Пользователи Linux могут столкнуться с препятствием, связанным с Secure Boot —11 сентября истечёт срок действия подписанного Microsoft ключа, используемого многими дистрибутивами для поддержки функции безопасности на базе прошивки. В результате системы, возможно, не получат её необходимое обновление.
Secure Boot — часть унифицированного расширяемого интерфейса прошивки (UEFI), который пришёл на смену базовой системе ввода-вывода (BIOS) в современных системах. В Microsoft объясняют, что это «стандарт безопасности, разработанный представителями компьютерной индустрии, чтобы гарантировать, что устройство загружается только с использованием программного обеспечения, которому доверяет производитель».
Производители должны обеспечить хранение «базы данных подписей (db), базы данных отозванных подписей (dbx) и базы данных ключей регистрации ключей (KEK)» в энергонезависимой памяти прошивки (NV-RAM) на этапе производства. Затем производитель «блокирует прошивку от редактирования, за исключением обновлений, подписанных правильным ключом, или обновлений, выполняемых физически присутствующим пользователем через меню прошивки». Ни одно из этих требований не препятствует установке операционных систем, отличных от Windows. Однако большинство устройств поставляются с предустановленной ОС Microsoft, а это означает, что для установки другой ОС требуется сначала отключить безопасную загрузку.
Таким образом, неясно, можно ли в повторно включить безопасную загрузку после установки другой ОС вместе с Windows или вместо неё.
Это ставит дистрибьюторов операционных систем перед выбором: полностью отказаться от поддержки Secure Boot; ожидать, что пользователи будут генерировать и подписывать собственные ключи; или найти способ использовать контролируемые Microsoft ключи db, dbx и KEK для включения Secure Boot в своих системах. NetBSD, OpenBSD и некоторые из их аналогов остановились на первом варианте, в то время как некоторые дистрибутивы Linux и FreeBSD выбрали третий, используя «прокладку» для создания поддержки Secure Boot поверх инфраструктуры Microsoft.
Теперь же Microsoft прекратит использовать истекающий ключ для подписи «прокладки». «Новый ключ, который доступен с 2023 года, может быть не установлен на многих системах; что ещё хуже, это может потребовать от поставщика оборудования выпуска обновления прошивки системы, что может произойти, а может и не произойти. Похоже, подавляющее большинство систем не будет потеряно в процессе обновления, но это может потребовать дополнительных усилий со стороны дистрибьюторов и пользователей», — отмечается в отчёте LWN.
Там также говорится, что производители могут добавить поддержку нового ключа в полное обновление прошивки или путём обновления базы данных KEK. Первый вариант предполагает, что производители будут заинтересованы в распространении обновления прошивки для широкого спектра продуктов, чтобы небольшой процент их пользователей мог использовать Secure Boot с ОС, отличной от Windows; второй вариант — непроверенный механизм, работа которого не гарантирована на всех устройствах. В обоих случаях, по крайней мере, некоторым пользователям придётся искать решение самостоятельно.
В июне Microsoft предупредила организации и пользователей о том, что они должны убедиться в актуальности своих сертификатов Secure Boot. С проблемой просроченных сертификатов могут столкнуться физические и виртуальные машины с поддерживаемыми версиями Windows 10, Windows 11, Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2. Однако проблема не затронет ПК Copilot+, выпущенные в 2025 году.
Источник: habr.com