Unified Extensible Firmware Interface (UEFI)[1] è un'interfaccia informatica tra ilfirmware e ilsistema operativo di unPC progettata per sostituire ilBIOS a partire dal 2010.
È unbrevetto diIntel, che ha importato formati e funzionalità diMicrosoft Windows[2][3][4]: scritto inlinguaggio C, supporta funzioni ditelecontrollo, diagnostica da remoto,installazione disistemi operativi, o diaggiornamentosoftware anche se nessun sistema operativo risiede nel PC[5], disponibile supiattaformeItanium (IA-64),x86 (a 32 e a64 bit), eARM.
LaUnified EFI Forum è l'associazione diimprese che decide laspecifica tecnica di UEFI e di UEFI 2.0 a partire dal 2006.
La tecnologia originaria venne creata da Intel nel 2003 al momento della presentazione della propria architetturaIA-64 del processoreItanium e poi ripresentata in maniera decisamente più consistente insieme aMicrosoft a fine2003. A partire dal 2005 venne poi ripresa e sviluppata dal consorzio UEFI (Unified EFI Forum).[6]
Dopo un debutto sul mercato agli inizi del2006 grazie ai primiiMac Intel Core Duo diApple, è stata introdotta in volumi con i processori Intel Core con architetturaSandy Bridge, dopo esser stata affiancata a un'altra tecnologia Intel arrivata a fine2005,iAMT per la gestione remota dei sistemi. Il primo chipset di Intel a supportare l'UEFI è arrivato all'inizio del2007 grazie alla piattaforma mobileSanta Rosa basata sul chipsetCrestine e il processoreMerom, ma all'incirca dal 2010 i nuovi PC - e anche leworkstation e iserver - hanno cominciato progressivamente a essere corredati dall'UEFI o comunque con firmware della scheda madre avente almeno come opzione la funzione diefi-boot del sistema operativo. Oltre Apple ancheMSI ha finora proposto schede madri dotate di firmware UEFI. Dal 2011 tutte le nuove schede madri diASUS eASRock implementano firmware UEFI, in vista della sostituzione totale del BIOS a partire dal 2020.[7][8]
È errata l'opinione che l'UEFI sia una tecnologia voluta da o di Microsoft: i fondatori del consorzio (a parte Intel che ha il brevetto) sono i grandi produttori mondiali dell'informatica (tra cui Apple) e tra i membri (tra cui un big come IBM) ci sono anche le grandi società internazionali del mondo Linux e open source. Tutti i principali produttori di componenti (sia HW che SW) fanno parte del forum.
Il consorzio (UEFI forum) revisiona periodicamente la specifica UEFI che, quindi, è identificata con una versione. I produttori devono recepire le modifiche nei firmware da essi sviluppati. Sul sito web del forum sono disponibili anche le versioni superate della specifica tecnica.
Sostanzialmente e per precisione, UEFI ha inglobato, come specifico componente, il BIOS, non lo ha sostituito[9]. Il BIOS continua a essere il firmware incorporato nella scheda madre ma l'UEFI, come nuova interfaccia grafica con l'utente, ne sovrintende l'esecuzione. Inoltre, l'ambiente UEFI, permette di avere molte funzioni aggiuntive rispetto al solo BIOS.
