Gangguan besar sedang menuju ke arah pengguna Linux yang bergantung pada Secure Boot , kerana sijil kritikal Microsoft yang digunakan untuk menandatangani pemuat but shim akan tamat tempoh pada 11 September 2024. Tamat tempoh ini boleh menghalang pemasangan Linux baharu daripada but pada sistem dengan Secure Boot diaktifkan, mewujudkan cabaran besar bagi komuniti Linux .
Isu ini berpunca daripada pergantungan pengedaran Linux kepada infrastruktur tandatangan Microsoft . Memandangkan kebanyakan pengilang PC memasukkan kunci Microsoft dalam perisian tegar mereka secara lalai, pengedaran Linux telah bergantung kepada Microsoft untuk menandatangani pemuat but shim mereka - komponen penting yang membolehkan Linux but pada sistem yang diaktifkan Secure Boot . Apabila sijil era 2011 ini tamat tempoh, media pemasangan yang ditandatangani dengan kunci lama tidak akan lagi dipercayai oleh perisian tegar.
Tarikh Utama dan Statistik
- Tamat tempoh sijil Microsoft : 11 September 2024
- Sijil pengganti tersedia sejak: 2021
- Tamat tempoh sijil seterusnya: 2038
- Kadar kejayaan kemaskini KEK : ~98%
- Kadar kejayaan kemaskini pangkalan data: ~99%
Kemas Kini Vendor Perkakasan Memegang Kunci
Penyelesaian sebahagian besarnya bergantung kepada pengilang perkakasan yang menyediakan kemas kini perisian tegar yang merangkumi sijil Microsoft yang lebih baharu dari 2021. Perkhidmatan Perisian Tegar Vendor Linux ( LVFS ) dan alatan seperti fwupd boleh membantu mengedarkan kemas kini ini, tetapi prosesnya tidak sempurna. Laporan komuniti menunjukkan bahawa kemas kini Key Exchange Key ( KEK ) berjaya kira-kira 98% daripada masa, manakala kemas kini pangkalan data mencapai kadar kejayaan 99%. Walau bagaimanapun, walaupun kadar kegagalan 1% mempengaruhi beribu-ribu pengguna di seluruh dunia.
Sesetengah pengguna menghadapi komplikasi tambahan dengan perkakasan tertentu. Komputer riba Lenovo , sebagai contoh, memuatkan blob perisian tegar Nvidia yang ditandatangani oleh sijil Microsoft sebelum mengakses tetapan UEFI , mewujudkan senario penguncian berpotensi apabila sijil tamat tempoh.
Sistem Terjejas dan Penyelesaian Sementara
- Kebanyakan PC: Sepatutnya berfungsi dengan kemas kini perisian tegar
- Komputer riba Lenovo: Mungkin memerlukan pengurusan kunci khusus vendor disebabkan kebergantungan pada blob Nvidia
- Perkakasan lama: Kemungkinan lebih tinggi menghadapi isu ruang pembolehubah UEFI
- Sistem perusahaan: Mungkin memerlukan campur tangan IT untuk pendaftaran MOK
Komuniti Berpecah mengenai Nilai Secure Boot
Komuniti Linux kekal berpecah mengenai kegunaan Secure Boot . Pengkritik berhujah bahawa teknologi ini terutamanya melayani kepentingan Microsoft dan bukannya keperluan keselamatan tulen, dengan seorang ahli komuniti menyatakan ironi bergantung kepada infrastruktur Microsoft untuk keselamatan Linux . Penyokong membalas bahawa Secure Boot menyediakan perlindungan berharga terhadap rootkit dan serangan peringkat but, terutamanya dalam persekitaran perusahaan.
Sebenarnya nampaknya mempunyai sebarang tarikh tamat tempoh untuk sijil-sijil ini adalah satu kesilapan. Satu-satunya perkara yang mungkin dilindungi ialah kunci tandatangan yang terjejas, tetapi jika anda perlu menunggu 15 tahun untuk kunci yang terjejas berhenti sah, ia tidak begitu berguna!
Perdebatan ini menyerlahkan ketegangan asas: walaupun Secure Boot boleh meningkatkan keselamatan, pelaksanaannya memberikan Microsoft kawalan yang ketara ke atas apa yang boleh but pada kebanyakan PC.
Penyelesaian Sementara dan Pilihan Pengguna
Bagi pengguna yang menghadapi isu sijil, beberapa pilihan wujud. Penyelesaian yang paling mudah ialah melumpuhkan Secure Boot sepenuhnya, walaupun ini menghilangkan faedah keselamatan. Pengguna yang lebih mahir secara teknikal boleh mendaftarkan kunci tandatangan mereka sendiri menggunakan alatan seperti sbctl pada Arch Linux atau sistem Machine Owner Key ( MOK ) Ubuntu .
Walau bagaimanapun, penyelesaian ini memerlukan pengetahuan teknikal yang kurang dimiliki oleh ramai pengguna. Proses pendaftaran MOK , khususnya, melibatkan navigasi antara muka gaya 1980-an yang menakutkan semasa but, yang boleh mengelirukan pengguna yang tidak biasa dengan proses tersebut.
Penyelesaian Teknikal untuk Pengguna
- Lumpuhkan Secure Boot: Penyelesaian paling mudah, menghilangkan faedah keselamatan
- Kemas Kini Perisian Tegar: Pasang kemas kini melalui fwupd/LVFS untuk mendapatkan sijil baharu
- Kunci Tersuai: Gunakan alat seperti sbctl ( Arch ) atau MOK ( Ubuntu ) untuk mendaftarkan kunci sendiri
- Tetapan Semula Kilang: Kosongkan BIOS kepada tetapan lalai untuk defragmentasi ruang pembolehubah UEFI
Melihat ke Hadapan
Krisis semasa hanya mewakili permulaan cabaran pengurusan sijil yang berterusan. Sijil pengganti Microsoft tamat tempoh pada 2038, bertepatan dengan peralihan cap masa Unix 32-bit. Masa ini menunjukkan bahawa tamat tempoh sijil akan kekal sebagai isu berulang bagi ekosistem Linux .
Walaupun kebanyakan sistem sepatutnya bertahan dalam peralihan September dengan kemas kini yang betul, insiden ini menggariskan pergantungan Linux yang tidak selesa kepada infrastruktur Microsoft . Semasa komuniti bergelut dengan realiti ini, perdebatan mengenai faedah Secure Boot berbanding kekangannya terus semakin sengit.
Nota: Shim ialah pemuat but kecil yang bertindak sebagai jambatan antara perisian tegar UEFI dan pemuat but Linux seperti GRUB . KEK ( Key Exchange Key ) ialah kunci khusus vendor yang digunakan untuk mengemaskini pangkalan data sijil dalam perisian tegar UEFI .