← На главную

Истекает сертификат shim — новая установка Linux на старых ПК под вопросом

22.06.2026 18:24 · hackernews

Сертификат Microsoft, которым подписан загрузчик shim, истекает 11 сентября. shim — это первая ступень загрузки Linux с Secure Boot. После этой даты Microsoft больше не будет подписывать им новые установочные образы. Замена — ключ 2023 года — доступна с 2023-го, но на многих системах её просто нет. Чтобы она появилась, вендорам нужно выпустить обновление прошивки. Это может случиться не везде.

Проблему поднял Mateus Rodrigues Costa в рассылке Fedora. Он заметил предупреждение в свежем обновлении Windows 11 — там говорилось о сертификатах, которые истекают в 2026 году. Но сертификат shim истекает раньше. Ситуация сложная. Daniel P. Berrangé указал на страницу Linux Vendor Firmware Service (LVFS), где всё расписано. LVFS — это репозиторий обновлений прошивок, а fwupd — инструмент для их установки из Linux.

Как это работает. Чтобы загрузиться с Secure Boot, первый загрузчик должен быть подписан действительным ключом из базы данных прошивки. Истечение сертификата в основном помешает новой установке дистрибутива. Текущая установленная система продолжит загружаться — у неё свой ключ. Но свежий ISO-образ с shim, подписанным истекшим ключом, просто не запустится. Нужен shim, подписанный новым ключом Microsoft. И база данных прошивки должна этот ключ знать.

Многие старые системы новый ключ не содержат. Вендоры могут добавить его через полное обновление прошивки или через обновление KEK (key exchange key). KEK — это ключ вендора, подписанный Microsoft. fwupd умеет с ним работать. Как говорит создатель LVFS Richard Hughes, обновление KEK проходит с успехом ~98%, обновление базы данных (db) — ~99%. Но 1% на миллионах пользователей — это много. Частая ошибка — «failed to write efivarfs». Иногда помогает сброс BIOS на заводские настройки — это дефрагментирует пространство EFI-переменных.

Если вендор не выпускает обновлений, остаётся только отключить Secure Boot. Через несколько месяцев все старые установочные образы станут бесполезны для такой загрузки. Хуже того, некоторые производители уже потеряли доступ к приватной части своего platform key (PK). Менять PK в прошивке — «ужасная идея с точки зрения аттестации», отмечает Hughes. А сам процесс обновления KEK новый: «никогда раньше такого не было, и вендоры BIOS могли всё сломать».

Непонятно, будут ли реализации прошивок принудительно проверять дату истечения старого ключа. Рабочая система может продолжать загружаться. Но новый shim, например, для исправления уязвимостей, подписать старым ключом уже не выйдет — Microsoft не станет. Gerd Hoffman резюмирует: «Продолжать использовать shim с известными багами безопасности делает Secure Boot бессмысленным». Linux-сообщество делает что может, но ключи корневого доверия находятся у Microsoft и производителей «железа», которые думают в первую очередь о Windows. Поддержка старого оборудования остаётся на плечах Linux, и это неизбежно создаёт напряжение. Остаётся надеяться, что всё пройдёт более-менее гладко.

Читать оригинал →