Consente ai produttori di integrare nelfirmware della scheda madre applicazioni e nuove funzionalità, fra cui strumenti per la diagnostica e il ripristino dei dati, servizi di crittografia e funzionalità per la gestione dei consumi, presentando un'interfaccia grafica che consente anche di adoperare unmouse. Ciò è dovuto al fatto che è stata superata la limitazione di comandi a 16 bit e con 1 MB appena di memoria caricata. Inoltre, mediante l'interfaccia UEFI del firmware è possibile eseguire molte operazioni di gestione e amministrazione prima impossibili con BIOS, in aggiunta, le applicazioni e i driver UEFI, essendo indipendenti dal sistema operativo, facilitano la procedura di avvio e offrono flessibilità amministrativa. Con sistemi Windows (si pensi alle versioni server) l'unico sistema per partizionare dischi con capacità maggiore di 2terabytes (per le limitazioni delMBR) è quello di avere una scheda madre dotata di firmware UEFI, utilizzando sistemi operativi a 64 bit per i volumi avviabili.[10]
È in grado di rendere più semplice la gestione remota di PC e server, aiutando così le aziende a ridurre i costi di manutenzione e supporto, e può gestire direttamente le connessioni di rete per connettersi a unaLAN o ainternet. A tal proposito i firmware basati sullo standard UEFI sono dotati di alcune funzionalità specifiche per la gestione delle reti ed eventualmente anche di unbrowserWeb. Inoltre, superando ilMBR e sostituendolo con lo standardGPT, si può partizionare il disco con sole partizioni primarie senza più la necessità di partizioni estese e logiche, può ridurre i tempi di caricamento del sistema operativo e può supportare, similmente a quanto succede con i computer palmari, forme di avvio istantaneo. L'UEFI ha anche il compito di dotare il firmware del PC di un'interfaccia grafica efficace, facile da usare e in grado di supportare le risoluzioni video permesse dalle moderne schede grafiche. In aggiunta a questo, l'UEFI fornisce un ambiente per il bootmultipiattaforma capace di fornire i servizi base richiesti dai sistemi operativi. Infatti, i programmi UEFI sono scritti in linguaggi molto più moderni di quelli utilizzati per sviluppare i BIOS.
Può anche eseguire applicazioni di alto livello scritte attraverso strumenti di programmazione standard. Ciò è reso possibile dal fatto che le interfacce di UEFI si appoggiano su codice in linguaggioC++, evitando così l'utilizzo di codiceassembly utilizzato nei vecchiBIOS.
Secondo Microsoft (che fa parte del consorzio UEFI composto da oltre 140 aziende), il firmware UEFI, oltre a "migliorare l'interoperabilità del software e risolvere le limitazioni del BIOS", presenta i seguenti vantaggi:[11]
Qualsiasi sistema operativo sia installato su un computer dotato di tecnologia UEFI installerà (a meno che la partizione EFI non sia già presente, nel qual caso aggiungerà nella partizione la propria cartella EFI) sul disco una partizione che funge da interfaccia tra il firmware e il sistema operativo stesso: questa partizione è in formatoFAT32 ed è collocata all'inizio del disco ed è necessaria per l'avvio dei sistemi operativi installati, o su memorie di massa avviabili su periferiche esterne; non va confusa, però, né con la partizione di sistema riservata (ad esempio quella di Windows) né con quella di ripristino (recovery). Il menù UEFI di impostazione dell'avvio (boot setup) permette solitamente l'avvio di volumi non EFI e/o il partizionamento MBR: occorre agire sui comandi disponibili che abilitano la modalitàBios legacy, supportata però solo nelle prime versioni, e disabilitando ilsecure boot.
Come è accaduto per il Bios, è errato assimilare superficialmente l'UEFI al firmware (della scheda madre del computer): sono due componenti logicamente e fisicamente contigui ma diversi.
Come detto sopra, la novità più appariscente è l'interfaccia utente che è di tipo grafico (che, tra l'altro, supporta anche il mouse/touchpad). Inoltre consente l'esecuzione di operazioni che l'ambiente BIOS non permetteva (esportare, copiare, eliminare, caricare, accedere alla rete, etichettare, ecc.). Supporta comandi e funzioni di scansione dell'idoneità dei componenti hardware della macchina. Presenta tutte le caratteristiche HW e SW della piattaforma. Dispone di un proprioboot manager, prescindendo da quello del sistema operativo.
L'esistenza della partizione EFI consente di installare strumenti specifici, caricati direttamente dal firmware, a cominciare da utilità di diagnostica e aggiornamento.
