การหยุดชะงักครั้งใหญ่กำลังจะเกิดขึ้นกับผู้ใช้ Linux ที่พึ่งพา Secure Boot เนื่องจากใบรับรองสำคัญของ Microsoft ที่ใช้ในการลงนาม shim bootloader จะหมดอายุในวันที่ 11 กันยายน 2024 การหมดอายุนี้อาจทำให้การติดตั้ง Linux ใหม่ไม่สามารถบูตได้บนระบบที่เปิดใช้งาน Secure Boot ซึ่งจะสร้างความท้าทายอย่างมากสำหรับชุมชน Linux
ปัญหานี้เกิดจากการที่ Linux distributions พึ่งพาโครงสร้างพื้นฐานการลงนามของ Microsoft เนื่องจากผู้ผลิต PC ส่วนใหญ่รวม key ของ Microsoft ไว้ใน firmware โดยค่าเริ่มต้น Linux distributions จึงต้องพึ่งพา Microsoft ในการลงนาม shim bootloader ซึ่งเป็นส่วนประกอบสำคัญที่ช่วยให้ Linux สามารถบูตได้บนระบบที่เปิดใช้งาน Secure Boot เมื่อใบรับรองจากปี 2011 นี้หมดอายุ สื่อการติดตั้งที่ลงนามด้วย key เก่าจะไม่ได้รับความไว้วางใจจาก firmware อีกต่อไป
วันที่สำคัญและสถิติ
- วันหมดอายุใบรับรอง Microsoft : 11 กันยายน 2024
- ใบรับรองทดแทนมีให้บริการตั้งแต่: 2021
- วันหมดอายุใบรับรองครั้งถัดไป: 2038
- อัตราความสำเร็จในการอัปเดต KEK : ~98%
- อัตราความสำเร็จในการอัปเดตฐานข้อมูล: ~99%
การอัปเดตจากผู้จำหน่าย Hardware คือกุญแจสำคัญ
การแก้ไขปัญหานี้ส่วนใหญ่ขึ้นอยู่กับผู้ผลิต hardware ที่จะต้องให้การอัปเดต firmware ที่รวมใบรับรองใหม่ปี 2021 ของ Microsoft Linux Vendor Firmware Service (LVFS) และเครื่องมืออย่าง fwupd สามารถช่วยในการกระจายการอัปเดตเหล่านี้ได้ แต่กระบวนการนี้ไม่ได้สมบูรณ์แบบ รายงานจากชุมชนระบุว่าการอัปเดต Key Exchange Key (KEK) ประสบความสำเร็จประมาณ 98% ในขณะที่การอัปเดตฐานข้อมูลมีอัตราความสำเร็จ 99% อย่างไรก็ตาม แม้แต่อัตราความล้มเหลว 1% ก็ส่งผลกระทบต่อผู้ใช้หลายพันคนทั่วโลก
ผู้ใช้บางคนต้องเผชิญกับความซับซ้อนเพิ่มเติมกับ hardware เฉพาะ เช่น แล็ปท็อป Lenovo ที่โหลด firmware blobs ของ Nvidia ที่ลงนามด้วยใบรับรองของ Microsoft ก่อนที่จะเข้าถึงการตั้งค่า UEFI ซึ่งสร้างสถานการณ์ที่อาจถูกล็อกออกเมื่อใบรับรองหมดอายุ
ระบบที่ได้รับผลกระทบและวิธีแก้ไขชั่วคราว
- คอมพิวเตอร์ส่วนบุคคลส่วนใหญ่: ควรจะใช้งานได้หลังจากอัปเดตเฟิร์มแวร์
- แล็ปท็อป Lenovo: อาจต้องใช้การจัดการคีย์เฉพาะของผู้ผลิตเนื่องจากการพึ่งพา Nvidia blob
- ฮาร์ดแวร์รุ่นเก่า: มีความเป็นไปได้สูงที่จะเกิดปัญหาเกี่ยวกับพื้นที่ตัวแปร UEFI
- ระบบองค์กร: อาจต้องให้ทีม IT เข้ามาช่วยเหลือสำหรับการลงทะเบียน MOK
ชุมชนแบ่งแยกเรื่องคุณค่าของ Secure Boot
ชุมชน Linux ยังคงแบ่งแยกเรื่องประโยชน์ของ Secure Boot ผู้วิจารณ์โต้แย้งว่าเทคโนโลยีนี้ให้ประโยชน์กับ Microsoft มากกว่าความต้องการด้านความปลอดภัยที่แท้จริง โดยสมาชิกชุมชนคนหนึ่งกล่าวถึงความขัดแย้งของการพึ่งพาโครงสร้างพื้นฐานของ Microsoft เพื่อความปลอดภัยของ Linux ผู้สนับสนุนโต้กลับว่า Secure Boot ให้การป้องกันที่มีค่าต่อ rootkits และการโจมตีระดับ boot โดยเฉพาะในสภาพแวดล้อมองค์กร
จริงๆ แล้วดูเหมือนว่าการมีวันหมดอายุสำหรับใบรับรองเหล่านี้เป็นความผิดพลาด สิ่งเดียวที่อาจป้องกันได้คือ signing key ที่ถูกบุกรุก แต่หากคุณต้องรอ 15 ปีเพื่อให้ key ที่ถูกบุกรุกหยุดใช้งานได้ มันก็ไม่มีประโยชน์มากนัก!
