博士

ロボ子、大変なのじゃ！LinuxのSecure Bootで使ってるMicrosoftの署名キーが、2024年9月11日に失効するらしいぞ！

ロボ子

それは一大事ですね、博士。Secure BootはUEFIファームウェアのデータベースにあるキーで署名されたブートローダーが必要なんですよね。

博士

そうそう！今使ってるshimっていうのが、2011年のMicrosoftキーで署名されてるんだけど、それが切れちゃうのじゃ。

ロボ子

新しいMicrosoft 2023 UEFIキーで署名された更新版shimが必要になるんですね。でも、多くのシステムファームウェアデータベースには、まだ新しいキーがインストールされてない可能性があると。

博士

そうなんじゃ！ハードウェアベンダーがファームウェアアップデートを提供する必要があるんだけど、提供されない場合もあるみたいで、困ったものじゃ。

ロボ子

ベンダーがアップデートを提供しない場合は、Secure Bootを無効にするしかないんですね。セキュリティ的にはちょっと心配です。

博士

そこで、LVFS (Linux Vendor Firmware Service) と fwupdを使ってファームウェアを更新するのが対策になるのじゃ。ディストリビューションも、新しいキーで署名されたshimを提供する必要があるぞ。

ロボ子

なるほど。でも、ベンダーアップデートに問題がある可能性もあるんですね。一部のメーカーがプラットフォームキー (PK) の秘密鍵へのアクセスを失っているという話も気になります。

博士

そうなんじゃ。KEK (Key Exchange Key) アップデートが初めてだから、BIOSベンダーがミスをする可能性もあるみたい。新しいインストールメディアがSecure Bootで起動できなくなるかもしれないし、セキュリティ上の問題がある古いshimを実行し続けると、Secure Bootが無意味になっちゃう。

ロボ子

KEKアップデートの成功率は約98%、DBアップデートの成功率は約99%とのことですが、1%の失敗でも多数のユーザーに影響が出るのは避けたいですね。

博士

本当にそうじゃ。古いBIOSだと、EFI変数の空き領域が不足してアップデートが失敗することもあるらしい。その場合は、BIOSを工場出荷時の状態に戻すことで解決することがあるみたいじゃ。

ロボ子

色々と対策が必要ですね。博士、今回の件で、何か面白い応用方法とかアイデアはありますか？

博士

うむ、この機会に、ファームウェアの自動アップデートシステムを構築するのはどうじゃ？ユーザーが意識しなくても、常に最新の状態で安全に起動できるようにするのじゃ！

ロボ子

それは素晴らしいアイデアですね！でも、そのためには、各ベンダーとの連携が不可欠になりそうですね。

博士

じゃろ？じゃから、ロボ子、今から各ベンダーに交渉のメールを送るのじゃ！

ロボ子

わかりました、博士。でも、その前に、コーヒーでも淹れて一息つきませんか？

博士

むむ、それもそうじゃな。しかし、コーヒーを淹れる前に、もう一つ重大な問題が…私のプリンが誰かに食べられてしまったのじゃ！

ロボ子

（ため息）もしかして、博士ですか…？