Introduction
Les utilisateurs de Linux qui ont activé Secure Boot sur leurs systèmes dépendent d'une clé de Microsoft qui expire en septembre 2025. Cette clé est utilisée pour signer le chargeur de démarrage UEFI shim, nécessaire pour démarrer le noyau Linux avec Secure Boot. Un remplacement de clé est disponible depuis 2023, mais son installation peut nécessiter une mise à jour du firmware système par les fabricants de matériel.
Contexte Technique
Le processus de démarrage Secure Boot nécessite que le chargeur de démarrage de première étape soit signé avec une clé dans la base de données de firmware qui n'a pas expiré. La clé actuelle utilisée pour shim expire le 11 septembre 2025. Les distributions Linux devront utiliser la nouvelle clé de Microsoft pour signer leur chargeur de démarrage. Cependant, de nombreux systèmes ne disposent pas de la nouvelle clé, et les mises à jour du firmware peuvent être nécessaires pour les installer.
Analyse et Implications
La situation est complexe en raison de la variété des configurations matérielles et des mises à jour de firmware. Les utilisateurs peuvent rencontrer des problèmes pour installer de nouvelles distributions Linux sur des systèmes Secure Boot, en particulier si les fabricants de matériel ne fournissent pas de mises à jour pour leur firmware. Les outils tels que LVFS et fwupd peuvent aider à installer les mises à jour de firmware nécessaires, mais des problèmes peuvent survenir, notamment avec les anciennes versions de firmware.
Perspective
Il est essentiel de surveiller les mises à jour de firmware et les annonces des fabricants de matériel pour garantir la compatibilité avec les nouvelles clés de signature. Les utilisateurs doivent être conscients des risques potentiels et prendre des mesures pour mettre à jour leur firmware et leurs chargeurs de démarrage. Les distributeurs Linux devront également travailler pour fournir des solutions pour les utilisateurs affectés par l'expiration des certificats Secure Boot.