Una delle funzioni innovative dell'UEFI è la funzione di registrazione della licenza digitale del sistema operativo in un'area di memorizzazione specifica del chip[12] che ha a bordo il firmware. Questa registrazione (a livello di firmware) integra quella incorporata nel sistema operativo e/o nell'account on line dell'utente (quando previsto dal produttore del sistema operativo).
La registrazione della licenza digitale nell'Uefi consente di certificare la genuità del prodotto, evitare o semplificare l'attivazione del sistema operativo, agevolare il censimento delle licenze, eliminare il ricorso a informazioni "materiali" (es. etichette), non obbligare a digitare gli estremi della chiave (product key o seriale), impedire la pirateria e altro.
Le licenze digitali possono essere caricate dal produttore del dispositivo (system integrator) in sede di preinstallazione del sistema operativo (factory setup)[13] oppure registrate quando l'utente acquista una licenza digitale di un sistema operativo. Una scheda madre nuova (acquistata come articolo a sé stante) non contiene alcuna licenza digitale di sistema operativo.Si noti che una licenza digitale potrebbe anche essere impiegata indipendentemente dall'onerosità del prodotto (ad esempio sistemi operativifreeware).
UEFI ha un proprio gestore di avvio (boot manager)[14] che identifica, memorizza ed elenca qualsiasi sistema avviabile (quindi non solo sistemi operativi ma anche ambienti di ripristino e simili). Nel caso di sistemi permanenti (in pratica installati nella memoria di massa) la voce (entry) EFI di ciascun caricatore di avvio (boot loader) presente è registrata nella sezioneOS boot manager nell'elenco delle periferiche di avvio della macchina. Queste voci sono scritte nel menù del gestore di avvio Uefi da parte dei (boot manager) dei sistemi operativi in fase di installazione. Non vanno però confuse le due cose: il gestore di avvio UEFI appartiene al firmware (ambiente pre-sistema operativo, archiviato in un chip montato sulla scheda madre della macchina); un gestore di avvio (di un sistema operativo qualsiasi) appartiene al sistema operativo stesso (archiviato su una unità locale o accessibile da un percorso di rete).
Ambienti UEFI un po' più avanzati di quelli basici hanno dei comandi incorporati per manipolare (spostare, eliminare, copiare, ecc.) le voci nella schermata di avvio della sezione delle unità locali fisse.
Avvio protetto (secure boot) è la tecnologia UEFI che consente di bloccare caricatori di avvio (boot loader),kernel edriver non certificati dal consorzio o, più precisamente, non firmati con unachiave crittografica autorizzata, contenuta in un archivio del firmware. Lo scopo è principalmente la sicurezza[15]: impedire chemalware o altre minacce (ad esempio modifiche ai certificati non validate) possano essere avviati all'accensione/riavvio della macchina costituendo così un grave rischio per il sistema (inteso come intera macchina, dato che il firmware è a monte del sistema operativo).
La tecnologia si basa su una catena ditrust (autenticità, fidatezza): una serie di chiavi (pubbliche e private) e dicertificati (digitali), tra cui il componente fondamentale è la chiave di piattaforma (Platform Key - PK ancheMachine-Owner Key - MOK) generata, firmata, caricata e registrata (enrolled)[16] dal produttore del dispositivo in fabbrica (setup mode) oppure successivamente dall'utilizzatore utilizzando chiavi di fondazioni Open Source o proprietarie. La funzione esamina le chiavi e i certificati archiviati in una memoria fisica montata sullascheda madre (secure boot database), sottoposti ad aggiornamento da parte del produttore della macchina/scheda madre quando distribuisce una nuova versione EFI, eliminabili (clear), a volte esportabili su chiavetta USB, personalizzabili (user mode) e ricaricabili (load cioèreset) tramite copia di riserva predefinita di fabbrica[17] (questa operazione esegue il rinnovo della chiave che diventa "registrata", riportando lo stato di avvio protetto in "attivato"[18]). Avvio protetto può essere abilitato quando il sistema è in modalità utente e tale modalità è impostabile solo quando si è registrata la chiave di piattaforma (PK). Se si elimina dal sistema la chiave PK si porta in stato disabilitato (cioè grigio, non impostabile) avvio sicuro e occorrerà successivamente registrare nuovamente una chiave di piattaforma (solitamente quella del produttore OEM, predefinita di fabbrica) per poter abilitare e, di conseguenza attivare, avvio sicuro.
