Linux Foundation: problemi con le firme UEFI di Microsoft

Si è molto parlato di recente delle strategie adottate dalle singole distribuzioni per far fronte alla tecnologia Secure Boot e garantire sia la funzionalità di sicurezza che la facile installazione delle varie distro Linux alle quali siamo ormai abituati. Della cosa si sta occupando attivamente anche la Linux Foundation, che mira a fare da tramite e proporre una soluzione comune che sia adottabile da qualsiasi attore nella comunità FOSS, anche i “pesci” più piccoli.

Proprio come le principali distro (Ubuntu, Fedora, OpenSUSE), l´approccio della fondazione prevede la creazione in pre-bootloader firmato con una chiave Microsoft il cui unico compito sarà quello di avviare il bootloader completo, come ad esempio GRUB 2. L´unica differenza sta nel fatto che questo “shim” bootloader non si preoccuperebbe di stabilire se il bootloader principale è un binario verificato, al contrario di quanto invece faranno le altre distro, con Fedora che potrebbe anche attivare le firme per i moduli del kernel.

Il codice è tutto già pronto e dunque James Bottomley, uno dei principali sviluppatori del kernel, si è avventurato nella procedura di firma dei binari presso Microsoft trovandosi davanti un bel pò di ostacoli il cui risultato finale è che, al momento, Microsoft non ha ancora fornito un bootloader verificato ed usabile. Il processo sembra davvero poco FOSS-friendly: lo strumento per l´upload del binario è realizzato in Silverlight e non è compatibile con la versione open source, Moonlight; è quindi necessario utilizzare una piattaforma proprietaria anche solo per inviarlo.

Dopo vari tentativi, è cominciata una procedura in 7 passi, ma la Linux Foundation è rimasta bloccata per sei giorni circa al passo 6 in attesa che Microsoft rispondesse alla richiesta del supporto. L´errore restituito, lamentavano da Redmond, riguardava il fatto che il binario non era un´applicazione Win32, cosa del tutto ovvia come Bottomley ha fatto notare nella sua risposta, trattandosi di un binario UEFI a 64-bit.

Dopo un ulteriore tentativo in cui si è riusciti a completare la procedura a dispetto dei messaggi di errore, il binario inviato per mail a Bottomley risultava però firmato non con una chiave revocabile della Linux Foundation, ma da un certificato della Microsoft. La Microsoft si è congedata con “Non usi il binario che le è stato inviato e che non è stato firmato correttamente. La terremo aggiornata”. Allo stato attuale quindi non si dispone ancora di questo bootloader, ma a meno di soprese clamorose non ci dovrebbero essere problemi. Quel che è certo è che la procedura messa in piedi da Microsoft è indice di quanto poco Microsoft consideri le necessità delle altre piattaforme di girare sul futuro hardware commodity.