Korisnici Linuxa u problemima zbog skorog isteka Microsoftova Secure Boota

Korisnici Linuxa mogli bi se uskoro suočiti s još jednom preprekom vezanom uz Secure Boot, jer će Microsoftov potpisani ključ, koji koriste mnoge distribucije za podršku ovoj sigurnosnoj značajci temeljnoj na firmwareu, isteći 11. rujna.

Time bi korisnici mogli postati ovisni o proizvođačima (OEM-ovima), a postoji mogućnost da njihovi sustavi neće dobiti potrežno ažuriranje firmwarea.

Što je Secure Boot?

Riječ je o dijelu UEFI-ja (Unified Extensible Firmware Interface) koji je zamijenio BIOS (Basic Input/Output System) na modernim računalima. Prema Microsoftu, to je sigurnosni standard razvijen od strane članova PC industrije kako bi se osiguralo da se uređaj pokreće isključivo pomoću softvera kojem proizvođač vjeruje.

Na proizvođačima je odgovornost da baze potpisa (db), opozvane potpise (dbx) i ključeve za upis (KEK) pohrane u NVRAM (neizbrisivu memoriju firmwarea) tijekom proizvodnje. Nakon toga, proizvođač zaključava firmware tako da se može mijenjati samo uz ažuriranja potpisana ispravnim ključem ili ručno putem izbornika firmwarea od strane fizički prisutnog korisnika. Platformski ključ (PK) koristi se potom za potpisivanje izmjena KEK baze ili za isključivanje Secure Boota.

Što to znači za Linux korisnike?

Ništa od ovih zahtjeva ne sprječava instalaciju operativnih sustava koji nisu Windows. No, budući da većina uređaja dolazi s predinstaliranim Windowsom, instalacija alternativnog sustava zahtijeva da korisnik prvo deaktivira Secure Boot.

Pitanje je zatim omogućava li novi OS ponovno uključivanje Secure Boota nakon instalacije – bilo umjesto Windowsa ili uz njega.

Distributeri operativnih sustava moraju donijeti odluku: potpuno izostaviti podršku za Secure Boot; očekivati da korisnici generiraju i potpisuju vlastite ključeve; ili koristiti Microsoftovu infrastrukturu (db, dbx, KEK) uz pomoć tzv. shima (programskog posrednika) za omogućavanje Secure Boota.

NetBSD, OpenBSD i neke druge specijalizirane distribucije odabrale su prvu opciju, dok su neke Linux distribucije i FreeBSD odabrale treću – korištenjem shima koji je potpisan Microsoftovim ključem.

Problem s istekom ključa

LWN (plaćeni sadržaj) izvijestio je da će Microsoft u rujnu prestati koristiti ključ koji istječe za potpisivanje shima. Zamjenski ključ, koji je dostupan od 2023., možda još uvijek nije instaliran na mnogim sustavima; još gore, možda će biti potreban firmware update od strane proizvođača, što se možda neće dogoditi. Čini se da većina sustava neće biti izgubljena u tom prijelazu, ali to bi moglo zahtijevati dodatni trud od strane distributera i korisnika.

Proizvođači mogu podržati novi ključ putem potpunog firmware ažuriranja ili ažuriranjem KEK baze. Prva opcija pretpostavlja da bi proizvođači bili voljni objaviti update za širok spektar uređaja zbog manjeg broja korisnika koji žele koristiti Secure Boot bez Windowsa; druga je eksperimentalna i nije zajamčena da će raditi na svim uređajima. Oboje ostavlja barem dio korisnika da sami pronađu rješenja.

Ironično, sve se to događa zbog značajke koja je imala brojne ranjivosti – od široko poznatih poput BootHole i BlackLotus, do onih ograničenih na ploče određenih proizvođača poput MSI-a i Gigabytea. Ispravljanje sigurnosnih rupa nije uvijek dobrodošlo, budući da su neke ranjivosti iskorištene kako bi se omogućila instalacija Windowsa 11 na sustavima bez TPM 2.0, za one koji ne žele ostati na Windowsu 10, ali isto tako ne žele kupiti novo računalo.

Secure Boot ima svoju privlačnost – otežavanje instalacije malicioznih bootkita definitivno je pozitivno. No problem s istekom ključa samo je najnoviji u nizu frustracija koje korisnike potiču da ostanu na Windowsu ili potpuno deaktiviraju Secure Boot.