Vi siete mai sentiti come degli inquilini in una casa che, a metà notte, decide di cambiare la serratura e dirvi che non potete più entrare in cucina perché la vostra chiave non è ‘certificata’? Ecco, è esattamente quello che sta succedendo al nostro hardware.
Semplificando il gergo tecnico (che tanto amiamo, ma che qui serve solo a mascherare cattive intenzioni), l’Hardware Attestation è quel processo con cui un componente elettronico ‘dimostra’ di essere esattamente quello che dice di essere, tramite una firma digitale crittografica. In teoria, è una figata: serve a garantire che il firmware non sia stato manomesso da un malware bastardo. In pratica, sta diventando il nuovo recinto per il vendor lock-in definitivo.
Il punto sollevato da GrapheneOS è pesantissimo: l’attestazione hardware sta evolvendo da strumento di sicurezza a abilitatore di monopoli. Se un servizio o un’app può decidere di funzionare solo se il tuo hardware presenta una specifica ‘certificazione’ che solo il produttore originale può emettere, che fine fa la libertà? Che fine fa la possibilità di flashare una ROM custom, di modificare il bootloader o di usare componenti compatibili ma non ‘brandizzati’?
Per noi che passiamo le serate a far girare controller retro su Raspberry Pi, a modificare macchine CNC con schede controller alternative o a cercare di far dialogare vecchi pezzi di ricambio con nuovi script Python, questa è una notizia pessima. Se l’ecosistema si chiude su se stesso tramite una verifica hardware blindata, l’innovazione dal basso muore. Non potremo più ‘aprire’ le cose per vedere come sono fatte, perché il sistema si rifiuterà semplicemente di eseguire il codice se non riconosce la firma del padrone di casa.
È la morte del DIY (Do It Yourself) come lo conosciamo. Non è solo questione di privacy, è questione di proprietà. Se non puoi controllare l’integrità del software che gira sul tuo silicio senza chiedere il permesso a un server remoto di una multinazionale, allora quel silicio non è veramente tuo. È solo in prestito, con clausole scritte in caratteri minuscoli dentro un protocollo crittografico.
Quindi, la prossima volta che leggete di ‘nuovi standard di sicurezza hardware garantita’, non fatevi incantare dal marketing. Spesso, sotto quella patina di protezione, si nasconde solo un altro lucchetto per impedire a noi smanettoni di fare quello che sappiamo fare meglio: rompere le regole e costruire qualcosa di nuovo.