A Canonical jelentős változtatást javasolt a Secure Boot terén a Ubuntu 26.10-ben. A cél, hogy az aláírt konfigurációkban csökkentsék a GRUB bootloader funkciókészletét.

A „Streamlining secure boot for 26.10” című javaslatot Julian Klode, a Canonical mérnöke tette közzé a Ubuntu Discourse felületén. Azt ajánlja, hogy Secure Boot rendszerekhez egy minimális GRUB buildet adjanak, így kevesebb kód futna le a kiemelt jogosultságú, rendszerindítás előtti környezetben.

A Secure Boothoz szánt, aláírt GRUB-ból a tervek szerint kikerülne többek között a LUKS lemeztitkosítás, az LVM, a legtöbb md-raid mód, a ZFS, a Btrfs, valamint számos fájlrendszer- és lemezkép-parszolási képesség támogatása. A rendszerindítást egyszerűbb felépítésre alapoznák, jellemzően egy sima ext4

/boot

partícióra GPT-n vagy MBR-en.

A Canonical szerint mindezt a biztonság indokolja. A GRUB még az operációs rendszer betöltése előtt fájlrendszereket, lemezformátumokat és más struktúrákat értelmez. Minden támogatott formátum növeli a támadási felületet, ezért a kör szűkítésével a Secure Boot láncban előforduló sebezhetőségek kockázatát csökkentenék.

Ezek a funkciók továbbra is elérhetők maradnának azokon a rendszereken, amelyek nem használnak Secure Bootot, vagy aláíratlan GRUB buildet használnak. Ezek a konfigurációk viszont nem élveznék a Secure Boot védelmét.

És itt válik igazán érdekessé a dolog. Azok a rendszerek, amelyek a Secure Boot útvonalában nem támogatott funkciókra támaszkodnak, nem tudnának Ubuntu 26.10-re frissíteni a standard release upgraderrel. A Canonical szerint ezek a gépek Ubuntu 26.04 LTS-en maradnának, hacsak nem alakítják át őket.

Ahogy várható volt, a javaslat komoly aggodalmat váltott ki a közösségi vitákban. Sok Ubuntu telepítés, különösen szervereken, titkosított köteteket használ LVM-mel. A felhasználók szerint ha a Secure Boot útvonalából kikerül a támogatás, az a bevált telepítési modellek átalakítását kényszerítené ki.

A ZFS- és Btrfs-felhasználók hasonló aggályokat fogalmaznak meg. Ezeket a fájlrendszereket gyakran használják Snapshot-alapú munkafolyamatokhoz vagy fejlettebb tárolókonfigurációkhoz. Egy külön ext4

/boot

partíció előírása megváltoztatná, hogyan épülnek fel és hogyan tarthatók karban ezek a rendszerek.

Komoly gond a frissítések megakasztása is. Ha az érintett rendszereknél letiltják a frissítést, a felhasználóknak kevés lehetőségük marad: újratelepítés, a tárolóelrendezés átalakítása vagy a Secure Boot kikapcsolása.

Végül, de nem utolsósorban kérdések merültek fel a RAID támogatásával kapcsolatban is, különösen azzal, hogy az md-raid funkcionalitásából pontosan mi maradna meg. Emiatt a javaslat egyes részei nem egyértelműek, például hogy az új modellben miként működnének a tükrözött boot beállítások.

A teljes képhez hozzátartozik, hogy a javaslat az aláírt GRUB buildekből eltávolítaná a PNG és JPEG képfájlformátumok támogatását is. Ezeket a GRUB témák megjelenítéséhez használják, például háttérképekhez, ikonokhoz és a boot menü egyéb vizuális elemeihez. A Canonical szerint a képek dekódolásához szükséges kód megtartása a Secure Boot útvonalában feleslegesen növeli a támadási felületet.

Jelenleg a változtatás még csak javaslat a Ubuntu 26.10-hez. Végleges megvalósítási részleteket vagy döntéseket még nem jelentettek be. A tervezett módosítások léptéke és a közösségi reakciók alapján a vita várhatóan folytatódik, miközben a Canonical finomítja a megközelítését.