Per poter eseguire componenti privi di chiave certificata oppure sistemi legacy (modalità BIOS) o consentire la configurazione MBR occorre disabilitare l'avvio protetto e/o abilitare il modulo di compatibilità (CSM-Compatibility Support Module). Un altro metodo è quello di operare nella sezione "autorizzati" (signature database) caricando certificati personalizzati.
La piattaforma permette al produttore della macchina di memorizzare i termini dell'eventuale garanzia fornita, in primis la data di scadenza. In questo modo l'utente può monitorare lo stato della garanzia sia attraverso il menù del firmware che attraverso strumenti del costruttore (applicazione o sito web).
Rispetto a quanto temuto durante lo sviluppo della tecnologia, qualsiasi sistema UEFI, di qualunque produttore, permette di avviare qualsiasi sistema operativo, sia in modalitàEFI (se supportata) chelegacy. Questo è possibile grazie alCompatibility Support Module (CSM) ovvero disattivando il "secure boot" ed, eventualmente, attivando illegacy support solo per le versioniclass 0.[19]
Uefi, per sua natura, richiede periodici aggiornamenti della piattaforma da parte dei produttori. Questi aggiornamenti non sono limitati a nuove funzioni, miglioramento delle prestazioni, correzione dei difetti ma, spesso, contengono riparazioni a vulnerabilità di sicurezza. È importante eseguire gli aggiornamenti perché gli antimalware dei sistemi operativi non agiscono sulle vulnerabilità Uefi (si diffondono agenti maligni specifici per l'Uefi rispetto ai quali, una volta che hanno infettato l'ambiente, anche la completa formattazione dell'unità non serve a nulla).
Rispetto al Bios, l'aggiornamento Uefi è più affidabile in relazione alle anomalie del processo diflashing (la scrittura istantanea del firmware archiviato nel chip relativo). Solitamente esiste una procedura di emergenza che ripristina il firmware nel caso di danni cagionati dal processo di aggiornamento (il più grave è il mancato avvio e/o accensione). Comunque, la procedura va sempre eseguita con cautela e perizia, con macchina connessa all'alimentazione elettrica e, per i notebook, con dispositivo a piena carica. Questa riscrittura potrebbe anche sanare un firmware infettato da malware Uefi.
Lo stesso argomento in dettaglio:Windows RT § Avvio protetto.Il requisito che i dispositivi certificati perWindows RT devono essere venduti con l'avvio protetto non disattivabile incontrò le critiche soprattutto degli sviluppatori disoftware libero, che sentivano che Microsoft stava tentando di esercitare ilvendor lock-in impedendo agli utenti di installare sistemi operativi alternativi comeLinux.
