پایان اعتبار کلید Secure Boot مایکروسافت، تهدیدی جدید برای کاربران لینوکس

با پایان یافتن اعتبار کلید امضای Secure Boot مایکروسافت در ۱۱ سپتامبر، بسیاری از کاربران لینوکس ممکن است با مشکلاتی در اجرای سیستم‌عامل‌های خود مواجه شوند؛ مشکلی که به‌ویژه برای کاربرانی که به امنیت بوت سیستم اهمیت می‌دهند، دردسرساز خواهد بود.

به گزارش تک ناک؛ کلید امضای Secure Boot مایکروسافت، که بسیاری از توزیع‌های لینوکس برای سازگاری با این ویژگی امنیتی مبتنی بر UEFI از آن استفاده می‌کنند، در تاریخ ۱۱ سپتامبر منقضی می‌شود. این اتفاق می‌تواند اجرای لینوکس را بر روی برخی سیستم‌ها با چالش جدی مواجه کند؛ به‌ویژه اگر تولیدکنندگان سخت‌افزار به‌روزرسانی‌های لازم برای سیستم‌عامل‌ها و فرم‌ور (firmware) ارائه ندهند.

برای درک بهتر موضوع، باید به مفهوم Secure Boot نگاهی بیندازیم. Secure Boot بخشی از رابط سیستم‌افزاری UEFI است که جایگزین BIOS در سیستم‌های مدرن شده است—گرچه همچنان به‌صورت عامیانه BIOS نامیده می‌شود. این ویژگی امنیتی که به ابتکار اعضای صنعت رایانه طراحی شده، تضمین می‌کند که سیستم فقط با نرم‌افزارهای مورد تأیید تولیدکننده راه‌اندازی شود.

بر اساس مستندات مایکروسافت، تولیدکنندگان موظفند پایگاه داده کلیدهای معتبر (db)، کلیدهای باطل‌شده (dbx) و کلیدهای ثبت (KEK) را در حافظه غیرفرار فرم‌ور ذخیره کرده و سپس این حافظه را قفل کنند تا فقط از طریق کلیدهای معتبر یا حضور فیزیکی کاربر، امکان تغییر آن وجود داشته باشد. این فرآیند شامل ایجاد یک کلید پلتفرم (PK) نیز می‌شود که برای به‌روزرسانی KEK یا غیرفعال‌سازی Secure Boot به کار می‌رود.

این الزامات مانع نصب سیستم‌عامل‌های غیر از ویندوز نمی‌شود، اما بیشتر دستگاه‌ها با ویندوز از پیش‌نصب‌شده عرضه می‌شوند. بنابراین، کاربرانی که می‌خواهند لینوکس نصب کنند، باید ابتدا Secure Boot را غیرفعال کنند—کاری که مستلزم آشنایی با محیط UEFI و تنظیمات بوت آن است. پس از نصب، این سؤال مطرح می‌شود که آیا می‌توان Secure Boot را دوباره فعال کرد یا نه.

در این شرایط، توزیع‌کنندگان سیستم‌عامل‌ها باید تصمیم بگیرند: یا به‌کلی پشتیبانی از Secure Boot را کنار بگذارند؛ یا از کاربران بخواهند خودشان کلید تولید کرده و امضا کنند؛ یا از زیرساخت کلیدی مایکروسافت برای فعال‌سازی Secure Boot در سیستم‌هایشان بهره بگیرند. توزیع‌هایی مانند NetBSD و OpenBSD مسیر اول را برگزیدند، در حالی که برخی توزیع‌های لینوکس و FreeBSD با استفاده از برنامه واسطی به‌نام shim از زیرساخت مایکروسافت استفاده کردند.

حال به گزارش LWN (با دسترسی پولی) می‌رسیم که اعلام کرده مایکروسافت در سپتامبر دیگر از این کلید منقضی‌شونده برای امضای shim استفاده نخواهد کرد. مشکل اصلی اینجاست که کلید جایگزین از سال ۲۰۲۳ در دسترس بوده، اما روی بسیاری از سیستم‌ها نصب نشده است. بدتر آن‌که نصب این کلید ممکن است نیازمند به‌روزرسانی فرم‌ور توسط سازنده سخت‌افزار باشد—و مشخص نیست که چنین به‌روزرسانی‌هایی برای همه دستگاه‌ها عرضه شوند یا خیر. به گفته LWN، هرچند اکثر سیستم‌ها احتمالاً از کار نخواهند افتاد، اما کاربران و توزیع‌کنندگان ممکن است مجبور شوند زحمت بیشتری متحمل شوند.

گزارش می‌افزاید که تولیدکنندگان می‌توانند با انتشار یک به‌روزرسانی کامل فرم‌ور یا به‌روزرسانی پایگاه KEK، پشتیبانی از کلید جدید را فراهم کنند. اما راه اول مستلزم صرف منابع برای تجهیز محصولاتی است که تنها درصد کمی از کاربران آن‌ها به Secure Boot در لینوکس نیاز دارند. راه دوم نیز به‌دلیل نبود تجربه عملی کافی، راهی مطمئن محسوب نمی‌شود.

همه این چالش‌ها برای ویژگی‌ای است که خود در گذشته بارها دچار آسیب‌پذیری شده—از جمله نقص‌های معروف BootHole و BlackLotus یا حفره‌هایی در مادربردهای خاصی از شرکت‌هایی مانند MSI و Gigabyte. جالب آن‌که برخی از این آسیب‌پذیری‌ها به کاربران اجازه داده‌اند ویندوز ۱۱ را روی سیستم‌هایی بدون ماژول TPM 2.0 نصب کنند؛ راهی برای فرار از محدودیت‌های ویندوز ۱۰ بدون خرید سخت‌افزار جدید.

در مجموع، هرچند هدف Secure Boot ایجاد سد امنیتی در برابر بدافزارهای بوت است، اما این بحران جدید در مورد کلیدهای منقضی‌شونده، آخرین نمونه از مشکلاتی است که کاربران را یا به سمت باقی ماندن در ویندوز سوق می‌دهد، یا به غیرفعال‌سازی کامل Secure Boot. پرسش مهم این است: با پایان پشتیبانی از ویندوز ۱۰ و رشد محبوبیت پلتفرم‌های جایگزین، آیا Secure Boot در شکل فعلی‌اش، توان همراهی با این تغییرات را خواهد داشت؟