Modern bilgisayarların temel güvenlik özelliklerinden biri olan Güvenli Önyükleme (Secure Boot), Linux kullanıcıları için yeni bir zorluk kapıda. Birçok Linux dağıtımının bu özelliğe destek vermek için kullandığı Microsoft imzalı anahtarın 11 Eylül'de süresinin dolması, sistemlerin güncel kalmasını engelleyebilir ve potansiyel güvenlik açıkları yaratabilir.
Güvenli Önyükleme, modern sistemlerde yerini BIOS'a bırakan Birleşik Genişletilebilir Firmware Arayüzü'nün (UEFI) bir parçasıdır. Temel olarak, bir cihazın yalnızca üretici tarafından güvenilen yazılımlarla başlatılmasını sağlamak amacıyla geliştirilmiş bir güvenlik standardıdır. Üreticiler, bu özelliği sağlamak için imza veritabanı (db), iptal edilen imzalar veritabanı (dbx) ve Anahtar Kayıt Anahtarı veritabanı (KEK) gibi bileşenleri üretim aşamasında firmware'e kaydeder ve bu verilerin değiştirilmesini kilitler.
Bu sistem, Windows dışındaki işletim sistemlerinin kurulmasını engellemez. Ancak çoğu cihaz, varsayılan olarak Microsoft işletim sistemiyle geldiği için, farklı bir işletim sistemi kurmak isteyen kullanıcıların öncelikle Güvenli Önyükleme'yi devre dışı bırakması gerekir. Bu durum, UEFI/BIOS'un varlığından, arayüzünde gezinmekten ve önyükleme ayarlarını değiştirmekten haberdar olmayı gerektirir.
İşletim sistemi dağıtıcıları ise bu noktada bir karar vermek durumunda kalıyor: Güvenli Önyükleme desteğini tamamen kaldırmak, kullanıcıların kendi anahtarlarını oluşturup imzalamasını beklemek veya Microsoft'un kontrolündeki veritabanlarını kullanarak kendi sistemlerinde Güvenli Önyükleme'yi etkinleştirmenin bir yolunu bulmak. NetBSD, OpenBSD gibi bazı dağıtımlar ilk seçeneği tercih ederken, bazı Linux dağıtımları ve FreeBSD, Microsoft'un altyapısı üzerine kurulu Güvenli Önyükleme desteği için bir "shim" (aracı katman) kullanıyor.
Şimdi gelelim asıl soruna: Microsoft, süresi dolacak olan anahtarla "shim"i imzalamayı durduracak. Bu yeni anahtar 2023'ten beri mevcut olsa da, birçok sistemde henüz yüklü olmayabilir. Daha da önemlisi, bu durum donanım satıcılarının sistem firmware'i için bir güncelleme yayınlamasını gerektirebilir ki bu da her zaman gerçekleşmeyebilir. Bu durum, çoğu sistemin sorunsuz bir şekilde geçiş yapmasını sağlayabilir ancak dağıtıcılar ve kullanıcılar için ek çaba gerekebilir.
Üreticiler, yeni anahtar desteğini tam bir firmware güncellemesiyle veya KEK veritabanını güncelleyerek ekleyebilirler. İlk senaryoda, üreticilerin azınlıktaki kullanıcıları için firmware güncellemesi dağıtma motivasyonu sorgulanabilir. İkinci yöntem ise henüz tüm cihazlarda çalışacağı garanti edilmeyen, denenmemiş bir mekanizmadır. Her iki durumda da, bazı kullanıcıların kendi başlarına çözüm bulması gerekebilir.
Tüm bu süreç, aslında birçok güvenlik açığına (örneğin, BootHole ve BlackLotus gibi bilinen zafiyetler) sahip olan bir özellik için yaşanıyor. Bu zafiyetler, belirli üreticilerin anakartlarından bazılarını etkilemiş ve hatta bazı durumlarda TPM 2.0'a sahip olmayan sistemlere Windows 11 kurulabilmesi gibi beklenmedik sonuçlar doğurmuştur.
Güvenli Önyükleme'nin amacı, önyükleme kitlerinin (bootkit) kurulumunu zorlaştırmak olsa da, süresi dolan anahtarın yaratacağı karmaşa, kullanıcıları ya Windows'a bağlı kalmaya ya da Güvenli Önyükleme'yi tamamen devre dışı bırakmaya itiyor. Windows 10'un desteğinin sona ermesiyle birlikte diğer platformların popülerliğinin artmasıyla bu durumun nasıl şekilleneceği ve Güvenli Önyükleme'nin mevcut haliyle bu değişime ne kadar hazır olduğu ise merak konusu.