Il 20 settembre2011 Matthew Garrett, uno sviluppatore diRed Hat, segnalò il possibile rischio che Microsoft avrebbe potuto escludere i sistemi operativi alternativi dai dispositivi certificati per Windows 8,[26] dando origine ad un'ampia copertura mediatica sull'argomento.[27][28] Secondo Garrett, se gliOEM si fossero limitati a includere nei loro dispositivi la sola chiave privata di Microsoft, all'utente non sarebbe stato permesso di avviare néLinux né alcun altro sistema operativo all'infuori di Windows 8. L'adozione di versioni firmate di Linux in sistemi regolarmente dotati delle relative chiavi UEFI avrebbe per giunta fatto sorgere delle ulteriori problematiche: per esempio, non si sarebbe potuto utilizzare ilboot loaderGRUB perché la versione 3 della licenzaGPL con cui è concesso richiede che il distributore fornisca all'utente tutte le chiavi di autorizzazione necessarie per installare il software.[29]
Il team di sviluppo di Windows 8 assicurò in seguito nel blog ufficialeBuilding Windows 8 che gli OEM sarebbero stati liberi di personalizzare il loro firmware, per esempio offrendo un'opzione per disattivare l'avvio protetto.[30]
Il 28 ottobre 2011Canonical eRed Hat, due delle maggiori società coinvolte inLinux, pubblicarono unlibro bianco sulla questione, esortando i produttori ad includere nei PC un'interfaccia utente per attivare o disattivare facilmente l'avvio protetto.[31]
Nel gennaio 2012 suscitò nuove preoccupazioni,[32][33] in particolare nella comunitàLinux,[34] un documento in cui Microsoft stabiliva che, a differenza dei PC basati sulle architettureIA-32 ex86-64, i dispositivi basati suarchitettura ARM sarebbero stati esclusi dal programma di certificazione per Windows RT se avessero consentito la disattivazione dell'avvio protetto.[35] Adrian Kingsley-Hughes di ZDNet suggerì tra le altre ipotesi che Microsoft stesse escludendo gli altri sistemi per motivi divendor lock-in.[36] Matthew Garrett intanto evidenziò le difficoltà nell'implementazione dell'avvio protetto in Linux, tra cui la complicazione del processo di installazione di un sistema operativo alternativo e la difficoltà nel persuadere gli OEM a vendere computer con la chiave alternativa insieme alla chiave Microsoft.[37]
I requisiti contrattuali Microsoft, al contrario di quanto previsto dalle specifiche UEFI, impongono che il kernel e i suoi moduli debbano essere firmati; Microsoft si riserva il diritto di revocare qualsiasi certificato usato per firmare del codice che può essere usato per compromettere la sicurezza del sistema.[38] Nel febbraio 2013, uno sviluppatore di Red Hat ha tentato di applicare una patch al kernel di Linux che consentirebbe ad esso di analizzare la firma Authenticode di Microsoft usando una chiaveX.509 master incorporata in filePE firmati da Microsoft, ma la scelta è stata criticata daLinus Torvalds, il creatore di Linux.[39]
Il 26 marzo 2013 il gruppo spagnolo di sviluppo di software libero Hispalinux ha depositato una lamentela formale presso laCommissione europea, contestando il fatto che i requisiti per l'avvio protetto imposti da Microsoft sui sistemi OEM sono ostruttivi e anti-competitivi.[40]
A maggio 2021 la guida di Debian, al paragrafo Uefi-Avvio protetto, chiarisce che tale protocollo di sicurezza "non è un tentativo di Microsoft di tenere fuori dal mercato Linux"[41] ma uno strumento per evitare l'esecuzione di codice maligno nell'ambiente pre-sistema operativo. Pertanto, i timori diffusisi a inizio anni 2010 non si sono concretizzati, atteso che del consorzio Uefi fanno parte centinaia di operatori, non solo Microsoft. Inoltre, anche altri grandi produttori di sistemi operativi per apparecchiature fisse (ad esempio Apple o IBM) impiegano il secure boot con chiavi proprietarie.
Per i sistemi operativi alternativi aWindows sono state trovate varie soluzioni: ad esempio alcune importantidistribuzioni GNU/Linux hanno sviluppato deiworkaround per aggirare le restrizioni imposte da Microsoft. Lo stesso Matthew Garrett ha sviluppato unboot loader minimo noto come "shim"; unsoftware precompilato e firmato che consente all'utente di considerare attendibili le chiavi fornite dai distributori.[42]
Sistemi proprietari (hardware e software integrati e marchiati) come quelli Apple o IBM preinstallano chiavi specifiche.
