A Microsoft Secure Boot kulcs lejárata az egész Linux-ökoszisztémát érinti

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

A Microsoft régi Secure Boot aláíró tanúsítványa hamarosan lejár, és ezzel egy fontos átállás indul, ami az egész Linux-ökoszisztémára hatással van.

A 2011-es Microsoft UEFI Certificate Authority, amelyet széles körben használnak a Secure Boot láncban a hagyományos PC-ken, idén júniusban lejár. A Linux disztribúcióknak át kell állniuk a shim aláírásánál az új, 2023-as CA-ra.

Ez komoly ügy a Linux-világban, mert sok disztribúció egy Microsoft által aláírt bootloadert (shim) használ, hogy Secure Boot engedélyezett gépeken elinduljon a Linux. A Secure Boot egy firmware-funkció, amely gondoskodik róla, hogy induláskor csak megbízható szoftver fusson.

Röviden: amikor a számítógép bekapcsol, a firmware ellenőrzi, hogy a legelső boot-komponens megbízható kulccsal van-e aláírva. Ha igen, a rendszerindítás folytatódik, ha nem, a firmware letiltja az indulást.

Windows esetén ez észrevétlenül működik, mert a PC firmware-e általában alapértelmezetten megbízik a Microsoft kulcsait. A legtöbb Linux disztribúciót viszont a fogyasztói és vállalati PC-k firmware-i közvetlenül nem bíznak meg benne.

Erre találtak megoldást a shim használatával. A shim egy kisméretű, első lépcsős UEFI bootloader, amelyet a Microsoft ír alá. A firmware megbízim a shim-ben, a shim pedig már a disztribúció saját kulcsaival ellenőrzi a további Linux boot-komponenseket, például a GRUB-ot és a kernel-t.

A legtöbb meglévő rendszer várhatóan a tanúsítvány lejárta után is gond nélkül fog indulni. Fontos, hogy a lejárat nem távolítja el a régi kulcsot a firmware-ből, és nem vonja vissza a már megbízható bootloadereket. Vagyis egy Linux rendszer, amely ma Secure Boot mellett elindul, önmagában a tanúsítvány lejárata miatt nem fog leállni.

A fő kockázat az átmeneti időszakban jelentkezik. Az új Linux telepítőképfájlok, frissített shim csomagok, mentő- és helyreállító médiumok, régebbi hardverek, dual-boot rendszerek és azok a gépek, amelyek Secure Boot adatbázisa elavult, problémákba ütközhetnek, ha nem ismerik fel az új, 2023-as Microsoft UEFI CA-t. Ha a régi, 2011-es kulcsot túl korán eltávolítják, az szintén indítási gondokat okozhat.

Ez azért kritikus, mert a Secure Boot egy bizalmi láncra épül. Minden lépcsőnek ismernie és meg kell bíznia a következőben. Ha a firmware nem bízik meg abban a kulcsban, amellyel a shim-et aláírták, a shim nem indul el, és a Linux bootloader és a kernel sem tud végigmenni a Secure Boot folyamatán.

Felhasználói oldalról a legfontosabb tanács: tartsd naprakészen az operációs rendszert, a shim csomagokat, a firmware-t és a Secure Boot adatbázis frissítéseit, ahogy azt a disztribúció biztosítja. Ne módosítsd kézzel a Secure Boot kulcsokat, hacsak nem kifejezetten ezt kéri a gyártó vagy a disztribúció.