Из-за истечения срока действия ключа подписи Secure Boot UEFI у пользователей Linux возникнут проблемы

Пользователи Linux могут столкнуться с препятствием, связанным с Secure Boot —11 сентября истечёт срок действия подписанного Microsoft ключа, используемого многими дистрибутивами для поддержки функции безопасности на базе прошивки. В результате системы, возможно, не получат её необходимое обновление.

Secure Boot — часть унифицированного расширяемого интерфейса прошивки (UEFI), который пришёл на смену базовой системе ввода-вывода (BIOS) в современных системах. В Microsoft объясняют, что это «стандарт безопасности, разработанный представителями компьютерной индустрии, чтобы гарантировать, что устройство загружается только с использованием программного обеспечения, которому доверяет производитель».

Производители должны обеспечить хранение «базы данных подписей (db), базы данных отозванных подписей (dbx) и базы данных ключей регистрации ключей (KEK)» в энергонезависимой памяти прошивки (NV-RAM) на этапе производства. Затем производитель «блокирует прошивку от редактирования, за исключением обновлений, подписанных правильным ключом, или обновлений, выполняемых физически присутствующим пользователем через меню прошивки». Ни одно из этих требований не препятствует установке операционных систем, отличных от Windows. Однако большинство устройств поставляются с предустановленной ОС Microsoft, а это означает, что для установки другой ОС требуется сначала отключить безопасную загрузку. 

Таким образом, неясно, можно ли в повторно включить безопасную загрузку после установки другой ОС вместе с Windows или вместо неё.

Это ставит дистрибьюторов операционных систем перед выбором: полностью отказаться от поддержки Secure Boot; ожидать, что пользователи будут генерировать и подписывать собственные ключи; или найти способ использовать