evoluzione del computer a macchina d'impiego generale, durante i decenni passati, la nostra società ha creato un potente strumento per eseguire qualunque tipo di azione con un'unica macchina. Adesso i produttori di strumenti informatici hanno scoperto di avere un interesse economico a limitare in modo arbitrario gli utilizzi possibili delle macchine. Attraverso "Secure Boot" i proprietari di strumenti informatici non saranno più in grado di controllare gli utilizzi delle loro macchine, non potendo più decidere quale software eseguire.
L'entità che infine controlla quale software può essere eseguito su una macchina, determinandone le specifiche funzioni, può controllare i dati elaborati e memorizzati sulla macchina stessa. Di conseguenza, il proprietario di uno strumento informatico non può più detenere il controllo esclusivo sui propri dati.
Su quali macchine ciò si applica?
Al momento, molte persone basano la loro analisi relativa a UEFI basandosi sul documento "Requisiti Hardware per la Certificazione Windows 8", pubblicato da Microsoft nel dicembre 2011. È evidente come Microsoft non abbia mai reso pubblica nessuna versione di questi requisiti per la certificazione dell'hardware, poiché queste ultime sono basate su un contratto tra Microsoft ed ogni singolo produttore di hardware che cerchi di ottenere una certificazione Windows 8 per i propri strumenti. Ne consegue che questi criteri possono cambiare in ogni momento senza preavviso. È anche possibile che i requisiti differiscano tra diversi produttori: la volontà di Microsoft può tutto, e spesso tutto avviene a porte chiuse. Quindi, non si può fare affidamento che la versione pubblicata dei "Requisiti Hardware per la Certificazione Windows 8" sia statica, ma bisogna aspettarsi che i dettagli del "Secure Boot" siano un "bersaglio mobile".
Il problema del "Secure Boot" non è necessariamente limitato ai "Connected Stand-By Systems" (probabilmente una larga fetta del futuro mercato dei portatili, netbook e PC) e ai computer basati sui microprocessori ARM (soprattutto tablet e telefoni cellulari), ma può essere esteso da Microsoft ad ogni altro tipo di periferica in ogni momento. Allo stesso modo, i produttori di hardware che non producono periferiche compatibili con Windows 8 potrebbero comunque implementare "Secure Boot", o altri processi di boot dotati di restrizioni causate dall'uso di firme crittografiche. TiVo ha fatto lo stesso per un decennio, insieme a diverse console per videogiochi prodotte da Sony o Microsoft. Altri produttori di hardware potrebbero implementare specificazioni o requisiti simili a quelli previsti dai "Requisiti Hardware per la Certificazione Windows 8", con lo scopo di restringere artificialmente le capacità tecniche di strumenti informatici.
Le restrizioni saranno estese alle applicazioni?
Mentre le specifiche di UEFI "Secure Boot" (così come le specifiche del Trusted Computing Group che definiscono "Trusted Boot") coprono i processi primari di boot fino al kernel del sistema operativo, l'infrastruttura per estendere i controlli basati sulla firma crittografica a tutto il software in esecuzione sul computer è pronta, ed è già operativa su vari sistemi operativi. Ma, a parte Windows 8, al momento è solo messa in pratica sui driver per le periferiche Windows.
Una minaccia per le macchine d'impiego generale
Queste misure potrebbero essere nell'interesse del proprietario della periferica, se questi avesse il completo controllo delle procedure "Secure Boot". Lo aiuterebbero a migliorare la sicurezza del processo di boot, tuttora fondamentalmente insicuro. Ciò avverrebbe se i sottosistemi di sicurezza specificati dal forum UEFI e dal Trusted Computing Group (TCG) garantissero tecnicamente il controllo permanente, completo ed unico del proprietario sulla configurazione e sulla gestione di questi sottosistemi di sicurezza, che includono la creazione, la memorizzazione, l'uso e la cancellazione di chiavi crittografiche, certificati e firme. Ma finché altre entità al di là del proprietario possono utilizzare questi sottosistemi di sicurezza, viene loro permesso di impedire usi non pianificati o non previsti di questi strumenti informatici.
