Закінчення сертифіката Secure Boot від Microsoft: важливий момент для екосистеми Linux

Сертифікат підпису Secure Boot від Microsoft наближається до закінчення, що розпочинає важливу трансформацію, яка вплине на широку екосистему Linux.

Трансформація із застарілого сертифіката Secure Boot

Сертифікат авторитету UEFI від Microsoft 2011 року, який широко використовувався у ланцюзі Secure Boot на стандартних ПК, завершить свою дію цього червня. Дистрибутивам Linux необхідно перейти на новий сертифікат CA 2023 року.

Це має велике значення для екосистеми Linux. Багато дистрибутивів залежать від завантажувача з підписом Microsoft (називається shim), щоб запустити Linux на пристроях з увімкненим Secure Boot. Ця функція мікропрограми забезпечує запуск тільки надійного програмного забезпечення під час старту.

Процес запуску Linux на Secure Boot

Коли комп’ютер вмикається, мікропрограма перевіряє, чи підписано початковий компонент завантаження надійним ключем. Якщо він підходить, процес завантаження триває; інакше мікропрограма його блокує.

Для Windows цей процес проходить безперешкодно, оскільки мікропрограми ПК зазвичай за замовчуванням довіряють ключам Microsoft. Однак, більшість дистрибутивів Linux не є безпосередньо довіреними мікропрограмою на споживчих та корпоративних ПК.

Використання shim для забезпечення довіри

Для вирішення цієї проблеми багато хто використовує shim, невеликий завантажувач UEFI першої стадії, підписаний Microsoft. Мікропрограма довіряє shim, що, у свою чергу, перевіряє наступні компоненти завантаження Linux, такі як GRUB і ядро, за допомогою власних ключів дистрибуції.

Очікується, що більшість існуючих систем продовжать завантаження після закінчення терміну дії старого сертифіката. Важливо, що закінчення терміну дії не видаляє старий ключ з мікропрограми або не скасовує вже довірені завантажувачі. Тому система Linux, що завантажується сьогодні з увімкненим Secure Boot, не повинна зазнати невдачі лише через закінчення сертифіката.

Основні ризики під час переходу на новий сертифікат

Головний ризик полягає у перехідному періоді. Нові образи встановлення Linux, оновлені пакети shim, рятувальні носії, застаріле обладнання, систею з подвійним завантаженням і машини зі старими базами даних Secure Boot можуть зіткнутися з проблемами. Це станеться, якщо вони не зможуть розпізнати новий сертифікат Microsoft UEFI CA 2023.

Видалення старого ключа 2011 року завчасно також може спричинити проблеми під час завантаження.

Як підтримувати безперебійне завантаження Linux

Це критично важливо, оскільки Secure Boot залежить від ланцюга довіри. Кожен етап має визнавати і довіряти наступному. Якщо мікропрограма не довіряє ключу, використаному для підписання shim, то shim не стартує, а завантажувач Linux і ядро не можуть продовжити процес Secure Boot.

Для користувачів ключова порада – підтримувати операційну систему, пакети shim, мікропрограми та оновлення бази даних Secure Boot в актуальному стані, як це передбачено дистрибуціями. Пам’ятайте: уникайте ручного змінення ключів Secure Boot, якщо на це не вказує постачальник або дистрибуція.