SECURE BOOT: Microsoft SI PREPARA AL RILASCIO DELLE NUOVE CHIAVI
Con la presentazione delle specifiche UEFI (Unified Extensible Firmware Interface), che sostituirono il concetto di BIOS tradizionale (oggi chiamato BIOS legacy), comparve anche la ben nota funzionalità Secure Boot. Sebbene le “fondamenta” di UEFI fossero pronte sin dal 2006-2007, è nel 2012 – con l’avvento di Windows 8 – che Microsoft iniziò a sostenerne convintamente l’utilizzo.
Secure Boot in particolare, è progettato per impedire l’esecuzione di Software non autorizzato durante il processo di avvio del sistema, contribuendo a prevenire l’installazione di malware e rootkit. Sebbene aspramente criticato, almeno in una prima fase, dai sostenitori di GNU/Linux e del software libero, l’utilizzo di un componente chiamato shim ha permesso l’esecuzione diretta (senza più la necessità di disattivare Secure Boot) di un gran numero di distro Linux. Ne ha beneficiato anche Rufus, utilità che permette di creare supporti avviabili.
Il funzionamento di Secure Boot in due parole
Microsoft ha scelto di rendere obbligatorio Secure Boot per l’installazione di Windows 11. Il funzionamento di questo strumento di Sicurezza affonda le sue radici nell’utilizzo di certificati digitali: essi attestano che solo il software firmato digitalmente e autorizzato (da Microsoft) possa essere eseguito durante l’avvio del sistema. Secure Boot verifica la firma digitale di bootloader, driver, firmware e altre componenti, garantendo che provengano soltanto da origini attendibili.
Il gigante tecnologico di Redmond, ha recentemente annunciato un significativo aggiornamento riguardante le chiavi Secure Boot. I tecnici della società hanno annunciato il rilascio di nuove chiavi Secure Boot (CA), sostituendo così quelle attualmente in uso ormai sin dal 2011, quando vennero introdotte per la prima volta con Windows 8.
In collaborazione con i partner, Microsoft sta preparando il terreno per il rilascio dei certificati sostitutivi per Secure Boot: saranno rilasciati gradualmente andando a integrarsi nel database dedicato e ad aggiungersi ai certificati Key Exchange Key (KEK).
Differenza tra DB e DBX in Secure Boot
L’aggiornamento del database di Secure Boot (DB) è previsto come un update opzionale per tutti i dispositivi compatibili, a partire dal 13 febbraio 2024. Si tratta di un passaggio significativo, poiché il DB Secure Boot non è aggiornato con regolarità (l’ultima versione risale appunto a 13 anni fa…) come avviene invece per il Secure Boot DBX.
Il Secure Boot DBX (Secure Boot Forbidden Signature Database) è un componente cruciale: contiene una lista di firme digitali “vietate” o revocate. DBX elenca i moduli crittografici, come driver o firmware, identificati come insicuri o non autorizzati, impedendo loro di essere eseguiti durante il processo di avvio del sistema operativo.
Quando un componente software tenta di caricarsi al boot del dispositivo, Secure Boot controlla la sua firma digitale e la confronta con le informazioni presenti nel database DBX. Se la firma corrisponde a una di quelle bloccate, il componente è considerato non attendibile e il processo di avvio immediatamente interrotto.
Cos’è la Key Exchange Key (KEK)
Con il termine Key Exchange Key (KEK) ci si riferisce alla chiave crittografica utilizzata da Secure Boot per proteggere le chiavi di firma e le firme digitali all’interno del sistema. La funzione principale della KEK è quella di garantire l’integrità e la sicurezza delle chiavi e delle firme digitali utilizzate nel processo di avvio.