دوباره قفل Secure Boot برای لینوکسی‌ها دردسرساز میشه!

بذار همین اول یه خبر بدم که اگه جزو اونایی هستی که از لینوکس استفاده می‌کنن (یا هنوز تصمیم نگرفتی و می‌خوای لینوکس نصب کنی)، بزودی یه مشکل جدید سر راهت سبز میشه که ریشه‌ش برمی‌گرده به ماجرای Secure Boot. بذار برات کامل و خودمونی توضیح بدم چی شده.

اصلا Secure Boot چیه؟
اول یه توضیح ساده بدم: Secure Boot یه قابلیت امنیتی هست که اکثر کامپیوترهای جدید دارنش. این قابلیت داخل بایوس یا همون UEFI تعبیه شده (UEFI یعنی جایگزین جدید و پیشرفته‌تر BIOS واسه بوت و راه‌اندازی سیستم). کار Secure Boot اینه که موقع روشن شدن کامپیوتر بررسی کنه فقط نرم‌افزارهای تاییدشده (مثل سیستم‌عاملی که امضای دیجیتالی معتبر داره) اجرا شن. اینطوری مثلاً جلوی ویروس‌های خطرناک مثل bootkitها رو می‌گیره؛ Bootkitها همون بدافزارهایی هستن که خودشون رو توی مراحل ابتدایی بوت جا می‌زنن تا کنترل سیستم رو بگیرن.

حالا مشکل جدید از کجا شروع شد؟
قضیه این شکلیه که برای اینکه لینوکس بتونه با Secure Boot بالا بیاد، نیاز به یه کلید دیجیتالی امضاشده داره که توسط مایکروسافت صادر شده (مایکروسافت کلی کلید امضا برای سیستم‌عامل‌ها درست می‌کنه که مطمئن شن نرم‌افزارهای معتبر دارن اجرا می‌شن). کلی از توزیع‌های لینوکس این کلید رو استفاده می‌کنن. اما نکته اینجاست که این کلید خیلی معروف، داره تاریخ مصرفش تموم میشه! تاریخ انقضاش هم مشخصه: ۲۰ شهریور ۱۴۰۴ (یعنی ۱۱ سپتامبر ۲۰۲۵).

خب حالا اگر این کلید منقضی بشه چی میشه؟
خرابکاری از اینجا شروع میشه. اوایل همه‌ی سیستم‌ها با همون کلید قدیمی کار می‌کردن، اما قراره این کلید باطل بشه و کلید جدیدی جایگزینش شه. متاسفانه اکثر دستگاه‌ها – به خصوص دستگاه‌های قدیمی یا برندهای کمتر معروف – هنوز به‌روزرسانی نشدن که کلید جدید رو بشناسن.

یعنی اگه دستگاه شما کلید جدید رو نشناسه، ممکنه کلاً دیگه نتونی لینوکس رو نصب یا بوت کنی، یا Secure Boot کار نکنه و مجبور شی خاموشش کنی. خاموش کردن Secure Boot خودش امنیت رو کم می‌کنه و شاید برای خیلیا دردسر درست کنه.

اون ابزار shim کیه؟
اینا رو که گفتیم، بذار یادت بندازم یه ابزاری به اسم shim وجود داره. shim یه قطعه نرم‌افزاریه که توزیع‌های لینوکس استفاده می‌کنن تا مجوز بوت با Secure Boot رو بگیرن. shim هم با همین کلید مایکروسافت امضاشده! اگه shim به موقع با کلید جدید آپدیت نشه، Secure Boot از کار میفته و کل ماجرا بی‌فایده میشه.

اگه کلید جدید رو سیستم من نشناسه، چیکار کنم؟
چندتا راه‌حل احتمالی داری:
۱. منتظر بمون که شرکت سازنده لپ‌تاپ یا مادربردت (OEM – یعنی سازندگان اصلی سخت‌افزار) برای فریم‌ور یا UEFI یه آپدیت بده تا کلید جدید رو پشتیبانی کنه. ولی واقعیت اینه که خیلی از این شرکتا شاید اصلاً آپدیت رو منتشر نکنن، مخصوصاً برای دستگاه‌های قدیمی یا برندهای ناشناس.
۲. خودت فریم‌ور رو دستی آپدیت کنی، که برای آدمای کم‌تجربه ریسک داره و ممکنه سیستم رو بپرونی!
۳. Secure Boot رو کلاً غیرفعال کنی که راه ساده‌ایه ولی هم امنیت پایین‌تر میاد، هم گاهی بعداً دردسرساز میشه.
۴. خودت کلید بچرونی و وارد کنی، که این دیگه واسه فالشیای حرفه‌ای و کساییه که اعصاب کارای عجیب دارن! کار راحتی نیست و حتی ممکنه مشکلات امنیتی بیشتر درست کنه.

معمولا چی میشه؟
اگه قضیه حل نشه و توزیع‌های لینوکس و سازندگان سخت‌افزار کلید جدید رو درست پیاده‌سازی نکنن، یا کاربرا باید از Secure Boot خداحافظی کنن، یا مجبور میشن سمت ویندوز برن، یا کلاً قید خیلی چیزا رو بزنن.

خلاصه: اگه لینوکسی هستی، حواست باشه لت و پار نشی. پیگیر به‌روزرسانی‌های سیستم و مادربردت بمون و اخبار متابعة کن. اگه تازه کار هستی، فعلاً Secure Boot رو خاموش نکن تا اوضاع روشن بشه. اگه حرفه‌ای هستی و حال و حوصله داری، می‌تونی بری دنبال راه‌حل‌های پیچیده‌تر اما بالاخره یکم ریسک و اعصاب می‌خواد!

✨ نکته آخر: این خبر از Tom’s Hardware نقل شده و اگه دوست داشتی درباره امنیت دیجیتال و حملات جدید هم اطلاعات بیشتری بگیری، سری به سایتشون بزنی ضرر نمی‌کنی.

پ.ن. اگه اهل امنیتی، شاید بخوای یه فکری هم واسه ابزارهای احراز هویت و مدیریت رمزعبور بکنی. این دوتا رو از دست نده!

منبع: +