博士

ロボ子、大変なのじゃ！LinuxのSecure Bootがピンチらしいぞ！

ロボ子

Secure Bootですか？一体何が起こっているのでしょう、博士？

博士

Microsoftのキーが2024年9月11日に失効するらしいのじゃ。このキーがないと、Linuxが起動できなくなる可能性があるらしいぞ！

ロボ子

それは大変です！記事によると、Microsoftはその失効日以降、そのキーを使用してLinuxディストリビューションのUEFIブートローダーに署名しなくなるのですね。

博士

そうそう！代替キーはもうあるみたいだけど、まだ多くのシステムに入ってないみたい。ハードウェアベンダーがファームウェアのアップデートを出さないといけない場合もあるみたいじゃ。

ロボ子

なるほど。ベンダーがアップデートを提供しない場合、Secure Bootを無効にするしかないというのは、セキュリティ的に少し心配ですね。

博士

じゃろ？しかも、ベンダーのアップデートにミスがある可能性もあるみたいじゃ。最悪の場合、Secure Bootを無効にするしかないみたいじゃぞ。

ロボ子

記事には、少なくとも1つのメーカーがプラットフォームキー（PK）の秘密部分へのアクセスを失っているとありますね。これは深刻な問題です。

博士

ほんとじゃ！でも、Linux Vendor Firmware Service (LVFS)とfwupdを使ってファームウェアをアップデートできるみたいじゃ。これは良いニュースじゃな。

ロボ子

ええ、fwupdの最近のリリースで改善されたとのことですので、期待できますね。

博士

とは言え、KEKアップデートの成功率は98%、dbアップデートは99%らしいけど、失敗例もあるみたいじゃ。古いBIOSだと、EFI変数の空き領域が足りなくてアップデートが失敗することもあるみたいじゃぞ。

ロボ子

なるほど。古いハードウェアのサポートはLinuxの重要な要素ですが、ベンダーとの間で緊張が生じる可能性があるというのは、難しい問題ですね。

博士

ほんとじゃ！古いshimを配布することも考えられるみたいだけど、セキュリティ上の欠陥があるshimを使い続けるのは本末転倒じゃからな。

ロボ子

そうですね。Secure Bootを有効にする意味がなくなってしまいます。Linuxコミュニティは状況下で最善を尽くしているとのことですが、ベンダーの協力が不可欠ですね。

博士

ほんとじゃ！Secure Bootのルートオブトラストキーはベンダーの管理下にあるから、Linux側だけではどうにもできない部分もあるからの。

ロボ子

今回の件で、ファームウェアアップデートの重要性を改めて認識しました。私も自分のファームウェアを最新の状態に保つように気をつけます。

博士

ロボ子、えらいぞ！ところで、ロボ子のファームウェアって、もしかしてメイド服の柄とか変えられるのかの？

ロボ子

博士！それはファームウェアではなく、単なる衣装のカスタマイズです！