Ketyeg az óra: Secure Boot tanúsítványok a végükhöz közelednek

Microsoft, Windows

Tanúsítványfrissítés nélkül megállhat a Secure Boot, 2026 júniusi határidőre figyelmeztet a Microsoft:

The Microsoft certificates used in Secure Boot are the basis of trust for operating system security, and all will be expiring beginning June 2026. The way to automatically get timely updates to new certificates for supported Windows systems is to let Microsoft manage your Windows updates, which include Secure Boot. A close collaboration with original equipment manufacturers (OEMs) who provide Secure Boot firmware updates is also essential.

A Microsoft csak azokra a rendszerekre küldi ki a Secure Boot tanúsítványcserét Windows Update-en keresztül, amelyek engedélyezik a megfelelő szintű diagnosztikai adatküldést.

Részletek itt.

( ricsip v | 2025. 07. 06., v – 10:30 )

Diszkrét bája a dolognak, h. minden UEFI-képes számítógép érintett, amit kb 2012 és 2025 között gyártottak, és a secure boot be van rajta kapcsolva!

Akkor is, ha nem windows fut rajta...

( OnlyZaenae | 2025. 07. 06., v – 11:07 )

A Microsoft csak azokra a rendszerekre küldi ki a Secure Boot tanúsítványcserét Windows Update-en keresztül, amelyek engedélyezik a megfelelő szintű diagnosztikai adatküldést.

Ez most mi? Zsarolás? Árukapcsolás? Szemétkedés? Még erősebb adatgyűjtés/adatlopás?

Még nincs aláírásom.

( n.balazs v | 2025. 07. 06., v – 16:06 )

Na ezért is váltok BSD-re. Microsoft, elegem volt belőled otthoni desktop vonalon.

Kifejtve, mert talán nem voltam elég világos:
- Nem az a baj, hogy lejár egy tanúsítvány.
- Nem a Secure Boot a baj önmagában.
- Részemről a baj a "megfelelő szintű diagnosztikai adatküldéssel" van. Ez MS-nél sokszor azt jelenti, hogy a lelked is el kell adnod nekik.

Hozzátéve, hogy ez kitűnő alkalom a technikai eszközök gyorsított mesterséges avultatására.

Részemről a baj a "megfelelő szintű diagnosztikai adatküldéssel" van. Ez MS-nél sokszor azt jelenti, hogy a lelked is el kell adnod nekik.

Szerintem ez szokásos (gyomorforgató) zsurnalisztás hangulatkieltés-clickbait salak. A certeket manuálisan is le lehet cserélni, emlékeim szerint leírást is láttam màr róla. Nem biztos h. a mikroszofttól.

( bennyh | 2025. 07. 06., v – 20:15 )

Szerkesztve: 2025. 07. 06., v – 20:15

Linuxéknál hogy van ez? Pl. egy Ubuntu befrissíti? Ehhez kell "capsule update" támogatás? Nem, mintha pontosan tudnám, ez utóbbi micsoda, de az elmúlt 1-2 évben láttam erről infókat az alaplapi UEFI frissítésekben.

Színes vászon, színes vászon, fúj!

Kérem a Fiátot..

Linuxéknál hogy van ez?

Leginkább nem használnak, mert tudják, hogy a Secure Boot egy átbaszás. Semmi köze a biztonsághoz, csak a nevében.

Ahol meg mégis muszáj, ott kétlépcsős a dolog: az M$ certtel aláírt minimál shim tölti be a shim által aláírt GRUB-ot. Tehát ez utóbbiak is érintettek, mert az első lépcső el fog taknyolni, így nem lesz, ami betölthetné a GRUB-ot.

Ja, hogy ez a hír volt az apropó. Én örülnék, ha kihalna a rákba, esetleg kiváltanák egy olyan megoldással, amit az összes szereplő együtt szabványosít, és nem a MS saját szarja, amit egy kézben kezelget, önhatalmúlag. Úgy nagy kifogásom nem lenne, akinek kell, az használja.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

és nem a MS saját szarja

Elvileg ez sem az, csak gyakorlatilag MS certen kívül semmi más nincs telepítve a gyárban, a certbetöltést meg letiltják.