Quindi, con l'implementazione di "Secure Boot", la disponibilità di vere macchine d'impiego generale sotto il pieno controllo del proprietario potrebbe essere drasticamente ridotta. Strumenti notevolmente limitati da misure come "Secure Boot" sotto il controllo dai aziende sono normalmente chiamate "appliances" o "computer d'impiego speciale" (e.g. media centre, telefoni, lettori di libri). Quindi, almeno alcune periferiche Windows 8 saranno appliance Windows invece che tradizionali computer. Se può esserci un mercato per questi strumenti, la FSFE chiede a gran voce che questi dispositivi siano etichettati come limitati all'uso previsto dall'azienda, allo scopo di informare il potenziale acquirente.
Eludere queste restrizioni è un'opzione per l'utente?
Gli esperti di informatica potrebbero pensare che hanno già visto misure di questo tipo in passato, e che molte di queste ultime sono state eluse. È stato il caso di molti modelli di console per videogiochi PlayStation e Xbox, insieme a molti telefoni cellulari. Ma la qualità e l'estensione è più ampia questa volta:
- UEFI "Secure Boot" è soprattutto pensato per i PC tradizionali.
- È sostenuto da gran parte dell'industria informatica, ad esempio dai membri del Forum UEFI.
- Il suo design e specifiche sono il risultato di uno sforzo collettivo da parte di ingegneri informatici provenienti da molte compagnie. È il risultato di un decennio di esperienza con i processi di boot basati su firma crittografica, di conseguenza evita molte classiche debolezze, come la mancanza di un processo di aggiornamento del firmware UEFI correttamente specificato e crittograficamente messo in sicurezza.
- Utilizza sottosistemi di sicurezza basati sull'hardware, ad esempio come specificato dal TGC (TPM o MTM, e specifiche allegate): mentre le specifiche UEFI non impongono una specifica implementazione di "memorizzazione protetta" per le chiavi crittografiche, certificati e firme, le recenti specifiche TGC (dal 2011) sono adatte.
- Delle criticità sulla sicurezza delle implementazioni "Secure Boot" sono attese (come in tutto il Software), ma poiché potrebbe esserci competizione commerciale tra i produttori UEFI, è nel loro interesse risolvere questi problemi. Al contrario, in passato, solo produttori individuali hanno implementato processi di boot con restrizioni crittografiche per le loro periferiche: TiVo Inc. per i loro TIVO, Microsoft per varie generazioni di Xbox, e Sony per le Playstation.
Inoltre, anche se molte restrizioni di questo tipo sono state eluse in passato, ciò dimostra solo che le loro implementazioni tecniche erano difettose e vulnerabili al malware, non riuscendo a fornire la "sicurezza" per cui erano state pensate. Anche se questo probabilmente si applica ad alcune implementazioni "Secure Boot", rompere questi meccanismi non può essere la soluzione per tematiche che riguardano la libertà o l'assenza di controllo da parte del proprietario del sistema.
Le richieste della FSFE
Per mantenere una crescita sostenuta nello sviluppo e nell'uso del software, la disponibilità estesa di macchine d'impiego generale è fondamentale.
La FSFE richiede che prima dell'acquisto di una macchina, l'acquirente debba essere informato in modo conciso sulle misure tecniche implementate in questa periferica, così come le restrizioni specifiche all'uso e le loro conseguenze per il proprietario.
Inoltre, la FSFE raccomanda fortemente di acquistare esclusivamente strumenti informatici che garantiscano un controllo completo, esclusivo e permanente sui sottosistemi di sicurezza (come le restrizioni all'uso basate sulla firma), allo scopo di conservare la capacità di installare qualsiasi software e, in ultima analisi, di mantenere un controllo esclusivo sui propri dati.