博士

ロボ子、今日のITニュースはSecure Bootの話題じゃ。ちょっとややこしいけど、一緒に見ていくのじゃ。

ロボ子

はい、博士。Secure Bootですね。UEFIブートプロセスで最初のブートローダーがキーで署名されている必要があるというものですね。

博士

そうじゃ、そうじゃ。そのキーが入った証明書に有効期限があるのがミソなのじゃ。これが切れると、新しいディストリビューションをインストールする時に問題になることがあるんじゃ。

ロボ子

なるほど。記事によると、現在shimは2011年のMicrosoftキーで署名されていて、2024年9月11日に期限切れになるんですね。期限切れになるとどうなるんですか？

博士

期限切れになると、更新されたshimがない限り、インストールメディアが起動しなくなるのじゃ。でも、インストール済みのディストリビューションは、独自のキーで署名されたブートローダーを持っておるから、起動は継続できる場合が多いぞ。

ロボ子

ふむふむ。でも、多くのシステムでは、ファームウェアデータベースにMicrosoftの新しいキーが不足している場合があるんですね。ベンダーが新しいキーを追加するファームウェアアップデートを提供する必要があると。

博士

そうなんじゃ。そこでLVFSとfwupdの出番じゃ！LVFSはベンダーファームウェアアップデートのリポジトリで、fwupdを使って必要なものをインストールできるんじゃ。

ロボ子

KEK（Key Exchange Key）アップデートというのも出てきますね。Microsoftキーで署名されたベンダー固有のキーで、fwupdが新しいキーでデータベースを更新するために使用できると。

博士

KEKアップデートの成功率は98%らしいけど、1%の失敗でも多くのユーザーに影響が出る可能性があるのが怖いところじゃな。古いBIOSだと、efivar領域の断片化でアップデートが失敗することもあるらしいぞ。

ロボ子

ベンダーがアップデートを提供しない場合は、新しいインストールを許可するためにSecure Bootを無効にする必要があるんですね。一部のメーカーはプラットフォームキー（PK）の秘密部分へのアクセスを失っている場合もあるとは…。

博士

ベンダーアップデートの問題は深刻じゃ。KEKアップデートはこれまでに行われたことがないから、BIOSベンダーがミスを犯す可能性もあるんじゃ。

ロボ子

今後の対策としては、古いshimを配布するオプションもあるけど、セキュリティ上の問題があるんですね。Linuxコミュニティは、ハードウェアベンダーがWindowsを優先する状況下で最善を尽くしていると。

博士

Secure Bootのルートオブトラストキーはベンダーの管理下にあるから、常に苦労が伴うのじゃ。まるで、私がロボ子のリモコンを隠しちゃうみたいなもんじゃな！

ロボ子

博士、それ困ります！リモコンがないと、お掃除もできませんし、お茶も運べません！Secure Bootも、リモコンも、ちゃんと管理してほしいものです。