Истечение срока действия ключа безопасной загрузки Microsoft влияет на экосистему Linux

Срок действия устаревшего сертификата подписи Secure Boot от Microsoft подходит к концу, что знаменует собой важный переход, который повлияет на всю экосистему Linux.

Срок действия центра сертификации Microsoft UEFI от 2011 года, широко используемого в цепочке безопасной загрузки на стандартных ПК, истекает в июне этого года. Разработчики дистрибутивов Linux должны перенести путь подписи на более новый центр сертификации 2023 года.

Это важно для экосистемы Linux, поскольку многие дистрибутивы зависят от подписанного Microsoft загрузчика (так называемой прослойки) для запуска Linux на компьютерах с поддержкой безопасной загрузки — функции встроенного ПО, которая обеспечивает запуск только доверенного программного обеспечения при старте системы.

Вкратце: при включении компьютера встроенное программное обеспечение проверяет, подписан ли начальный загрузочный компонент доверенным ключом. Если подпись действительна, процесс загрузки продолжается, в противном случае встроенное программное обеспечение блокирует его.

Для Windows этот процесс не представляет сложности, поскольку встроенное ПО ПК по умолчанию доверяет ключам Microsoft. Однако большинство дистрибутивов Linux не поддерживаются встроенным ПО потребительских и корпоративных компьютеров.

Чтобы решить эту проблему, многие используют shim — небольшой загрузчик UEFI первого этапа, подписанный Microsoft. Прошивка доверяет shim, который затем проверяет последующие компоненты загрузки Linux, такие как GRUB и ядро, с помощью собственных ключей дистрибутива.

Ожидается, что большинство существующих систем продолжат загружаться после истечения срока действия старого сертификата. Важно отметить, что истечение срока действия не приводит к удалению старого ключа из встроенного ПО и не отменяет доверие к уже проверенным загрузчикам. Таким образом, система Linux, которая сегодня загружается с включенной функцией безопасной загрузки, не выйдет из строя только из-за истечения срока действия сертификата.

Основной риск связан с переходным периодом. Новые установочные образы Linux, обновленные пакеты-прослойки, аварийные носители, устаревшее оборудование, системы с двойной загрузкой и компьютеры с устаревшими базами данных Secure Boot могут столкнуться с проблемами, если не распознают новый сертификат Microsoft UEFI CA 2023 года. Преждевременное удаление старого ключа 2011 года также может привести к проблемам с загрузкой.

Это очень важно, поскольку безопасная загрузка зависит от цепочки доверия. Каждый этап должен распознавать следующий этап и доверять ему. Если встроенное ПО не доверяет ключу, используемому для подписи прослойки, она не запустится, и загрузчик Linux и ядро не смогут пройти процесс безопасной загрузки.

Пользователям рекомендуется регулярно обновлять операционную систему, пакеты-прослойки, встроенное ПО и базу данных Secure Boot в соответствии с рекомендациями дистрибутивов. Помните: не меняйте ключи Secure Boot вручную, если только этого не требует производитель или разработчик дистрибутива.

Редактор: AndreyEx