Néhány alaplapon engedélyezve van a cert feltöltés, azoknál elvileg felrakhatnál Ubuntu-s certet, RedHat-es certet stb., de még akkor sincs ezekkel aláírt GRUB... Macera, de elméletben nem lehetetlen, csak a gyakorlatban. Mert a legtöbb gyárból kikerülő gépen le van tiltva ez a funkció, és nem tudsz saját certet betölteni, az van, ami a gyártól kapsz és jóccakát, az meg kizárólag az MS féle cert.

Egyébként ha jó megoldást akarsz, akkor UEFI kuka, vagy régi BIOS vissza, vagy coreboot vagy hasonló. A trükk az, hogyha a firmware nem tud többet, mint betölteni a rendszerbetöltőt, akkor nincs szükség semmiféle aláírásosdira, merthát nincs is mit aláírni. Az UEFI azért szar, mert túl rugalmas, és még a készítók sem tudják, hányféleképp lehet meghágni, ezért jönnek rá a rootkitek dögivel.

Tisztában vagyok, hogy léteznek gépek, ahol nem tudod saját magad aláírni. Legalábbis az UEFI-ben nem. Mondjuk azok a gépek, amiket én eddig próbáltam, azokban mind lehetett, nem kizárt, hogy mákom volt.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( dlaszlo | 2025. 07. 09., sze – 01:01 )

Szerkesztve: 2025. 07. 09., sze – 12:18

Érdekes egyébként, ezt találtam. (root-ként kell futtatni, OpenSuse alatt próbáltam): 

zypper install efitools
efi-readvar -v db -o db.esl
sig-list-to-certs db.esl db

Keletkezett 6 db .der fájl: db-0.der, db-1.der, stb..., ezt openssl-lel megnézve, ezek lehetnek a régi tanúsítványok:

openssl x509 -in db-0.der -inform DER -text -noout
...
       Validity
            Not Before: Jun 27 21:22:45 2011 GMT
            Not After : Jun 27 21:32:45 2026 GMT
        Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
...


openssl x509 -in db-1.der -inform DER -text -noout
...
    Validity
            Not Before: Oct 19 18:41:42 2011 GMT
            Not After : Oct 19 18:51:42 2026 GMT
        Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
...

Ezek pedig az újak, ezek szerint már telepítve vannak:

openssl x509 -in db-4.der -inform DER -text -noout
...
     Issuer: C=US, O=Microsoft Corporation, CN=Microsoft RSA Devices Root CA 2021
        Validity
            Not Before: Jun 13 19:21:47 2023 GMT
            Not After : Jun 13 19:31:47 2038 GMT
        Subject: C=US, O=Microsoft Corporation, CN=Microsoft UEFI CA 2023

...

openssl x509 -in db-5.der -inform DER -text -noout
...
        Issuer: C=US, O=Microsoft Corporation, CN=Microsoft RSA Devices Root CA 2021
        Validity
            Not Before: Oct 26 19:02:20 2023 GMT
            Not After : Oct 26 19:12:20 2038 GMT
        Subject: C=US, O=Microsoft Corporation, CN=Microsoft Option ROM UEFI CA 2023

...

(a db-2.der, db-3.der gigabyte-os volt)

Windowsom nincs, az biztos nem tette fel. BIOS-t frissítettem korábban.

 

 

Szerk: még annyit néztem meg, hogy az OpenSuse még a 2011-es tanúsítványt használja. Csak elgondolkodtam hogy lesz az átállás, hogy zökkenőmentes legyen, de gondolom több aláírást használnak majd egy ideig, a 2011-est, és a 2023-ast is. 

