Der Ablauf des Microsoft Secure Boot-Schlüssels wirkt sich auf das Linux-Ökosystem aus

Die UEFI-CA-Zertifizierung von Microsoft aus dem Jahr 2011 läuft im Juni dieses Jahres aus, was Linux-Distributionen dazu zwingt, die Shim-Signatur zu aktualisieren, um die Secure-Boot-Unterstützung auch in Zukunft zu gewährleisten.
Eine Übersetzung von 🇬🇧 Linuxiac.com

Das bisherige Secure-Boot-Signaturzertifikat von Microsoft läuft bald ab, was einen wichtigen Übergang einleitet, der sich auf das gesamte Linux-Ökosystem auswirkt.

Die Microsoft UEFI-Zertifizierungsstelle aus dem Jahr 2011, die in der Secure-Boot-Kette auf Standard-PCs weit verbreitet ist, läuft im Juni dieses Jahres ab, und Linux-Distributionen müssen ihren Shim-Signaturpfad auf die neuere Zertifizierungsstelle von 2023 umstellen.

Dies ist für das Linux-Ökosystem von großer Bedeutung, da viele Distributionen auf einen von Microsoft signierten Bootloader (genannt „Shim“) angewiesen sind, um Linux auf Maschinen mit aktiviertem Secure Boot zu starten – einer Firmware-Funktion, die sicherstellt, dass beim Start nur vertrauenswürdige Software ausgeführt wird.

Kurz gesagt: Wenn ein Computer hochfährt, überprüft die Firmware, ob die erste Boot-Komponente mit einem vertrauenswürdigen Schlüssel signiert ist. Ist dies der Fall, wird der Boot-Vorgang fortgesetzt; andernfalls blockiert die Firmware ihn.

Unter Windows verläuft dieser Vorgang nahtlos, da die PC-Firmware standardmäßig den Schlüsseln von Microsoft vertraut. Die meisten Linux-Distributionen genießen jedoch kein direktes Vertrauen der Firmware auf Consumer- und Unternehmens-PCs.

Um dieses Problem zu lösen, verwenden viele shim, einen kleinen, von Microsoft signierten UEFI-Bootloader der ersten Stufe. Die Firmware vertraut shim, das daraufhin nachfolgende Linux-Bootkomponenten wie GRUB und den Kernel mithilfe der distributionsspezifischen Schlüssel überprüft.

Es wird erwartet, dass die meisten bestehenden Systeme auch nach Ablauf des alten Zertifikats weiterhin booten. Wichtig ist, dass der Ablauf des Zertifikats weder den alten Schlüssel aus der Firmware entfernt noch bereits vertrauenswürdige Bootloader widerruft. Daher sollte ein Linux-System, das heute mit aktiviertem Secure Boot bootet, nicht allein aufgrund des Ablaufs des Zertifikats ausfallen.

Das Hauptrisiko liegt in der Übergangsphase. Neue Linux-Installationsimages, aktualisierte Shim-Pakete, Rettungsmedien, ältere Hardware, Dual-Boot-Systeme und Rechner mit veralteten Secure-Boot-Datenbanken können Probleme bekommen, wenn sie die neuere Microsoft-UEFI-CA von 2023 nicht erkennen. Das vorzeitige Entfernen des alten Schlüssels von 2011 kann ebenfalls zu Boot-Problemen führen.

Dies ist von entscheidender Bedeutung, da Secure Boot auf einer Vertrauenskette basiert. Jede Stufe muss die nächste erkennen und ihr vertrauen. Wenn die Firmware dem zur Signierung des Shim verwendeten Schlüssel nicht vertraut, wird der Shim nicht gestartet, und der Linux-Bootloader sowie der Kernel können den Secure-Boot-Prozess nicht fortsetzen.

Für Benutzer lautet der wichtigste Ratschlag, das Betriebssystem, die Shim-Pakete, die Firmware und die Secure-Boot-Datenbank auf dem neuesten Stand zu halten, wie von den Distributionen bereitgestellt. Denken Sie daran, Secure-Boot-Schlüssel nicht manuell zu ändern, es sei denn, dies wird von einem Hersteller oder einer Distribution ausdrücklich empfohlen.

Spendieren Sie Bobby einen ☕ Ko-fi

s3n🧩net wünscht viel Vergnügen