Untrusted/ Come ti cambiano il BIOS

Com'era prevedibile, EFI viene sostanzialmente ignorato da Microsoft e da quasi tutti i produttori di hardware che sono legati ad essa. Ad esempio, Microsoft ha recentemente annunciato che il supporto per EFI (più esattamente per UEFI 2.0) sarà disponibile solo per le versioni server a 64 bit di Windows Vista.

Pur essendo disponibili versioni di EFI a 32 bit sulle motherboard Intel, nessun produttore di hardware si è preoccupato di creare i relativi driver OS-indipendent, invocando come giustificazione l'assenza di una versione di Windows a 32 bit in grado di sfruttarli (come se esistesse solo Windows). I normali utenti dovranno quindi continuare a fare i conti con il vecchio BIOS ed i soliti problemi di driver. Questo vuol anche dire che esistono dei problemi per usare Windows sui MacIntosh con architettura Intel, problemi che devono essere risolti da BootCamp. L'utente finale dipende quindi dalla volontà di Apple e dalla presenza di BootCamp per l'uso di Windows sui MacIntosh.

Per quanto ci riguarda, EFI ci interessa solo in quanto è in grado di pilotare una piattaforma Trusted Computing. All'interno delle sue aree di memoria è possibile conservare tutto il firmware necessario per questo scopo. Questo, infatti, è il modo in cui funzionano i MacIntosh attualmente in produzione.
EliLo, la versione EFI-enabled di LiLo, è disponibile a questa URL.EFI è, in un certo senso, l'erede di Open Firmware, il sistema usato dai "vecchi" Apple MacIntosh su architettura PowerPC. Il consorzio che si occupa del suo sviluppo è reperibile a questa URL.

Trusted GRUB e LiLo with TCPA support
Chi usa Linux sa bene cosa sono i Boot Loader. Si tratta di piccoli programmi che si installano nel MBR (Main Boot Record) di un hard disk e che permettono di avviare alternativamente uno qualunque dei sistemi operativi installati sulla macchina, ad esempio Linux o Windows. Ovviamente, anche i boot loader devono essere resi compatibili con le piattaforme di Trusted Computing. Per questo motivo, sono state sviluppate le versioni TC-compliant di LiLo e GRUB, i due boot loader più diffusi.

Questi boot loader collaborano con il BIOS e con il sistema operativo per mantenere la "chain of trust" che permette di garantire la affidabilità dell'intero sistema.
Trusted GRUB è reperibile a questa URL.
La versione TC-compliant di LiLo è parte del progetto Enforcer, reperibile a questa URL

LinuxBIOS e OpenBIOS
Leggendo queste righe dovrebbe essere diventata evidente la necessità di liberare l'hardware dalla dipendenza da uno specifico BIOS e/o firmware. Solo usando un BIOS "open source", infatti, è possibile avere il pieno controllo dell'intero sistema e tutte le garanzie necessarie sul suo funzionamento. A questo scopo sono stati avviati due importanti progetti per la creazione di BIOS "liberi".

Il primo progetto è promosso dalla Free Software Fundation e si chiama LinuxBIOS. Il sito ufficiale del team di sviluppo è a questa URL.
LinuxBIOS è un piccolo BIOS a 32 bit che svolge solo le funzioni indispensabili. Si tratta quindi di un BIOS molto veloce e molto versatile. Attualmente viene usato da una dozzina di costruttori, tra cui Cray, LinuxLab e ClusterLab, per la realizzazione di cluster per l'elaborazione parallela.

OpenBIOS è un progetto meno maturo ma non meno interessante. Gli obiettivi che si pongono i suoi sviluppatori sono una totale "openness" ed una totale indipendenza dalla piattaforma hardware e software. Il sito del progetto si trova a questa URL.

Conclusioni
L'avvento del Trusted Computing comporta anche la sostituzione dei vecchi BIOS con altri in grado di supportare queste funzionalità. Questo cambiamento poteva essere l'occasione per un passo avanti nel settore dei BIOS, verso una maggiore indipendenza dal produttore, ma non è stato così.
Progetti di grande importanza, come EFI e LinuxBIOS, giacciono inutilizzati a causa dell'antico vendor lock-in che lega i produttori di hardware al principale produttore di sistemi operativi. Nessuno sembra avere interesse a rompere questo legame e cercare fortuna per conto proprio sul mercato con prodotti adatti al mondo Linux e BSD.

A questa amarezza di fondo si somma quella dovuta alla scarsa trasparenza che domina questo mercato.

La presenza di funzionalità molto simili a quelle specifiche del Trusted Computing sui BIOS prodotti da Phoenix non è dichiarata in modo sufficiente al momento della vendita del prodotto. Io stesso sono stato testimone dell'acquisto di un PC dotato di BIOS Phoenix TrustedCore da parte di una persona assolutamente contraria a queste tecnologie.
Almeno in questo caso, l'acquirente ha fatto veramente tutto il possibile per evitare l'acquisto di un sistema "trusted" ma non è ugualmente riuscito ad evitarlo. Questo dovrebbe far riflettere sulla reale natura di questi sistemi, sulla loro pericolosità e sulla "coda di paglia" delle aziende coinvolte.

Alessandro Bottoni

Tutte le release di Untrusted sono disponibili a questo indirizzo