Komponen infrastruktur keselamatan kritikal yang membolehkan pengedaran Linux berfungsi dengan teknologi Secure Boot Microsoft sedang menghampiri tarikh tamat tempohnya, berpotensi mewujudkan isu keserasian yang ketara bagi pengguna yang bergantung pada sistem pengendalian bukan- Windows . Situasi ini menyerlahkan hubungan kompleks antara piawaian keselamatan dan keserasian merentas platform dalam pengkomputeran moden.
Memahami Rangka Kerja Secure Boot
Secure Boot mewakili lapisan keselamatan asas yang terbina dalam Unified Extensible Firmware Interface ( UEFI ), yang sebahagian besarnya telah menggantikan sistem BIOS tradisional dalam komputer kontemporari. Piawaian keselamatan ini memastikan peranti but menggunakan hanya perisian yang dipercayai oleh pengilang, mewujudkan rantaian kepercayaan dari peringkat firmware hingga ke sistem pengendalian. Sistem ini bergantung pada struktur pangkalan data yang kompleks termasuk pangkalan data tandatangan, tandatangan yang dibatalkan, dan Key Enrollment Keys yang disimpan dalam RAM tidak meruap firmware semasa pembuatan.
Kawalan Microsoft ke atas infrastruktur ini berpunca daripada prapasangan Windows yang meluas pada kebanyakan peranti komersial. Walaupun piawaian Secure Boot secara teknikalnya tidak menghalang pemasangan sistem pengendalian alternatif, ia mewujudkan halangan praktikal yang didapati mencabar oleh ramai pengguna untuk dinavigasi.
Komponen Pangkalan Data Secure Boot
- db: Pangkalan data tandatangan yang mengandungi tandatangan yang dipercayai
- dbx: Pangkalan data tandatangan yang dibatalkan untuk perisian yang disekat
- KEK: Pangkalan data Key Enrollment Key untuk pengurusan tandatangan
- PK: Platform Key yang digunakan untuk menandatangani kemas kini KEK atau melumpuhkan Secure Boot
- Lokasi penyimpanan: Firmware non-volatile RAM (NV-RAM)
Tarikh Akhir September 2025
Kunci bertandatangan Microsoft yang kini digunakan oleh banyak pengedaran Linux untuk menyokong fungsi Secure Boot dijadualkan tamat tempoh pada 11 September 2025. Tamat tempoh ini menjejaskan mekanisme shim yang digunakan oleh pelbagai pengedaran Linux dan FreeBSD untuk membina sokongan Secure Boot mereka di atas infrastruktur sedia ada Microsoft . Tanpa lapisan keserasian ini, sistem mungkin gagal untuk but pengedaran Linux dengan selamat, memaksa pengguna memilih antara keselamatan dan fleksibiliti sistem pengendalian.
Kunci pengganti telah tersedia sejak 2023, tetapi penggunaannya merentas ekosistem perkakasan masih tidak lengkap. Banyak sistem sedia ada tidak mempunyai sokongan untuk kunci baharu, dan melaksanakan sokongan ini memerlukan tindakan daripada pengilang peralatan asal yang mungkin tidak mengutamakan kemas kini untuk peranti lama atau kurang popular.
Garis Masa Tamat Tempoh Kunci
- Kunci tandatangan Microsoft semasa tamat tempoh: 11 September 2025
- Ketersediaan kunci pengganti: Sejak 2023
- Sistem yang terjejas: Pengedaran Linux yang menggunakan mekanisme shim Microsoft
- Tindakan diperlukan: Kemas kini perisian tegar daripada OEM atau pengurusan kunci secara manual
Cabaran Pengilang Perkakasan
Penyelesaian isu keserasian ini sangat bergantung pada kesediaan pengilang perkakasan untuk mengedarkan kemas kini firmware. Pengilang menghadapi dua pendekatan berpotensi: melaksanakan kemas kini firmware penuh atau mengemaskini pangkalan data Key Enrollment Key melalui mekanisme yang lebih baharu dan kurang terbukti. Kedua-dua penyelesaian menimbulkan cabaran, terutamanya untuk perkakasan lama di mana pengilang mungkin mempunyai insentif terhad untuk melabur dalam kemas kini yang menguntungkan peratusan yang agak kecil pengguna yang menjalankan sistem pengendalian bukan- Windows .
Situasi menjadi lebih kompleks apabila mempertimbangkan landskap pelbagai pengilang perkakasan dan tahap komitmen mereka yang berbeza-beza terhadap sokongan jangka panjang. Sesetengah pengguna mungkin mendapati diri mereka tidak dapat mengekalkan fungsi Secure Boot dengan pengedaran Linux pilihan mereka, berpotensi memaksa mereka melumpuhkan ciri keselamatan ini sepenuhnya.
Implikasi Keselamatan dan Kesan Pengguna
Ironi situasi ini terletak pada fakta bahawa Secure Boot sendiri telah menghadapi banyak kelemahan keselamatan, termasuk isu meluas seperti BootHole dan BlackLotus , serta masalah khusus pengilang yang menjejaskan papan induk MSI dan Gigabyte . Walaupun kecacatan ini, teknologi ini memainkan peranan penting dalam mencegah pemasangan perisian hasad bootkit.
Pengguna yang menghadapi peralihan ini mungkin perlu menavigasi penyelesaian teknikal yang kompleks, termasuk menjana dan menandatangani kunci mereka sendiri secara manual atau melumpuhkan Secure Boot sepenuhnya. Bagi pengguna yang kurang teknikal, pilihan ini mungkin terbukti tidak praktikal, berpotensi mendorong mereka ke arah Windows atau meninggalkan sistem mereka lebih terdedah kepada ancaman keselamatan.
Sistem Pengoperasian yang Terjejas
- Sokongan Secure Boot penuh: Kebanyakan pengedaran Linux yang menggunakan Microsoft shim, FreeBSD
- Tiada sokongan Secure Boot: NetBSD, OpenBSD, dan varian BSD lain
- Tidak terjejas: Windows (menggunakan infrastruktur tandatangan asli Microsoft)
- Pilihan pengguna: Lumpuhkan Secure Boot, penjanaan kunci manual, atau menunggu kemas kini perisian tegar
Pertimbangan Masa Depan
Tamat tempoh ini mewakili satu lagi titik geseran dalam hubungan berterusan antara dominasi ekosistem Microsoft dan penggunaan sistem pengendalian alternatif. Ketika Windows 10 menghampiri penghujung hayatnya dan pengguna mencari alternatif, kebolehcapaian pemasangan Linux yang selamat menjadi semakin penting. Pelaksanaan Secure Boot semasa mungkin memerlukan perubahan asas untuk lebih menampung kepelbagaian pilihan sistem pengendalian yang semakin berkembang sambil mengekalkan piawaian keselamatan yang teguh.
Penyelesaian isu ini berkemungkinan bergantung pada usaha yang diselaraskan antara Microsoft , pengilang perkakasan, dan penyelenggara pengedaran Linux untuk memastikan peralihan yang lancar bagi pengguna yang bergantung pada fungsi secure boot merentas sistem pengendalian yang berbeza.