Владельцам систем на базе Linux стоит приготовиться к возможным трудностям уже этой осенью. Как стало известно, одиннадцатого сентября истекает срок действия ключа подписи Microsoft Windows Production PCA 2011. Этот сертификат активно используется многими дистрибутивами для загрузки на современном железе с включенной функцией Secure Boot.
Для тех кто не в курсе, Secure Boot это стандартная функция безопасности в прошивке UEFI, которая пришла на смену старому BIOS. Ее главная задача следить, чтобы при старте компьютера запускалось только доверенное программное обеспечение, подписанное ключом производителя. Это помогает защититься от вредоносных программ вроде буткитов. Поскольку на подавляющем большинстве устройств из коробки стоит Windows, то и ключи безопасности там по умолчанию используются от Microsoft.
Разработчики многих дистрибутивов Linux, чтобы не заставлять пользователей копаться в настройках UEFI, пошли на компромисс. Они использовали специальную прокладку-загрузчик shim, подписанную тем самым ключом Microsoft, чтобы их система считалась доверенной. Теперь же срок действия этого ключа подходит к концу.
Казалось бы, в чем проблема, ведь Microsoft выпустила новый ключ Microsoft Corporation UEFI CA 2023. Однако загвоздка в том, что для его поддержки на конкретном устройстве необходимо обновление прошивки от производителя железа. А как мы все знаем, производители не всегда спешат выпускать апдейты для старых систем, тем более ради той части пользователей, кто решил установить альтернативную ОС.
В итоге пользователи Linux рискуют столкнуться с ситуацией, когда их система просто откажется загружаться с включенным Secure Boot. Конечно, можно будет отключить эту функцию в UEFI или попытаться вручную обновить ключи, но это либо снижает общий уровень безопасности, либо требует определенных технических навыков.
При этом для пользователей актуальных версий Windows ситуация выглядит куда проще. Microsoft тоже предупредила о необходимости обновления сертификатов и даже выпустила специальные обновления и скрипты PowerShell для упрощения этого процесса. Ну а на самых свежих ПК такая проблема и вовсе не возникнет.
отключаем Secure Boot и забываем о проблемах мелкомягких
Ага, щяс. Это так не работает.
а как это работает?
(если там не tpm+secure boot+полное шифрование диска)
Именно так это и работает)
Ну я так понимаю, это затронет шизоидов в шапочках из фольги. В интернете куча гайдов, как сменить этот уефи на другой загрузчик, возможно придется пожертвовать налаженной системой и, как говорится в меме «давай по новой, миша…», но пользоваться можно будет дальше. А если получится как писал один из комментаторов, исправить это простым отключением secure boot, то вообще проблема затронет лишь шизоидов оберегать себя всюд и всяк: лично у меня отключен этот секьюр бут. А вот хороший заработок у ремонтников компьютеров обеспечен: некий процент виндовс пользователей и близко знать не будут об этих скриптах и как вообще это запустить. На ажжиотаже могут неплохо так наживиться.
отключение позволяет загружать систему. Проблема в том, что так система станет уязвима для всяких боут-вирусов. Так же других бяк основанных на внедрении на ранних этапах загрузки системы. В том числе спящих. Например щифровальщиках.
Не разбираюсь в таких вопросах, поэтому такой вопросик назрел: а эти самые шифровальщики умеют работать с линукс системами?
хрен знает. Вирусы в Юникс системах слабо освещаются в инфопространстве в отличие от Виндовс.
Все проблемы от мелкософта.
Вся проблема в прогрессе.
Потому что красногоазики выбрали
Да как-то пофиг - как отключил SB лет 5 назад, когда на Arch перешел, так и не включал никогда
сколько лет на винде моей отключена эта фигня , никаких проблем с безопастностями не видел
Новость из пальца высосана, я вообще не знаю кто за это переживает, хоть один уникальный софт который есть на винде? игры лучше запускаются на Ubuntu причем снап с прослойками, SH2R попытался запустить на w11 h24 ни xyя, при том что 30ку на средних без фср выдает на снап протоне, игры издаются портабле, есть эксклюзивы стим но можно эпик или в вайне бутыль сбацать, написали в новостях что w11 h24 лучше стала но я ни из-за этого ее ставил, просто юнити 6 тестил, на холостых грузит память в 2к работает как трактор, аля Unreal 4 or 5 в то время как остров с джунглями в кринже работает со свистом и память не грузит, зато ИИ говорит что юнити легче, мне даже интересно стало прослойка нет все включено и быстрей асма и си++, оказалось выгон.
хз винда 11 мне не нравится я бы остался на 10 но безопасность мне больше важна а так хрень а не 11 прям заметное повышение требовательности за что? по возможности я бы перешёл вообще на steam os или другой дистрибутив на основу но это не рационально из за программа и игр который не поддерживают линукс
Наверное такой то зеон стоит у тебе поменяй бебехи.нет никаких проблем у мене с вин11. Вче четко идет т игры тоже.
напоминаю линукс не только для личных пк но и для серваков (в частности серваков) используют вот теперь думайте
Да всем пофиг на ваши личные пека) тут вопрос для интерпрайза больше актуалне)
Если мягкие запили скрипт для обновления ключа то, наверное и для *nix подобное есть или будет)
Надеюсь не
А оно и до этого для некоторых сборок нужно было просто отключать Secure Boot, в общем новость делает из мухи слона.