Quando passi da modalità Legacy a UEFI su un BIOS Lenovo, non stai semplicemente cambiando un’impostazione “tecnica”: stai attivando un modello di sicurezza completamente diverso, basato su fiducia crittografica.
Ed è proprio qui che entrano in gioco le chiavi di Secure Boot.
Per capire perché è necessario il reset delle chiavi, bisogna partire da cosa cambia davvero tra Legacy e UEFI. In modalità Legacy (BIOS tradizionale), il firmware non verifica nulla: carica semplicemente il bootloader presente sul disco. In modalità UEFI, invece, entra in funzione il Secure Boot, che controlla che ogni componente del processo di avvio sia firmato digitalmente e quindi “affidabile”.
Il ruolo delle chiavi nel Secure Boot
4
Il Secure Boot funziona grazie a un insieme di chiavi crittografiche memorizzate nel firmware:
- PK (Platform Key) → stabilisce chi è il proprietario della piattaforma
- KEK (Key Exchange Key) → gestisce gli aggiornamenti delle chiavi
- db (database) → contiene le firme autorizzate
- dbx → contiene firme revocate (blacklist)
Queste chiavi definiscono una catena di fiducia: se il bootloader (ad esempio quello di Microsoft Windows Boot Manager) è firmato con una chiave presente nel database, allora il sistema può avviarsi. Altrimenti viene bloccato.
Perché il passaggio da Legacy crea un problema
Quando il sistema è stato usato in modalità Legacy, il Secure Boot non è mai stato attivo.
Di conseguenza:
- Le chiavi potrebbero non essere inizializzate
- Oppure potrebbero essere in stato inconsistente (Setup Mode)
- Oppure ancora essere state modificate, cancellate o mai caricate correttamente
Quando passi a UEFI e provi ad attivare il Secure Boot senza fare reset, il firmware può trovarsi in una situazione del tipo:
“Non ho una catena di fiducia valida → non posso garantire la sicurezza → blocco o disabilito Secure Boot”
Cosa fa davvero il “Reset delle Factory Keys”
5
Quando esegui il reset delle chiavi:
- Il BIOS carica un set standard e certificato di chiavi (tipicamente quelle di Microsoft e OEM)
- Porta il sistema da Setup Mode → User Mode
- Ripristina una catena di fiducia completa e valida
- Consente al Secure Boot di essere attivato senza errori
In pratica, è come dire al firmware:
“Riparti da una configurazione sicura, riconosciuta e compatibile con i sistemi operativi moderni.”
Il punto chiave (quello che spesso non viene detto)
Il motivo reale non è “perché lo chiede Lenovo”, ma questo:
–
–Secure Boot non può esistere senza una root of trust valida
–La root of trust è definita dalle chiavi
–Il reset serve a ricostruire questa fiducia da zero
Senza questo passaggio, il firmware non può garantire che il bootloader sia legittimo, e quindi non attiva la protezione.
Collegamento pratico con Windows
Sistemi come Windows 11 richiedono:
- UEFI attivo
- Secure Boot attivo
- Disco in GPT
Se non resetti le chiavi:
- Secure Boot resta disabilitato o in errore
- Windows potrebbe non soddisfare i requisiti
- Oppure il boot potrebbe fallire (in casi più estremi)
In sintesi, ma senza banalizzare
Passare da Legacy a UEFI è un cambio di paradigma:
non è solo “come si avvia il PC”, ma come il PC decide di fidarsi di ciò che avvia.
Il reset delle chiavi serve a:
- inizializzare la fiducia
- allineare il firmware agli standard moderni
- rendere possibile l’attivazione reale del Secure Boot
Quando un sistema è stato utilizzato in modalità Legacy, è molto probabile che il Secure Boot sia stato disattivato oppure che il sistema di chiavi non sia mai stato inizializzato. Nel momento in cui si passa a UEFI e si tenta di attivare Secure Boot, il firmware si trova davanti a una condizione particolare: o le chiavi non sono coerenti con lo stato atteso, oppure sono presenti configurazioni residue che derivano da installazioni precedenti, magari da test, da imaging aziendali o da sistemi operativi installati senza UEFI.
Ed è proprio qui che entra in gioco il reset delle Factory Keys. Lenovo permette di ripristinare le chiavi di fabbrica per riportare il sistema in uno stato “trusted baseline”, cioè uno stato noto e certificato dal produttore. Senza questo passaggio, il Secure Boot potrebbe non attivarsi correttamente perché il firmware non ha una base di fiducia valida su cui costruire la catena di verifica. In altre parole, anche se UEFI è attivo, il Secure Boot resta in uno stato “non operativo” o “setup mode”, perché manca la radice di fiducia necessaria.
Il reset delle Factory Keys non è quindi un’operazione cosmetica, ma una vera e propria ricostruzione del perimetro di sicurezza. È come se si dicesse al firmware: “dimentica tutte le chiavi personalizzate o residue e torna allo stato originale certificato Lenovo”. Solo a questo punto il sistema può entrare in modalità Secure Boot “User Mode”, dove le firme dei sistemi operativi e dei bootloader vengono effettivamente validate.
Se questo passaggio non viene fatto, possono verificarsi diversi comportamenti: il Secure Boot non si abilita, il sistema continua a bootare in modalità non protetta, oppure Windows può segnalare che il Secure Boot non è attivo anche se l’opzione sembra abilitata nel BIOS. In contesti aziendali, questo può avere impatti anche su BitLocker e sulle policy di compliance, perché la catena di avvio sicuro non viene considerata valida.
In sintesi, il passaggio da Legacy a UEFI non è solo un cambio di modalità, ma un cambio di paradigma di sicurezza. Il reset delle Factory Keys serve a riallineare il firmware a uno stato certificato, senza il quale Secure Boot non può garantire la sua funzione principale: assicurare che il sistema operativo venga avviato solo se integro e non modificato.
Tabella comparativa BIOS UEFI – BIOS LEGACY e Reset Factory Keys
| Aspetto | BIOS Legacy | UEFI | Reset Factory Keys |
|---|---|---|---|
| Architettura di avvio | Firmware tradizionale BIOS con MBR | Firmware moderno con supporto GPT | Ripristino del set di chiavi UEFI originali del produttore |
| Sicurezza avvio | Nessun controllo firme digitali | Secure Boot con verifica firme | Necessario per inizializzare la catena di fiducia |
| Gestione dischi | MBR, limiti dimensione e partizioni | GPT, supporto dischi moderni e grandi | Non applicabile direttamente ma richiesto per coerenza Secure Boot |
| Stato Secure Boot | Non supportato o disattivo | Attivo o configurabile | Porta il sistema da “Setup Mode” a “User Mode” |
| Compatibilità OS | Sistemi legacy e vecchi OS | Sistemi moderni (Windows 10/11, Linux UEFI) | Richiesto per riconoscere bootloader firmati validi |
| Catena di trust | Assente | Basata su PK, KEK, db, dbx | Ripristina chiavi originali Lenovo/Microsoft |
| Impatto su boot | Avvio diretto senza verifica | Avvio controllato e firmato | Rende possibile l’attivazione corretta del Secure Boot |
