Gangguan besar sedang menuju pengguna Linux yang mengandalkan Secure Boot, karena sertifikat Microsoft yang kritis untuk menandatangani shim bootloader akan berakhir pada 11 September 2024. Berakhirnya sertifikat ini dapat mencegah instalasi Linux baru untuk boot pada sistem dengan Secure Boot yang diaktifkan, menciptakan tantangan signifikan bagi komunitas Linux.
Masalah ini berasal dari ketergantungan distribusi Linux pada infrastruktur penandatanganan Microsoft. Karena sebagian besar produsen PC menyertakan kunci Microsoft dalam firmware mereka secara default, distribusi Linux telah mengandalkan Microsoft untuk menandatangani shim bootloader mereka - komponen penting yang memungkinkan Linux untuk boot pada sistem dengan Secure Boot yang diaktifkan. Ketika sertifikat era 2011 ini berakhir, media instalasi yang ditandatangani dengan kunci lama tidak akan lagi dipercaya oleh firmware.
Tanggal Penting dan Statistik
- Kedaluwarsa sertifikat Microsoft : 11 September 2024
- Sertifikat pengganti tersedia sejak: 2021
- Kedaluwarsa sertifikat berikutnya: 2038
- Tingkat keberhasilan pembaruan KEK: ~98%
- Tingkat keberhasilan pembaruan database: ~99%
Pembaruan Vendor Hardware Memegang Kunci
Solusinya sebagian besar bergantung pada produsen hardware yang menyediakan pembaruan firmware yang mencakup sertifikat Microsoft yang lebih baru dari 2021. Linux Vendor Firmware Service ( LVFS ) dan tools seperti fwupd dapat membantu mendistribusikan pembaruan ini, tetapi prosesnya tidak sempurna. Laporan komunitas menunjukkan bahwa pembaruan Key Exchange Key ( KEK ) berhasil sekitar 98% dari waktu, sementara pembaruan database mencapai tingkat keberhasilan 99%. Namun, bahkan tingkat kegagalan 1% mempengaruhi ribuan pengguna di seluruh dunia.
Beberapa pengguna menghadapi komplikasi tambahan dengan hardware tertentu. Laptop Lenovo, misalnya, memuat blob firmware Nvidia yang ditandatangani oleh sertifikat Microsoft sebelum mengakses pengaturan UEFI, menciptakan skenario lockout potensial ketika sertifikat berakhir.
Sistem yang Terpengaruh dan Solusi Sementara
- Sebagian besar PC: Seharusnya dapat berfungsi dengan pembaruan firmware
- Laptop Lenovo: Mungkin memerlukan manajemen kunci khusus vendor karena ketergantungan pada blob Nvidia
- Perangkat keras lama: Kemungkinan lebih tinggi mengalami masalah ruang variabel UEFI
- Sistem enterprise: Mungkin memerlukan intervensi IT untuk pendaftaran MOK
Komunitas Terbagi tentang Nilai Secure Boot
Komunitas Linux tetap terbagi tentang kegunaan Secure Boot. Kritikus berpendapat bahwa teknologi ini terutama melayani kepentingan Microsoft daripada kebutuhan keamanan yang sesungguhnya, dengan satu anggota komunitas mencatat ironi ketergantungan pada infrastruktur Microsoft untuk keamanan Linux. Pendukung membalas bahwa Secure Boot memberikan perlindungan berharga terhadap rootkit dan serangan tingkat boot, terutama di lingkungan enterprise.
Benar-benar sepertinya memiliki tanggal kedaluwarsa untuk sertifikat-sertifikat ini adalah kesalahan. Satu hal yang mungkin dilindunginya adalah kunci penandatanganan yang dikompromikan, tetapi jika Anda harus menunggu 15 tahun untuk kunci yang dikompromikan berhenti berlaku, itu tidak terlalu berguna!
Perdebatan ini menyoroti ketegangan fundamental: sementara Secure Boot dapat meningkatkan keamanan, implementasinya memberikan Microsoft kontrol signifikan atas apa yang dapat boot pada sebagian besar PC.
Solusi Alternatif dan Opsi Pengguna
Untuk pengguna yang menghadapi masalah sertifikat, beberapa opsi tersedia. Solusi paling langsung adalah menonaktifkan Secure Boot sepenuhnya, meskipun ini menghilangkan manfaat keamanan. Pengguna yang lebih teknis dapat mendaftarkan kunci penandatanganan mereka sendiri menggunakan tools seperti sbctl pada Arch Linux atau sistem Machine Owner Key ( MOK ) Ubuntu.
Namun, solusi-solusi ini memerlukan pengetahuan teknis yang tidak dimiliki banyak pengguna. Proses pendaftaran MOK, khususnya, melibatkan navigasi antarmuka bergaya 1980-an yang menakutkan selama boot, yang dapat membingungkan pengguna yang tidak familiar dengan prosesnya.
Solusi Teknis untuk Pengguna
- Nonaktifkan Secure Boot: Solusi paling sederhana, menghilangkan manfaat keamanan
- Pembaruan Firmware: Instal pembaruan melalui fwupd/LVFS untuk mendapatkan sertifikat baru
- Kunci Kustom: Gunakan alat seperti sbctl ( Arch ) atau MOK ( Ubuntu ) untuk mendaftarkan kunci sendiri
- Reset Pabrik: Bersihkan BIOS ke pengaturan default untuk mendefragmentasi ruang variabel UEFI
Melihat ke Depan
Krisis saat ini hanya mewakili awal dari tantangan manajemen sertifikat yang berkelanjutan. Sertifikat pengganti Microsoft berakhir pada 2038, bertepatan dengan rollover timestamp Unix 32-bit. Waktu ini menunjukkan bahwa kedaluwarsa sertifikat akan tetap menjadi masalah berulang untuk ekosistem Linux.
Sementara sebagian besar sistem seharusnya selamat dari transisi September dengan pembaruan yang tepat, insiden ini menggarisbawahi ketergantungan Linux yang tidak nyaman pada infrastruktur Microsoft. Saat komunitas bergulat dengan kenyataan ini, perdebatan tentang manfaat Secure Boot versus kendala-kendalanya terus mengintensif.
Catatan: Shim adalah bootloader kecil yang bertindak sebagai jembatan antara firmware UEFI dan bootloader Linux seperti GRUB. KEK (Key Exchange Key) adalah kunci khusus vendor yang digunakan untuk memperbarui database sertifikat dalam firmware UEFI.
Referensi: Linux and Secure Boot certificate expiration