Линуксоидам приготовиться: Сентябрь принесет проблемы с загрузкой из-за ключа Microsoft
Владельцам систем на базе Linux стоит приготовиться к возможным трудностям уже этой осенью. Как стало известно, одиннадцатого сентября истекает срок действия ключа подписи Microsoft Windows Production PCA 2011. Этот сертификат активно используется многими дистрибутивами для загрузки на современном железе с включенной функцией Secure Boot.
Для тех кто не в курсе, Secure Boot это стандартная функция безопасности в прошивке UEFI, которая пришла на смену старому BIOS.
Ее главная задача следить, чтобы при старте компьютера запускалось только доверенное программное обеспечение, подписанное ключом производителя. Это помогает защититься от вредоносных программ вроде буткитов. Поскольку на подавляющем большинстве устройств из коробки стоит Windows, то и ключи безопасности там по умолчанию используются от Microsoft.
Разработчики многих дистрибутивов Linux, чтобы не заставлять пользователей копаться в настройках UEFI, пошли на компромисс.
Они использовали специальную прокладку-загрузчик shim, подписанную тем самым ключом Microsoft, чтобы их система считалась доверенной. Теперь же срок действия этого ключа подходит к концу.
Казалось бы, в чем проблема, ведь Microsoft выпустила новый ключ Microsoft Corporation UEFI CA 2023. Однако загвоздка в том, что для его поддержки на конкретном устройстве необходимо обновление прошивки от производителя железа.
