В современном мире безопасности компьютеров все большее значение приобретает технология Secure Boot, обеспечивающая целостность загрузочного процесса и предотвращающая запуск неподписанного или вредоносного кода при включении системы. Linux-пользователи, использующие Secure Boot, в значительной мере зависят от сертификатов, встроенных в прошивку UEFI их устройств. Однако наступает период, когда ключи, подписи и сертификаты, используемые в этой цепочке доверия, истекают, что может привести к серьезным проблемам при установке и обновлении систем Linux с активированным Secure Boot. Ключевым игроком в этой ситуации является Microsoft, чьи сертификаты и ключи широко используются в UEFI-среде для обеспечения совместимости и подписи загрузчиков и драйверов, необходимых для Secure Boot на большинстве ПК. На сентябрь 2025 года запланировано истечение срока действия некоторых ключей Microsoft, что ставит под угрозу использование текущих версий загрузчиков, таких как shim, которые позволяют Linux запускается с включенным Secure Boot.
Проблематика связана с тем, что подписание shim осуществляется с использованием сертификата Microsoft, выпущенного в 2011 году, срок действия которого истекает в сентябре 2025 года. После этой даты такие загрузчики не смогут быть подписаны с этим сертификатом, и установка новых систем Linux или обновление загрузчиков без соответствующей поддержки нового сертификата Microsoft станет невозможной на части устройств. При этом новая версия сертификата, известная как Microsoft UEFI CA 2023, уже существует, но далеко не на всех устройствах она установлена в базу данных прошивки. Нередко добавление нового ключа требует обновления прошивки от производителя устройства, и некоторые вендоры могут не обеспечить такие обновления, оставляя пользователей перед необходимостью отключать Secure Boot или не иметь возможности устанавливать новые версии операционных систем с поддержкой Secure Boot. Сам механизм Secure Boot предполагает, что система предварительно доверяет ряду ключей, хранящихся в переменных UEFI базы данных, такой как db (для дозволенных подписей), dbx (черный список), KEK (Key Exchange Key) и PK (Platform Key).
Эти ключи обеспечивают аутентификацию запускаемых образов и загрузчиков и связывают безопасность загрузки с аппаратным обеспечением. Обновления ключей в таких системах могут происходить разными способами. Некоторые обновления требуют полной перепрошивки BIOS или UEFI, что сложнее и зависит от активности производителя устройства. Другой путь обновления возможен через механизм обновления KEK, который позволяет первично обновить ключи обмена, подписанные платформенным ключом производителя, и затем обновить базу данных доверенных сертификатов, включая новые Microsoft-ключи. Инструмент fwupd совместно с репозиторием LVFS (Linux Vendor Firmware Service) играет масштабную роль в упрощении процесса доставки и установки таких обновлений из-под Linux.
Однако пользователи могут столкнуться с проблемами. Прежде всего, не все устройства поддерживают обновление KEK без перепрошивки, некоторые BIOS имеют ограниченное или фрагментированное пространство для EFI-переменных, что вызывает сбои при развертывании обновлений. Простые решения, например перезагрузка и сброс BIOS к заводским настройкам, помогают устранить эту проблему на некоторых платформах, однако не на всех. Несовершенство процесса обновления ключей усложняет плавный переход на новые сертификаты. Еще одна сложность — сроки жизни сертификатов.
В случае с UEFI Secure Boot у многих разработчиков и производителей возникает вопрос о том, насколько вообще целесообразно проверять дату истечения сертификата. Поскольку системное время в прошивках не всегда надежно защищено от манипуляций, а время может сбрасываться, воздействуя на проверку сертификатов, нередко реализации просто игнорируют даты истечения или имеют в коде специальные обходы. Это приводит к ситуации, когда устройства с просроченными сертификатами продолжают работать, при этом обновлять и поддерживать новое ПО становится проблематично. Для пользователей Linux последствия могут выражаться в том, что новые установочные образы с shim, подписанным уже новым сертификатом Microsoft, не смогут загрузиться на старых системах без обновления UEFI и ключей. Это создает барьер для новых установок Linux с Secure Boot.
Уже установленные системы, использующие собственные ключи и загруженные через shim, продолжат работать, так как загрузчик уже подписан и проверка происходит корректно в рамках существующей базы ключей. Однако обновления shim, устраняющие проблемы безопасности или баги, сделать без перехода на новый сертификат уже не удастся. Решения, которые рекомендуются и внедряются ведущими дистрибутивами, зачастую связаны с выпуском специального ремонтного или обновляющего загрузочного образа, который позволяет обновить базу ключей через fwupd и LVFS, если аппаратное обеспечение и прошивка это поддерживают. Также некоторые производители плат активно выпускают обновления BIOS, добавляющие новые сертификаты и ключи, что позволяет сохранить полноценную поддержку Secure Boot. В противном случае пользователям приходится либо отключать Secure Boot, либо использовать менее защищённые сценарии загрузки.
Отдельной темой являются пользователи, которые внедряют собственные ключи Secure Boot. Это менее распространено, так как требует более глубоких технических знаний и корректного управления базой ключей. Такие пользователи могут оказаться менее зависимыми от ключей Microsoft, но для установки новых дистрибутивов и подписания shim все равно должна быть обеспечена доверенная цепочка ключей в UEFI. Проблема истечения срока действия ключей и сертификатов — это не только технический вызов, но и вопрос взаимодействия между производителями оборудования, софтверными поставщиками и конечными пользователями. В условиях, когда большая часть железа изначально заточена под работу с платформой Windows и ключами Microsoft, а Linux является сторонней стороной, поддержка Secure Boot требует дополнительных усилий в сфере обновления прошивок и механизмов подписания загрузчиков.
Нельзя забывать и о влиянии на систему безопасности в целом. Использование устаревших загрузчиков с известными уязвимостями из-за невозможности их обновления под просроченными сертификатами снижает эффективность Secure Boot и может создавать ложное чувство защищенности у пользователей. Это подчеркивает важность своевременного обновления прошивок и ключей, а также необходимость повышения осведомленности пользователей об этих процессах. Таким образом, истечение срока действия сертификатов Secure Boot на базе UEFI — это важный вызов для системы Linux и ее экосистемы. Хотя основная масса оборудования от крупных производителей в настоящее время охвачена программами обновления ключей через LVFS и fwupd, существует значительный пласт устройств, получивших мало или вовсе никаких обновлений, в результате чего для их владельцев придется принимать непростые решения.
Влияние проблемы затрагивает установку новых и обновление уже существующих операционных систем с поддержкой Secure Boot, заставляя увлекаться совместимостью, безопасностью и взаимодействием с производителями оборудования. Для пользователей Linux крайне важно следить за обновлениями firmware своего устройства, за обновлениями дистрибутивов и utilites вроде fwupd, а также за возможностями самостоятельной загрузки и переключения между ключами Secure Boot при необходимости. В некоторых случаях придется прибегнуть к отключению Secure Boot для успешной установки или обновления системы, что снижает уровень безопасности, но обеспечивает практическую работоспособность. В конечном итоге ситуация с истечением Secure Boot сертификатов требует усилий как со стороны аппаратных производителей, так и со стороны сообществ и компаний, поддерживающих Linux, для того чтобы переход на новые ключи и сертификацию произошел максимально плавно и безболезненно. Совместная работа в этой области позволит Linux-дистрибутивам сохранить поддержку Secure Boot, необходимую для обеспечения современного уровня безопасности и удобства установки ОС.
Без этого многие пользователи рискуют столкнуться с ограничениями, не позволяющими им полноценно использовать возможности современной безопасной загрузки на своих системах.
