I Requisiti hardware in Windows hanno sempre promosso una certa confusione e anche questa volta non è tutto chiarissimo. Alexahm Solutions, propone una vasta gamma di notebook equipaggiati con il nuovo sistema operativo Windows 11 pronto per essere utilizzato in tutta sicurezza grazie ai microchip per la sicurezza. Windows 11 per poter essere perfettamente installato richiede un hardware costituito principalmente da componentistica di Tipo TPM (Trsuted Platform Module).
Alexahm Solutions, esperta da anni nella vendita di notebook sempre di ultimissima generazione, propone in offerta questo favoloso Notebook ASUS X415EA-EB577W.
All’annuncio di Windows 8, molti temevano che Microsoft avrebbe usato Avvio protetto (Secure Boot), una funzione dell’allora nuova interfaccia UFI, per contrastare l’installazione di altri sistemi operativi. Permette, infatti, di avviare solo immagini EFI firmate con una chiave crittografica autorizzata contenuta nel firmware e, dato che quasi tutto l’hardware ha chiavi pubbliche Microsoft, era un timore legittimo. L’azienda ha però creato un programmino, Shim, per aiutare altri sistemi operativi a interagire con l’avvio automatico. Shim è un bootloader di primo grado usato da molte distribuzioni (tra cui Debian e Ubuntu) per lanciare il proprio bootloader (di secondo grado).
Secure Boot controlla a ogni passaggio il certificato del successivo, quindi la prima chiave fa da garanzia per le successive. Le distribuzioni possono integrare le loro chiavi in Shim e far firmare il relativo pacchetto a Microsoft. Shim può quindi controllare l’immagine GRUB EFI, firmata con la chiave della distribuzione, e procedere all’avvio. Si possono firmare anche immagini del kernel, moduli e firmware quindi, se vi fidate della crittografia e di Microsoft Signing Authority, Secure Boot vi protegge dal caricamento di malware durante l’avvio. Scegliere di chi fidarsi Naturalmente non tutti si fidano di Secure Boot e quando, nel 2013, Microsoft ha stabilito che l’hardware Windows 8 Ready doveva avere l’avvio protetto abilitato, ha anche incluso che per gli utenti dovesse essere possibile disabilitarlo.
Le condizioni sono rimaste per l’hardware Windows 10 Ready, anche se ora l’opzione di disabilitazione è solo un suggerimento. In ogni caso, non abbiamo mai visto una macchina Windows 10 in cui l’avvio automatico non si possa disabilitare e, se costruite voi il vostro computer, il problema non si pone perché le norme Windows Ready si applicano solo ai produttori che vendono PC con l’OS già installato. Con Windows 11, a essere sotto scrutinio sono però le clausole legate ai chip Trusted Platform Module (TPM). Sono piccoli processori dotati di memoria che le applicazioni possono usare per salvare chiavi, dati di autenticazione o altro a cui non vogliono che altri programmi possano accedere. Per supportare ufficialmente Windows 11, i PC devono anche supportare TPM 2.0. Si può ancora installare l’OS dall’ISO ufficiale anche se il sistema non risponde ai requisiti TPM, ma Microsoft dice che queste installazioni non sono supportate.
MICROCHIP PER LA SICUREZZA
I chip Trusted Platform Module sono diffusi da oltre un decennio e i TPM 2.0 sono stati introdotti nel 2014. La maggior parte delle schede madre dal 2016 in poi ne include uno. I TPM si possono
implementare anche nel firmware (fTPM), ma la protezione che forniscono è minore perché, in teoria, potrebbero cader vittima di un nuovo attacco di tipo Spectre o Meltdown. Gli fTPM non
rispondono però ai requisiti di Windows 11, che potrebbe richiedervi di abilitare i PM attraverso l’interfaccia UEFI (potete trovare le istruzioni in inglese per farlo all’indirizzo https://bit.ly/3CJpF7m). I chip TPM sono pienamente supportati in Linux e si possono usare, per esempio, per proteggere le chiavi SSH (vedi https://bit.ly/3nTtOPJ), sbloccare i volumi criptati con LUKS (con systemd-cryptenroll o Clevis) o persino rendere più sicuro Secure Boot (https://bit.ly/3mllbpo). Ci sono degli stack software separati per TPM 1.2 (TSS o TrouSerS) e TPM 2.0 (tpm2-tools) e trovate delle indicazioni per entrambi nella wiki di Arch all’indirizzo https://bit.ly/2ZIBPyF.