Boot UEFI Bootloader Boot Bootloader của Microsoft sẽ hết hạn vào tháng 9, đặt ra sự cố cho người dùng Linux

Người dùng Linux có thể gặp khó khăn với Secure Boot khi khóa ký bởi Microsoft, được nhiều bản phân phối sử dụng, hết hạn vào ngày 11 tháng 9. Điều này khiến người dùng phụ thuộc vào bản phân phối từ các nhà sản xuất thiết bị gốc (OEM) và có thể không nhận được cập nhật firmware cần thiết. Secure Boot là một phần của Unified Extensible Firmware Interface (UEFI), thay thế hệ thống BIOS trên các hệ thống hiện đại.

Mặc dù vẫn thường được gọi là BIOS, bài viết của Microsoft về tính năng này giải thích rằng đây là một tiêu chuẩn bảo mật được phát triển bởi các thành viên trong ngành công nghiệp PC, nhằm đảm bảo rằng thiết bị khởi động chỉ với phần mềm đáng tin cậy từ nhà sản xuất. Các nhà sản xuất có trách nhiệm lưu trữ cơ sở dữ liệu chữ ký, cơ sở dữ liệu chữ ký bị thu hồi và cơ sở dữ liệu khóa đăng ký trong bộ nhớ RAM không bay hơi (NV-RAM) khi sản xuất.

Nhà sản xuất khóa firmware không cho chỉnh sửa, ngoại trừ các bản cập nhật được ký đúng khóa hoặc bởi người dùng có mặt trực tiếp sử dụng menu firmware. Sau đó, họ tạo ra một khóa nền tảng PK để ký các bản cập nhật cho KEK hoặc tắt Secure Boot. Các đối tác của AMD phát hành bản cập nhật BIOS mới để vá lỗi TPM và sửa lỗi vi mã Zen 5 quan trọng — các đối tác cung cấp BIOS mới với AGESA 1.

Phiên bản 2.0.3C của Battlefield 2024 yêu cầu khởi động an toàn để chống gian lận, tương tự như Valorant. Các yêu cầu này không cấm việc cài đặt hệ điều hành không phải Windows, nhưng hầu hết thiết bị đều được cài sẵn hệ điều hành của Microsoft. Do đó, việc cài đặt hệ điều hành khác đòi hỏi người dùng phải tắt Secure Boot, và điều này giả định họ biết về UEFIBIOS, cách điều hướng và thay đổi cài đặt khởi động.

Câu hỏi đặt ra là liệu hệ điều hành đã cài đặt có cho phép bật lại Secure Boot sau khi đã cài đặt cùng hoặc thay thế Windows hay không. Điều này khiến các nhà phân phối hệ điều hành phải quyết định giữa việc loại bỏ hoàn toàn hỗ trợ Secure Boot, yêu cầu người dùng tự tạo và ký các khóa, hoặc tìm cách sử dụng db, dbx và KEK do Microsoft kiểm soát để kích hoạt Secure Boot trong hệ thống của họ.

NetBSD, OpenBSD và một số hệ điều hành khác đã chọn phương án đầu tiên, trong khi một số bản phân phối Linux và FreeBSD đã sử dụng một shim để xây dựng hỗ trợ Secure Boot dựa trên hạ tầng của Microsoft. Theo LWN, Microsoft sẽ ngừng sử dụng khóa hết hạn để ký shim vào tháng 9. Tuy nhiên, khóa thay thế, đã có từ năm 2023, có thể không được cài đặt trên nhiều hệ thống, và có thể yêu cầu nhà cung cấp phần cứng phải phát hành bản cập nhật firmware cho hệ thống, điều này chưa chắc sẽ xảy ra.

Hầu hết các hệ thống sẽ không bị mất mát, nhưng cần thêm công sức từ các nhà phân phối và người dùng. Báo cáo cho biết các nhà sản xuất có thể thêm hỗ trợ cho khóa mới qua cập nhật firmware hoàn chỉnh hoặc cập nhật cơ sở dữ liệu KEK. Cách đầu tiên giả định rằng các nhà sản xuất quan tâm đến việc phát hành cập nhật firmware cho nhiều sản phẩm, trong khi cách thứ hai là cơ chế chưa được chứng minh và không đảm bảo hoạt động trên tất cả các thiết bị.

Cả hai dường như sẽ để lại một số người tự tìm giải pháp. Tất cả điều này liên quan đến một tính năng có nhiều lỗ hổng, như BootHole và BlackLotus, và chỉ giới hạn ở các bo mạch chủ từ một số nhà sản xuất như MSI và Gigabyte. Việc khắc phục các lỗ hổng này không phải lúc nào cũng được hoan nghênh, vì chúng đã bị khai thác để cho phép cài đặt Windows 11 trên các hệ thống thiếu mô-đun nền tảng tin cậy TPM 2.

Nhiều người không muốn bị kẹt với Windows 10 nhưng cũng không muốn mua phần cứng mới. Secure Boot có sức hấp dẫn vì nó giúp khó khăn hơn trong việc cài đặt bootkits. Tuy nhiên, rắc rối với việc xử lý khóa hết hạn đang khiến người dùng gặp nhiều phiền toái, khiến họ có xu hướng tiếp tục sử dụng Windows hoặc tắt Secure Boot. Hiện tại, nhiều người chọn giữ lại Windows, nhưng điều này có tiếp tục khi các nền tảng khác ngày càng phổ biến hơn trước khi Windows 10 không còn? Liệu Secure Boot có sẵn sàng cho sự chuyển mình này? Hãy theo dõi Toms Hardware trên Google News để cập nhật tin tức, phân tích và đánh giá mới nhất.

Hãy nhớ nhấn nút Theo dõi.

Nguồn: www.tomshardware.com/tech-industry/cyber-security/microsoft-signing-key-required-for-secure-boot-uefi-bootloader-expires-in-september-which-could-be-problematic-for-linux-users