A számítógépek indítási biztonságáért felelős Secure Boot rendszer alapvető változás előtt áll. A Microsoft által még 2011-ben kibocsátott első digitális tanúsítványok érvényességi ideje hamarosan lejár, ami közvetlenül érinti a piacon lévő modern számítógépek túlnyomó többségét. Bár a lejárat önmagában nem teszi működésképtelenné a meglévő rendszereket, a biztonsági frissítések folyamatossága és az új szoftverek indíthatósága érdekében elengedhetetlen a kulcsok cseréje.
Az alapoktól a digitális őrszemekig
A Secure Boot egy olyan védelmi mechanizmus, amely a modern alaplapok UEFI firmware-ébe van beágyazva. Feladata, hogy megakadályozza a rosszindulatú programok – például a rendszerbetöltés előtt aktiválódó rootkitek – futtatását a gép bekapcsolásakor. A folyamat során a hardver ellenőrzi az operációs rendszer rendszerbetöltőjének (bootloader), a firmware-nek és az illesztőprogramoknak a digitális aláírását az alaplap NVRAM-jában tárolt megbízható tanúsítványok adatbázisa alapján. Ha az aláírás érvényes, a számítógép elindul.
A kritikus határidők és az új architektúra
A technológia történetében most először fordul elő, hogy a Microsoft által menedzselt gyökér-tanúsítványok elérik életciklusuk végét. A tanúsítványcsere folyamata a CA 2011 (Certificate Authority) korszakból a modernebb CA 2023 érába való átlépést jelenti. Az érintett kulcsok és feladataik pontosan leírják az átállás szerkezetét:
| Eredeti tanúsítvány neve (2011) | Feladata a rendszerben | Új tanúsítvány neve (2023) | Új lejárati év |
|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | A kulcsregisztrációs adatbázis (KEK) módosításainak engedélyezése | Microsoft Corporation KEK 2K CA 2023 | 2038 |
| Microsoft Windows Production PCA 2011 | A Windows saját rendszerbetöltőjének aláírása | Microsoft Windows Production PCA 2023 | 2038 |
| Microsoft UEFI CA 2011 | Harmadik féltől származó szoftverek és Linux bootloaderek (shim) hitelesítése | Microsoft UEFI DB CA 2023 / Microsoft UEFI Option ROM CA 2023 | 2038 |
A Microsoft a megújulás során szétválasztotta a harmadik feleknek szánt korábbi egyetlen tanúsítványát: az egyik az alternatív operációs rendszerek (például a Linux disztribúciók által használt shim) rendszerbetöltőit hitelesíti, míg a másik a külső hardverek (például videokártyák, hálózati vezérlők) saját firmware-ét (Option ROM).
A frissítés automatizálása és a felhasználói teendők
A Windows 11 és Windows 10 operációs rendszereket futtató lakossági és vállalati PC-k túlnyomó többsége a Windows Update segítségével, a háttérben automatikusan megkapja az új 2023-as kulcsokat. A folyamat sikeres lezárásához a rendszereknek általában két egymást követő újraindításra van szükségük.
A státusz ellenőrzéséhez a Windows Biztonság alkalmazásban a Eszközbiztonság menüpont alá kell navigálni. Ha ott a A Secure Boot be van kapcsolva, és minden szükséges tanúsítványfrissítés alkalmazva lett felirat látható, a felhasználónak nincs további teendője.
Amennyiben a rendszer sárga vagy vörös figyelmeztetést jelez, vagy azt írja ki, hogy a konfiguráció elavult, az azt jelenti, hogy a hardver még vár a tanúsítványok kiosztására, vagy manuális beavatkozásra van szükség. Ilyen esetekben az alaplap gyártójának weboldaláról letöltött legfrissebb UEFI/BIOS firmware telepítése (flashelése) jelenthet megoldást, amely előkészíti az NVRAM-ot az új kulcsok fogadására.
Nyílt forráskódú rendszerek érintettsége
Mivel a legtöbb alaplapgyártó gyárilag csak a Microsoft tanúsítványait integrálja a hardverbe, a Linux disztribúciók is a Microsoft UEFI CA kulcsára támaszkodnak a biztonságos indításhoz. A modern Linux disztribúciók (mint például a Fedora vagy az Ubuntu) a beépített szoftverfrissítőkön keresztül terjesztik az új tanúsítványokat.
A Linux felhasználók a terminálban a mokutil eszköz segítségével ellenőrizhetik az NVRAM tartalmát. A KEK és a DB adatbázisok lekérdezésével pontosan látható, hogy a 2011-es lejáratú kulcsok mellett megjelentek-e már a 2038-ig érvényes 2023-as változatok. Ha a disztribúció támogatja, a manuális frissítés az fwupdmgr refresh és fwupdmgr update parancsokkal kényszeríthető ki a firmware-frissítő démonon keresztül.
A jövőbeli működés stabilitása
Azok a számítógépek, amelyek a határidők lejártáig nem frissülnek az új kulcsokkal, továbbra is elindulnak és működőképesek maradnak a már telepített operációs rendszerekkel. Ugyanakkor a lejárt kulcsok miatt a jövőben megjelenő, új aláírással ellátott rendszerkomponensek, illesztőprogramok vagy új Linux telepítőmédia indítása meghiúsulhat az aktív Secure Boot mellett. Ritka esetekben a kulcsok átvételekor a Windows rendszerek BitLocker helyreállítási módot kérhetnek, vagy átmenetileg megkövetelhetik a Secure Boot kikapcsolását az alaplapi UEFI felületen az indíthatóság helyreállításához.
