Recentemente ho letto alcuni articoli sulla funzionalità UEFI Secure Boot e su come Microsoft richiederà che sia abilitato per impostazione predefinita su tutti i sistemi x86 certificati Windows 8. In teoria, sembra una buona idea: il sistema verificherà l'integrità del boot loader prima di ogni avvio. Tuttavia, fornisce anche alcune complicazioni.
Il problema principale sorge quando qualcuno vuole eseguire un sistema operativo non Microsoft su hardware x86 con certificazione Windows 8. Poiché l'hardware avrà Secure Boot abilitato e probabilmente avrà solo la chiave di Microsoft installata per impostazione predefinita, l'utente dovrà risolvere il problema in uno dei seguenti modi:
- Disabilita avvio sicuro : questa è, ovviamente, la soluzione meno ideale. Tuttavia, per alcuni potrebbe essere l'unica opzione disponibile.
- Installa un certificato personalizzato : un'opzione per l'inclinazione tecnica, ma non probabile, che i normali utenti finali considereranno facilmente.
- Scegli un sistema operativo con un caricatore di avvio firmato da Microsoft . Probabilmente è il più facile da usare per l'utente finale, anche se potrebbe limitare le tue opzioni. Fedora ha annunciato che saranno tra queste opzioni. Ciò non richiede alcuna modifica all'UEFI o aggiramento con certificati personalizzati: basta installare il sistema operativo Microsoft e andare.
- Ottieni il tuo boot loader firmato da Microsoft - Forse l'opzione meno preferibile, dal momento che ha un costo effettivo ($ 99 una tantum). Tuttavia, è utile se stai creando la tua distro e vuoi condividerla con gli amici.
Queste ultime due opzioni sono davvero il mio punto di preoccupazione, però. Se solo costa $ 99, una volta, per avere il privilegio di firmare tutti i boot loader di Microsoft, è davvero il grande ostacolo per gli scrittori di malware che resistono fare a milioni dai loro rootkit firmati da Microsoft?
C'è qualcosa che mi manca qui, o questo requisito di avvio sicuro (e tutto ciò che è stato creato per supportarlo) porta davvero a un falso senso di miglioramento della sicurezza? Che tipo di complicazioni potrebbero sorgere se il sistema venisse effettivamente abusato in questo modo? Dovremo aggiornare i nostri UEFI ogni volta che verrà pubblicato un nuovo CRL?