Siccome Microsoft non ha stabilito alcuna imposizione riguardo alla possibilità di installare certificati di terze parti che permetterebbero l'esecuzione di software alternativo,[37] gli sviluppatori diFedora Linux hanno scelto di acquistare per la versione 18 di Fedora una chiave di sicurezza, daVeriSign al prezzo scontato di 99$ tramite il Centro per sviluppatori Windows,[43][44] sollevando alcune critiche nella comunitàLinux.[45][46]
La chiave acquistata è stata impiegata per firmare ilboot loader shim, che serve per svolgere un unico compito: si limita infatti a verificare l'integrità diGRUB e a caricarlo, poiché anche GRUB e il kernel (a sua volta caricato da GRUB) sono firmati, anche se con chiavi generate dal progetto Fedora.[29]
Per assicurarsi di non violare la licenza diGRUB,Ubuntu ha adottato a partire dalla versione 12.04 ilboot loaderefilinux, firmato con una chiave generata daCanonical, che secondo laFree Software Foundation, sarebbe preoccupazione infondata.[47]
Efilinux ha poi il compito di avviare un'immagine del kernel non firmata (al contrario di Fedora), ritenendo che la firma del solo boot loader sia una soluzione più fattibile, poiché un kernel fidato renderebbe sicuro solo lo spazio dell'utente e non lo stato pre-avvio del sistema (che l'avvio protetto è progettato per proteggere), e inoltre vogliono permettere agli utenti di creare e utilizzare i propri moduli di kernel personalizzati.[48]
L'avvio delle installazioni da chiavetta USB (o da DVD) di Ubuntu al contrario si basa su una soluzione analoga a quella scelta da Fedora: queste immagini d'installazione di Ubuntu fanno uso del boot loader shim, lo stesso di Fedora, firmato con una delle chiavi esistenti certificate da Microsoft.[49]
Canonical ha dichiarato di non offrire la propria chiave privata per firmare i boot loader di altri distributori e venditori, ma di imporre agli OEM accreditati di offrire anche la chiave privata Microsoft oltre a quella di Canonical per evitare di escludere dalle macchine con Ubuntu preinstallato i sistemi operativi che si appoggiano ad una chiave Microsoft, come Fedora e Windows 8.[29]
Ubuntu ha aggiunto il supporto all'avvio protetto UEFI a partire dalla versione 12.10.[50]
Nell'ottobre 2012, prima della pubblicazione diWindows 8, laLinux Foundation ha annunciato di stare sviluppando un boot loader UEFI minimo firmato con una chiave Microsoft che servirà per avviare il boot loader principale. Tuttavia, per mantenere la sicurezza e per impedire che il boot loader venga utilizzato per caricare silenziosamente del malware, l'avvio richiederà l'input dell'utente.[51]
Sono disponibili applicazioni, sia a pagamento che gratuite, che manipolano l'ambiente UEFI (aggiungere, modificare o eliminare voci nel gestore di avvio, agire sulla partizione EFI, caricare o modificare certificati, eliminare le eventuali licenze software registrate e tante altre). Queste applicazioni (sostanzialmente di tiposhell) sono utili soprattutto quando i comandi nativi del produttore della macchina sono scarsi o poco amichevoli. Ovviamente, essendo strumenti eseguiti sul firmware (ambiente pre sistema operativo), agiscono a prescindere dal numero e tipologia di installazioni esistenti. Possono essere usate anche attraverso sessionilive.
Tra le altre si citano:
La specifica è periodicamente revisionata; ogni revisione è identificata dall'indice di modifica unitamente alla relativa data. Da quando è stato distribuito la prima volta il protocollo è cambiato sostanzialmente numerose volte[52] e pertanto i produttori hanno dovuto applicare questi cambiamenti. Sul sito del consorzio è disponibile l'archivio delle specifiche tecniche.
L'ultima versione della specifica UEFI è la 2.11 (dicembre 2024).
Altri progetti
Wikimedia Commons contiene immagini o altri file suUEFI
Portale Informatica: accedi alle voci di Wikipedia che trattano di informatica