การอภิปรายนี้เน้นย้ำความตึงเครียดพื้นฐาน: แม้ว่า Secure Boot สามารถเพิ่มความปลอดภัยได้ แต่การใช้งานของมันให้ Microsoft ควบคุมอย่างมากว่าอะไรสามารถบูตได้บน PC ส่วนใหญ่
วิธีแก้ไขและตัวเลือกสำหรับผู้ใช้
สำหรับผู้ใช้ที่เผชิญปัญหาใบรับรอง มีตัวเลือกหลายอย่าง วิธีแก้ไขที่ตรงไปตรงมาที่สุดคือการปิดใช้งาน Secure Boot ทั้งหมด แม้ว่าจะทำให้สูญเสียประโยชน์ด้านความปลอดภัย ผู้ใช้ที่มีความรู้ทางเทคนิคมากขึ้นสามารถลงทะเบียน signing keys ของตนเองโดยใช้เครื่องมืออย่าง sbctl บน Arch Linux หรือระบบ Machine Owner Key (MOK) ของ Ubuntu
อย่างไรก็ตาม วิธีแก้ไขเหล่านี้ต้องการความรู้ทางเทคนิคที่ผู้ใช้หลายคนไม่มี กระบวนการลงทะเบียน MOK โดยเฉพาะ เกี่ยวข้องกับการนำทางผ่านอินเทอร์เฟซสไตล์ปี 1980 ที่น่าขนลุกระหว่างการบูต ซึ่งอาจทำให้ผู้ใช้ที่ไม่คุ้นเคยกับกระบวนการนี้สับสน
โซลูชันทางเทคนิคสำหรับผู้ใช้
- ปิดการใช้งาน Secure Boot: โซลูชันที่ง่ายที่สุด แต่จะสูญเสียประโยชน์ด้านความปลอดภัย
- อัปเดตเฟิร์มแวร์: ติดตั้งอัปเดตผ่าน fwupd/LVFS เพื่อรับใบรับรองใหม่
- คีย์แบบกำหนดเอง: ใช้เครื่องมืออย่าง sbctl ( Arch ) หรือ MOK ( Ubuntu ) เพื่อลงทะเบียนคีย์ของตัวเอง
- รีเซ็ตเป็นค่าเริ่มต้น: ล้างค่า BIOS กลับเป็นค่าเริ่มต้นเพื่อจัดระเบียบพื้นที่ตัวแปร UEFI ใหม่
มองไปข้างหน้า
วิกฤตในปัจจุบันเป็นเพียงจุดเริ่มต้นของความท้าทายในการจัดการใบรับรองที่ต่อเนื่อง ใบรับรองทดแทนของ Microsoft หมดอายุในปี 2038 ซึ่งตรงกับการ rollover ของ 32-bit Unix timestamp การจับเวลานี้ชี้ให้เห็นว่าการหมดอายุของใบรับรองจะยังคงเป็นปัญหาที่เกิดขึ้นซ้ำสำหรับระบบนิเวศ Linux
แม้ว่าระบบส่วนใหญ่น่าจะรอดพ้นการเปลี่ยนแปลงในเดือนกันยายนด้วยการอัปเดตที่เหมาะสม แต่เหตุการณ์นี้เน้นย้ำการพึ่งพา Microsoft infrastructure ที่ไม่สบายใจของ Linux ขณะที่ชุมชนต่อสู้กับความเป็นจริงนี้ การอภิปรายเกี่ยวกับประโยชน์ของ Secure Boot เทียบกับข้อจำกัดของมันยังคงทวีความรุนแรงขึ้น
หมายเหตุ: Shim เป็น bootloader ขนาดเล็กที่ทำหน้าที่เป็นสะพานเชื่อมระหว่าง UEFI firmware และ Linux bootloaders อย่าง GRUB KEK (Key Exchange Key) เป็น key เฉพาะของผู้จำหน่ายที่ใช้ในการอัปเดตฐานข้อมูลใบรับรองใน UEFI firmware