Комментарии 14
Так говорил Зара^H^H^Hелёный...
Если кратко, то истекут сертификаты не в Windows 11, а в железе.
На этапе производства на материнку устанавливаются сертификаты доверенных центров сертификации. При включенной опции SecureBoot проверяется доверие серту которым подписан загружаемый бинарник.
Таким образом подписаны не только компоненты Windows, а так же и бут-менеджеры, ядра Linux многих дистрибутивов и т.п., но реально настроено и используется в основном в случае предустановленной ОС.
Пакет с новыми сертами центов сертификации для SecureBoot должен быть подписан сертами действующих (известных прошивке EFI) центров сертификации. Windows помимо обновлений самой себя так же обновляет серты (и списки отзывов сертов) центров сертификации для SecureBoot.
Т.е. если железа не распоследнее и наисвежайшее, то одно из трёх
нужно на этом железе в ближайший год ставить актуальные обновления на Windows установленную в EFI-режиме
ставить обновления прошивки материнки
не использовать SecureBoot с современными ОС
то одно из трёх
А способа самому стать CA и сказать всей этой системе "Я этим подписям верю", внеся соответствующие записи в UEFI нет что ли? Вроде бы там такое где-то было предусмотрено.
Ну и просто добавить новые CA, без перешивки всего биоса, пользуясь тем же способом - вроде бы должны работать?
Можно, но не на любом железе. Производитель зачастую поддерживает это в интерфейсе криво-косо или не поддерживает вовсе.
Обычно все хорошо на железе ориентированном на бизнес и плохо на игровом железе.
Можно, я так и делаю. Но виндовый загрузчик не уверен, что получится подписать
А способа самому стать CA и сказать всей этой системе "Я этим подписям верю", внеся соответствующие записи в UEFI нет что ли? Вроде бы там такое где-то было предусмотрено.
https://habr.com/articles/273497/
Во-первых, вам придётся переподписывать загрузчик Windows после каждого его обновления. Во-вторых, вам как-то придётся переподписать прошивки железа, например, видеокарты.
Никто не мешает самостоятельно установить новые ключи через интерфейс настройки прошивки (примерные скриншоты можно найти в конце статьи).
Для большинства машин это будут бинарники из каталога LegacyFirmwareDefaults
Дальше очищаете имеющиеся, переводя в Setup Mode, и загоняете DefaultDbx.bin в DBX, Default3PDb.bin в DB, DefaultKek.bin в KEK, а DefaultPk.bin в PK соответственно.
По итогу, получаете 1 ключ в PK и KEK, 5 ключей в DB (2 старых, 3 новых). Вместо того мусора, который там порой хранит вендор материнки. Например, ASUS добавляет старый отозванный ключ Ubuntu, несмотря на то, что разработчики Ubuntu просили это прекратить. Потому что, видите ли, тогда какие-то древние убунты не могут загружаться и, очевидно, ASUS решила, что проще сделать говняшку-костыль, чем объяснять пользователям, что так правильно.
О, наконец они решили обновить сами эти сертификаты. Напоминаю, что обновление этих сертификатов закрывает уязвимость, которую эксплуатирует до сих пор Black Lotus буткит . Если кратко, то закрытые ключи сертификата PCA 2011 утекли создателям Black Lotus несколько лет назад.
Я правильно понимаю, что у тех, кто по каким-либо причинам обновления винды не ставит, она тупо перестанет грузиться в режиме secureboot?
А если у меня лежит ноутбук запасной, и я после указанного срока его запущу, то опять же винда в secureboot не установится, пока я каким-либо образом не обновлю сертификат в uefi?
Сроки сертификатов для Secure Boot в Windows 11 скоро истекут