Secure Boot снова доставляет неудобства Linux-пользователям
Поддержка Secure Boot в Linux снова под угрозой — 11 сентября истекает срок действия Microsoft-подписанного ключа, который используется многими дистрибутивами для обхода ограничений UEFI. Это может привести к тому, что пользователи окажутся зависимыми от производителей оборудования и обновлений прошивки, которые не гарантированы.
Secure Boot — это компонент UEFI, пришедший на смену BIOS, и предназначен для защиты от загрузки неподписанных систем. Для Windows эта функция активируется по умолчанию, а дистрибутивы Linux, как правило, используют промежуточный загрузчик shim, подписанный Microsoft, чтобы обеспечить совместимость. Однако после 11 сентября текущий ключ перестанет использоваться для подписания новых версий shim, а замена, введённая ещё в 2023 году, может не поддерживаться многими устройствами без вмешательства производителей.
Обновление прошивки может потребоваться, чтобы системы приняли новый ключ, но маловероятно, что производители выпустят такие апдейты для большого числа моделей только ради совместимости с Linux. Альтернативой является обновление базы KEK — хранилища доверенных ключей — но этот путь пока не получил широкого признания и может работать нестабильно. Всё это оставляет пользователей и разработчиков перед необходимостью вручную настраивать Secure Boot или вовсе отказываться от его использования.
Некоторые дистрибутивы BSD уже отказались от Secure Boot, сосредоточившись на других методах защиты. Другие, включая популярные Linux-сборки, остаются привязанными к Microsoft-инфраструктуре, что теперь вызывает дополнительную головную боль. Проблема осложняется тем, что для включения Secure Boot после установки Linux нужно либо вручную подписывать загрузчики, либо полагаться на поддержку со стороны оборудования — которая не всегда реализована.
