Travis_Macrif2 сен 2025 в 07:16

В 2026 году некоторые старые видеокарты Nvidia приведут к трудностям включения ПК при активированной Secure Boot в UEFI

2 мин

16K

ВидеокартыКомпьютерное железоСтарое железоНастольные компьютеры

Комментарии 13

dartraiden 2 сен 2025 в 08:39

Во-первых, не только NVIDIA.

Во-вторых, проблема преувеличена: прошивка материнской платы не должна воспринимать протухший сертификат как невалидный. Невалидным, емнип, воспринимается лишь сертификат, явно внесённый в чёрный список. Пока нет никаких свидетельств того, что Microsoft собирается банить старые сертификаты (если приватный ключ не скомпрометирован, то и делать это незачем).

Поколения видеокарт, давно снятые с поддержки (наподобие GTX 6xx), конечно, вряд ли получат обновления (а гопка от 1000 серии, например, к 600 никак не подойдёт). Остальные подождут обновление от производителя видеочипа или подсунут свежую гопку самостоятельно.

Проблемы могут возникнуть только у гипотетических новых материнских плат, у которых старого сертификата нет "из коробки" (таких пока не встречал), Secure Boot включён по умолчанию и в которые кто-то захочет воткнуть древнюю необновлённую видеокарту. Чтобы подсунуть прошивке старый сертификат или отключить SB понадобится встроенная графика или более новая дискретная видеокарта. Но это вряд ли сколько-то распространённый сетап (какой смысл покупать свежее железо и втыкать доисторическую видеокарту, когда проще, экономичнее и компактнее взять процессор со встройкой?).

hqqddy 2 сен 2025 в 11:21

Можно по ручному обновлению для тупых распальцевать? Может статью запилите?

dartraiden 2 сен 2025 в 12:44

Во-первых, должна появиться видеокарта, в прошивке которой GOP-драйвер подписан новым сертификатом . Потом из её прошивки энтузиасты вытащат этот драйвер и его можно будет самостоятельно с помощью соответствующих утилит (старые NVIDIA и AMD / Geforce 20, Geforce 30 и новее) внедрить в прошивку вашей видеокарты (строго той же серии). Обычно это выглядит как "берем прошивку видеокарты, бросаем на батник и получаем обновлённую прошивку, которую затем шьём".

Я думаю, что AMD и NVIDIA для более-менее актуальных поколений выпустят собственные утилиты вида "запустил и оно обновило прямо на живую". Как когда-то NVIDIA выпустила утилиту, превращающую видеокарты в UEFI-совместимые. Утилита просто добавляла отсутствующий GOP-драйвер в прошивку.

Heggi 2 сен 2025 в 12:45

Кроме того, всё больше игровых DRM-систем и античит-программ требуют включения Secure Boot.

А кто-то может пояснить как Secure boot помогает Античит и DRM-системам?

CaptainFlint 2 сен 2025 в 16:22

Без Secure Boot существует возможность засунуть произвольный модуль на раннюю стадию загрузки, откуда тот уже будет иметь полный контроль над всей системой вплоть до уровня ядра, влиять на работу и скрывать своё присутствие. Античит или DRM, работающий внутри такой скомпроментированной системы, тоже будет подвержен этому контролю и не сможет отловить такой модуль.

Если Secure Boot включён, то система может грузить только доверенные модули, подписанные сертификатами Microsoft или вендора материнки. Зловредные и "условно зловредные" модули, такие как читерские движки, такую подпись получить не смогут, вынуждены будут работать только на уровне пользовательских привилегий, а значит, у античита, работающего на уровне ядра, появляется преимущество (более высокий уровень контроля над системой).

Разумеется, от включения SB читы сами собой не развеются в воздухе, это всего лишь один из механизмов контроля привилегий. Если античит тупой, то он точно так же пропустит читы с включённым SB, как и с выключенным (в качестве примера можно привести Battlefield 6, к которому мгновенно наклепали рабочих читов, несмотря на все их бахвальства с Secure Boot).

Также особняком стоит вопрос возможности ручного добавления сертификатов в базу Secure Boot. Теоретически, можно любой модуль подписать самосгенерированным сертификатом и добавить его в разрешённые (по крайней мере, на части материнок). Но тут я недостаточно подкован. Либо существует возможность как-то это обнаруживать, либо разработчики античитов решили, что таких заморачивающихся читеров будет немного.

xxxgoes 2 сен 2025 в 18:16

Учитывая то, что некоторые читеры заморочены достаточно для поддержания рынка аппаратных читов с DMA... Эффективный метод борьбы только один: полностью авторитарный сервер, клиент знает только то, что видит игрок.

dartraiden 5 сен 2025 в 06:35

Античиты с этим разбираются очень просто: они не полагаются целиком на ОС, имея внутри себя свои белые и чёрные списки, а также применяя эвристику. Подробностей не будет, поскольку по понятным причинам разработчики античитов ими не делятся.

CaptainFlint 5 сен 2025 в 10:15

Проблема в том, что если мы засунем в систему свой EFI-модуль для ранней загрузки, то ничто не помешает ему вмешиваться в работу античита, в том числе подменять все эти чёрные и белые списки в памяти. Само собой, это крайне трудоёмкая задача, особенно учитывая закрытость и обфускацию античитов, но теоретически реализуемая.

MaGzGoLd 8 сен 2025 в 11:27

А Microsoft тут причём, это ограничение на уровне Uefi. Но по факту, даже просроченный сертификат является действительным, просто должен быть недоступен для новых подписей.

CaptainFlint 8 сен 2025 в 11:55

Microsoft тут формально, может, и ни при чём, но если кто-то хочет подписать модуль для UEFI, он вынужден обращаться именно в MS. Больше не к кому.

413x 2 сен 2025 в 13:08

Мусорная технология, целью которой окирпичивать устройства, додумались же идиоты засунуть свои навозные сертификаты в такую штуку

dartraiden 5 сен 2025 в 06:26

С OpenNet-а сбежал пациент?

Мусорная технология,

Без неё невозможно быть уверенным, что вам банально не подменили загрузчик.

целью которой окирпичивать устройства

Цель - построение цепочки доверия при загрузке. Чтобы можно было быть уверенным, что в эту цепочку не вклинился атакующий.

додумались же идиоты засунуть свои навозные сертификаты в такую штуку

Microsoft взяла это на себя, потому что, сюрприз, никто больше из членом UEFI Forum не горел желанием этим заниматься.

413x 5 сен 2025 в 06:56

Без неё невозможно быть уверенным, что вам банально не подменили загрузчик.

Подменят его и что изменится? Безопасности это не прибавляет, суешь флешку и получаешь любые данные, если диск не зашифрован, а если зашифрован, то и защита эта не нужна. Если цель подменить ос, переставят диски. Если цель защитить загрузчик из виндовс, то это можно на уровне системы сделать.

На бумаге это про безопасность какую-то, которая на практике ей не является, при этом засунули сертификаты явно зная, что у них ограниченный срок работы, это абсурд такое добавлять в такую важную вещь.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий