เรื่องเล่าจากคีย์ที่หมดอายุ: เมื่อการบูตอย่างปลอดภัยกลายเป็นอุปสรรคของผู้ใช้ Linux
Secure Boot เป็นฟีเจอร์ในระบบ UEFI ที่ช่วยให้เครื่องบูตเฉพาะซอฟต์แวร์ที่ได้รับการเซ็นรับรองจากผู้ผลิต — โดย Microsoft เป็นผู้เซ็น bootloader สำหรับ Linux หลายดิสโทรผ่านระบบ “shim” เพื่อให้สามารถใช้งาน Secure Boot ได้
แต่ในเดือนกันยายนนี้:
- คีย์ที่ใช้เซ็น bootloader จะหมดอายุ
- คีย์ใหม่ถูกออกตั้งแต่ปี 2023 แต่ยังไม่ถูกติดตั้งในอุปกรณ์ส่วนใหญ่
- การติดตั้งคีย์ใหม่ต้องอัปเดตเฟิร์มแวร์หรือฐานข้อมูล KEK ซึ่งผู้ผลิตอาจไม่ทำ
ผลคือ:
- Linux บางดิสโทรอาจไม่สามารถใช้ Secure Boot ได้
- ผู้ใช้ต้องปิด Secure Boot หรือเซ็นคีย์เอง
- อุปกรณ์บางรุ่นอาจไม่สามารถบูต Linux ได้เลย หากไม่มีการอัปเดตจากผู้ผลิต
Microsoft จะหยุดใช้คีย์เดิมในการเซ็น bootloader สำหรับ Secure Boot วันที่ 11 กันยายน 2025
ส่งผลต่อระบบปฏิบัติการที่ใช้ shim เช่น Ubuntu, Fedora, FreeBSD
คีย์ใหม่ถูกออกตั้งแต่ปี 2023 แต่ยังไม่ถูกติดตั้งในอุปกรณ์ส่วนใหญ่
ต้องอัปเดตเฟิร์มแวร์หรือฐานข้อมูล KEK เพื่อรองรับ
ผู้ผลิตฮาร์ดแวร์ต้องออกอัปเดตเฟิร์มแวร์เพื่อรองรับคีย์ใหม่
แต่หลายรายอาจไม่สนใจ เพราะผู้ใช้ Linux เป็นส่วนน้อย
Secure Boot ใช้ฐานข้อมูล db, dbx, KEK และ PK ที่ถูกล็อกไว้ใน NV-RAM
ต้องใช้คีย์ที่ถูกต้องในการอัปเดตหรือปิดฟีเจอร์
ดิสโทรบางรายเลือกไม่รองรับ Secure Boot เช่น NetBSD, OpenBSD
ส่วน Linux และ FreeBSD ใช้ shim ที่เซ็นโดย Microsoft
ผู้ใช้สามารถปิด Secure Boot หรือเซ็นคีย์เองได้
แต่ต้องมีความรู้ด้าน UEFI และการจัดการคีย์
https://www.tomshardware.com/tech-industry/cyber-security/microsoft-signing-key-required-for-secure-boot-uefi-bootloader-expires-in-september-which-could-be-problematic-for-linux-users
Secure Boot เป็นฟีเจอร์ในระบบ UEFI ที่ช่วยให้เครื่องบูตเฉพาะซอฟต์แวร์ที่ได้รับการเซ็นรับรองจากผู้ผลิต — โดย Microsoft เป็นผู้เซ็น bootloader สำหรับ Linux หลายดิสโทรผ่านระบบ “shim” เพื่อให้สามารถใช้งาน Secure Boot ได้
แต่ในเดือนกันยายนนี้:
- คีย์ที่ใช้เซ็น bootloader จะหมดอายุ
- คีย์ใหม่ถูกออกตั้งแต่ปี 2023 แต่ยังไม่ถูกติดตั้งในอุปกรณ์ส่วนใหญ่
- การติดตั้งคีย์ใหม่ต้องอัปเดตเฟิร์มแวร์หรือฐานข้อมูล KEK ซึ่งผู้ผลิตอาจไม่ทำ
ผลคือ:
- Linux บางดิสโทรอาจไม่สามารถใช้ Secure Boot ได้
- ผู้ใช้ต้องปิด Secure Boot หรือเซ็นคีย์เอง
- อุปกรณ์บางรุ่นอาจไม่สามารถบูต Linux ได้เลย หากไม่มีการอัปเดตจากผู้ผลิต
Microsoft จะหยุดใช้คีย์เดิมในการเซ็น bootloader สำหรับ Secure Boot วันที่ 11 กันยายน 2025
ส่งผลต่อระบบปฏิบัติการที่ใช้ shim เช่น Ubuntu, Fedora, FreeBSD