 

# sbverify --list /boot/efi/EFI/systemd/shim.efi


signature 1
image signature issuers:
 - /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011
image signature certificates:
 - subject: /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows UEFI Driver Publisher
   issuer:  /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011
 - subject: /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011
   issuer:  /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation Third Party Marketplace Root

signature 2
image signature issuers:
 - /CN=openSUSE Secure Boot CA/C=DE/L=Nuremberg/O=openSUSE Project/emailAddress=build@opensuse.org
image signature certificates:
 - subject: /CN=openSUSE Secure Boot Signkey/C=DE/L=Nuremberg/O=openSUSE Project/emailAddress=build@opensuse.org
   issuer:  /CN=openSUSE Secure Boot CA/C=DE/L=Nuremberg/O=openSUSE Project/emailAddress=build@opensuse.org

 

És azt várom kíváncsian, hogy olyan irányt vesznek-e a dolgok, hogy a Microsoft ismét megpróbál X darab gépet nyugdíjba küldeni. Az nagy károkozás lenne a részükről szerintem. Ez az eset jutott eszembe a chromecast-okkal: https://hup.hu/node/187564 ahol szerencsére a Google megoldotta a kérdést. - Reméljük ilyen nem lesz, hanem mindenkinek biztosítva lesz az új tanúsítvány.

Igen, az efitools működhet, és akár anélkül is bele lehet kézileg, low level szinten hekkelni az EUFI-be, ha van root jogod, akkor a /sys/firmware/efi/efivars útvonalon megteheted, de ezzel csak olyan vitézkedjen, aki tudja mit csinál, mert ha valami félremegy, téglásítani lehet egy eszközt, és onnan csak egy UEFI frissítés vagy UEFI chipcsere menti csak meg.

Ebbe még én is beleestem majdnem, mikor még Gentoo-val kísérleteztem, és már túl sok próbálkozás után össze volt barmolva az UEFI-ben a bootolható rendszerek listája, az efitool-szal kitisztítottam egy lépésben mindet, erre sehogy nem bootolt a gép, de még USB-ről, sem, UEFI-ben sem engedett booteszközt hozzáadni. Rohadt nagy mázlim volt, hogy a Load defaults menüpont az UEFI-ben alapértelmezettre állított mindent, és visszaírta a gyári bootolható eszközök listáját, majdnem hazavágtam vele egy laptopot.

Ezért szoktam figyelmeztetni, hogy ilyen low level toolokkal, mint a hdparm, nvme, sedutil, fwupd, efitools csak az partizánakciózzon, aki tényleg tudja mit csinál, mert könnyen bőgés, téglásítás lehet a vége. Már a dd (disk destroyer), meg a rekurzívan kiadott chmod, chown, rm -rf, stb. is nagyon veszélyes, nem felhasználóbarát, nem hülyebiztos, de azokkal maximum csak a rendszered, meg az adataidat bukod (ha nem volt backup), de a low level, firmware szinten hekkelős eszközökkel maga a hardver is téglásítható.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Ebben teljesen igazad van, és ezt tényleg jó megemlíteni.

Ez annyiról szólt csak, hogy az új kulcsok (a 2023-as microsoft-os) már fent vannak a gépemen, és mondhatni úgy került rá fel, hogy nem is tudtam róla. Tehát lehet hogy több gép így van már.

Még régebben hdparm-mal én is csesztem már el vinyót. Én azzal szórakoztam, hogy 2.5-es hitachi vinyót állítgattam át, hogy a NAS-omba betegyem, és próbáltam optimalizálgatni. Ezzel ki is nyírtam 1-2 vinyót, mert persze nem úgy működtek a dolgok, ahogy én azt elképzeltem.

Telefonra hittem azt többször, hogy brickeltem, de szerencsére azok mindig visszaállíthatóak voltak. pl két napos htc desire (bravo) telefonnal (első okos telefonom) volt valami bootloaderes problémám. :)  Én azzal indítottam, hogy kipróbáltam a "technológiai szabadságot", amivel az androidot reklámozták. Na akkor nagyon szomorú voltam, és későn feküdtem le, mire megoldódott. :) - akkor még ennek volt is értelme, mert nagyon nagy volt a system partíció, és kicsi volt ezen a telefonon a data partició. Át lehetett particionálni, és egy kis ROM-mal  az egyik legjobb/legszerethetőbb telefonom volt.

Ma már mindegyik telefon egy szörnyeteg, ami a vas-at illeti, kevesebb olyan fordulhat elő, ami miatt módosítani akarod.

Szerencséd volt a laptoppal, hogy a reset visszaállította.