Một sự gián đoạn lớn đang tiến đến với người dùng Linux phụ thuộc vào Secure Boot, khi một chứng chỉ quan trọng của Microsoft được sử dụng để ký shim bootloader sẽ hết hạn vào ngày 11 tháng 9 năm 2024. Việc hết hạn này có thể ngăn cản các bản cài đặt Linux mới khởi động trên các hệ thống có kích hoạt Secure Boot, tạo ra một thách thức đáng kể cho cộng đồng Linux.
Vấn đề này xuất phát từ sự phụ thuộc của các bản phân phối Linux vào cơ sở hạ tầng ký của Microsoft. Vì hầu hết các nhà sản xuất PC đều bao gồm khóa của Microsoft trong firmware của họ theo mặc định, các bản phân phối Linux đã phụ thuộc vào Microsoft để ký shim bootloader của họ - một thành phần quan trọng cho phép Linux khởi động trên các hệ thống có kích hoạt Secure Boot. Khi chứng chỉ từ năm 2011 này hết hạn, phương tiện cài đặt được ký bằng khóa cũ sẽ không còn được firmware tin tưởng.
Ngày quan trọng và Thống kê
- Chứng chỉ Microsoft hết hạn: 11 tháng 9, 2024
- Chứng chỉ thay thế có sẵn từ: 2021
- Chứng chỉ tiếp theo hết hạn: 2038
- Tỷ lệ thành công cập nhật KEK: ~98%
- Tỷ lệ thành công cập nhật cơ sở dữ liệu: ~99%
Cập nhật từ nhà cung cấp phần cứng giữ chìa khóa
Giải pháp phần lớn phụ thuộc vào việc các nhà sản xuất phần cứng cung cấp cập nhật firmware bao gồm chứng chỉ mới hơn từ năm 2021 của Microsoft. Linux Vendor Firmware Service ( LVFS ) và các công cụ như fwupd có thể giúp phân phối các bản cập nhật này, nhưng quá trình này không hoàn hảo. Báo cáo từ cộng đồng cho thấy cập nhật Key Exchange Key ( KEK ) thành công khoảng 98% thời gian, trong khi cập nhật cơ sở dữ liệu đạt tỷ lệ thành công 99%. Tuy nhiên, ngay cả tỷ lệ thất bại 1% cũng ảnh hưởng đến hàng nghìn người dùng trên toàn thế giới.
Một số người dùng gặp phải các phức tạp bổ sung với phần cứng cụ thể. Ví dụ, laptop Lenovo tải các blob firmware Nvidia được ký bởi chứng chỉ Microsoft trước khi truy cập cài đặt UEFI, tạo ra các tình huống khóa tiềm năng khi chứng chỉ hết hạn.
Các Hệ thống Bị ảnh hưởng và Giải pháp Thay thế
- Hầu hết PC: Sẽ hoạt động với các bản cập nhật firmware
- Laptop Lenovo: Có thể yêu cầu quản lý khóa đặc thù của nhà cung cấp do phụ thuộc vào blob Nvidia
- Phần cứng cũ: Khả năng cao gặp vấn đề về không gian biến UEFI
- Hệ thống doanh nghiệp: Có thể cần sự can thiệp của IT để đăng ký MOK
Cộng đồng chia rẽ về giá trị của Secure Boot
Cộng đồng Linux vẫn chia rẽ về tính hữu ích của Secure Boot. Những người chỉ trích cho rằng công nghệ này chủ yếu phục vụ lợi ích của Microsoft hơn là nhu cầu bảo mật thực sự, với một thành viên cộng đồng lưu ý về sự mỉa mai khi phụ thuộc vào cơ sở hạ tầng của Microsoft cho bảo mật Linux. Những người ủng hộ phản bác rằng Secure Boot cung cấp bảo vệ có giá trị chống lại rootkit và các cuộc tấn công cấp độ khởi động, đặc biệt trong môi trường doanh nghiệp.
Thực sự có vẻ như việc có bất kỳ ngày hết hạn nào cho những chứng chỉ này là một sai lầm. Điều duy nhất nó có thể bảo vệ chống lại là một khóa ký bị xâm phạm, nhưng nếu bạn phải đợi 15 năm để một khóa bị xâm phạm ngừng có hiệu lực, thì nó không hữu ích lắm!
Cuộc tranh luận làm nổi bật một căng thẳng cơ bản: trong khi Secure Boot có thể tăng cường bảo mật, việc triển khai của nó mang lại cho Microsoft quyền kiểm soát đáng kể về những gì có thể khởi động trên hầu hết các PC.
Giải pháp thay thế và tùy chọn người dùng
Đối với người dùng gặp vấn đề về chứng chỉ, có một số tùy chọn tồn tại. Giải pháp đơn giản nhất là vô hiệu hóa hoàn toàn Secure Boot, mặc dù điều này loại bỏ các lợi ích bảo mật. Người dùng có kiến thức kỹ thuật hơn có thể đăng ký khóa ký của riêng họ bằng cách sử dụng các công cụ như sbctl trên Arch Linux hoặc hệ thống Machine Owner Key ( MOK ) của Ubuntu.
Tuy nhiên, những giải pháp này đòi hỏi kiến thức kỹ thuật mà nhiều người dùng thiếu. Quá trình đăng ký MOK, đặc biệt, liên quan đến việc điều hướng một giao diện kiểu những năm 1980 đáng sợ trong quá trình khởi động, có thể làm bối rối người dùng không quen thuộc với quy trình này.
Giải pháp kỹ thuật cho người dùng
- Vô hiệu hóa Secure Boot: Giải pháp đơn giản nhất, loại bỏ các lợi ích bảo mật
- Cập nhật firmware: Cài đặt cập nhật qua fwupd/LVFS để có được chứng chỉ mới
- Khóa tùy chỉnh: Sử dụng các công cụ như sbctl ( Arch ) hoặc MOK ( Ubuntu ) để đăng ký khóa riêng
- Khôi phục cài đặt gốc: Xóa BIOS về mặc định để phân mảnh lại không gian biến UEFI
Nhìn về phía trước
Cuộc khủng hoảng hiện tại chỉ đại diện cho sự khởi đầu của những thách thức quản lý chứng chỉ đang diễn ra. Chứng chỉ thay thế của Microsoft hết hạn vào năm 2038, trùng với việc rollover timestamp Unix 32-bit. Thời điểm này cho thấy rằng việc hết hạn chứng chỉ sẽ vẫn là một vấn đề tái diễn đối với hệ sinh thái Linux.
Trong khi hầu hết các hệ thống sẽ vượt qua quá trình chuyển đổi tháng 9 với các bản cập nhật thích hợp, sự cố này nhấn mạnh sự phụ thuộc khó chịu của Linux vào cơ sở hạ tầng của Microsoft. Khi cộng đồng vật lộn với thực tế này, cuộc tranh luận về lợi ích của Secure Boot so với các ràng buộc của nó tiếp tục gia tăng.
Lưu ý: Shim là một bootloader nhỏ hoạt động như một cầu nối giữa firmware UEFI và các bootloader Linux như GRUB. KEK ( Key Exchange Key ) là một khóa cụ thể của nhà cung cấp được sử dụng để cập nhật cơ sở dữ liệu chứng chỉ trong firmware UEFI.
Tham khảo: Linux and Secure Boot certificate expiration