คีย์ใหม่ถูกออกตั้งแต่ปี 2023 แต่ยังไม่ถูกติดตั้งในอุปกรณ์ส่วนใหญ่
ต้องอัปเดตเฟิร์มแวร์หรือฐานข้อมูล KEK เพื่อรองรับ
ผู้ผลิตฮาร์ดแวร์ต้องออกอัปเดตเฟิร์มแวร์เพื่อรองรับคีย์ใหม่
แต่หลายรายอาจไม่สนใจ เพราะผู้ใช้ Linux เป็นส่วนน้อย
Secure Boot ใช้ฐานข้อมูล db, dbx, KEK และ PK ที่ถูกล็อกไว้ใน NV-RAM
ต้องใช้คีย์ที่ถูกต้องในการอัปเดตหรือปิดฟีเจอร์
ดิสโทรบางรายเลือกไม่รองรับ Secure Boot เช่น NetBSD, OpenBSD
ส่วน Linux และ FreeBSD ใช้ shim ที่เซ็นโดย Microsoft
ผู้ใช้สามารถปิด Secure Boot หรือเซ็นคีย์เองได้
แต่ต้องมีความรู้ด้าน UEFI และการจัดการคีย์
https://www.tomshardware.com/tech-industry/cyber-security/microsoft-signing-key-required-for-secure-boot-uefi-bootloader-expires-in-september-which-could-be-problematic-for-linux-users
🎙️ เรื่องเล่าจากคีย์ที่หมดอายุ: เมื่อการบูตอย่างปลอดภัยกลายเป็นอุปสรรคของผู้ใช้ Linux
Secure Boot เป็นฟีเจอร์ในระบบ UEFI ที่ช่วยให้เครื่องบูตเฉพาะซอฟต์แวร์ที่ได้รับการเซ็นรับรองจากผู้ผลิต — โดย Microsoft เป็นผู้เซ็น bootloader สำหรับ Linux หลายดิสโทรผ่านระบบ “shim” เพื่อให้สามารถใช้งาน Secure Boot ได้
แต่ในเดือนกันยายนนี้:
- คีย์ที่ใช้เซ็น bootloader จะหมดอายุ
- คีย์ใหม่ถูกออกตั้งแต่ปี 2023 แต่ยังไม่ถูกติดตั้งในอุปกรณ์ส่วนใหญ่
- การติดตั้งคีย์ใหม่ต้องอัปเดตเฟิร์มแวร์หรือฐานข้อมูล KEK ซึ่งผู้ผลิตอาจไม่ทำ
ผลคือ:
- Linux บางดิสโทรอาจไม่สามารถใช้ Secure Boot ได้
- ผู้ใช้ต้องปิด Secure Boot หรือเซ็นคีย์เอง
- อุปกรณ์บางรุ่นอาจไม่สามารถบูต Linux ได้เลย หากไม่มีการอัปเดตจากผู้ผลิต
✅ Microsoft จะหยุดใช้คีย์เดิมในการเซ็น bootloader สำหรับ Secure Boot วันที่ 11 กันยายน 2025
➡️ ส่งผลต่อระบบปฏิบัติการที่ใช้ shim เช่น Ubuntu, Fedora, FreeBSD
✅ คีย์ใหม่ถูกออกตั้งแต่ปี 2023 แต่ยังไม่ถูกติดตั้งในอุปกรณ์ส่วนใหญ่
➡️ ต้องอัปเดตเฟิร์มแวร์หรือฐานข้อมูล KEK เพื่อรองรับ
✅ ผู้ผลิตฮาร์ดแวร์ต้องออกอัปเดตเฟิร์มแวร์เพื่อรองรับคีย์ใหม่
➡️ แต่หลายรายอาจไม่สนใจ เพราะผู้ใช้ Linux เป็นส่วนน้อย
✅ Secure Boot ใช้ฐานข้อมูล db, dbx, KEK และ PK ที่ถูกล็อกไว้ใน NV-RAM
➡️ ต้องใช้คีย์ที่ถูกต้องในการอัปเดตหรือปิดฟีเจอร์
✅ ดิสโทรบางรายเลือกไม่รองรับ Secure Boot เช่น NetBSD, OpenBSD
➡️ ส่วน Linux และ FreeBSD ใช้ shim ที่เซ็นโดย Microsoft
✅ ผู้ใช้สามารถปิด Secure Boot หรือเซ็นคีย์เองได้
➡️ แต่ต้องมีความรู้ด้าน UEFI และการจัดการคีย์
https://www.tomshardware.com/tech-industry/cyber-security/microsoft-signing-key-required-for-secure-boot-uefi-bootloader-expires-in-september-which-could-be-problematic-for-linux-users
0 Comments
0 Shares
20 Views
0 Reviews
Thai