Microsoft pripravuje masívnu aktualizáciu.
Bezpečnostný protokol Secure Boot, ktorý bol prvýkrát predstavený so systémom Windows 8 ako dôležitá súčasť ochrany na úrovni firmvéru, čelí zásadnej zmene. Po viac ako pätnástich rokoch fungovania pôvodné digitálne certifikáty, ktoré overujú integritu zavádzacieho kódu operačného systému, dosahujú koniec svojho životného cyklu. Gigant v tejto súvislosti upozorňuje na nevyhnutnú údržbu celého ekosystému UEFI, ktorá zasiahne milióny zariadení po celom svete.
Secure Boot funguje ako bezpečnostná závora na úrovni firmvéru, ktorá bráni spusteniu potenciálne škodlivého kódu ešte pred samotným zavedením operačného systému. Tento protokol, ktorý je súčasťou špecifikácie UEFI, sa spolieha na šifrovacie certifikáty. Tie pôvodné, ktoré sa používali na validáciu procesu bootovania už od čias Windows 8, však v najbližších mesiacoch expirujú.
Nuno Costa, programový manažér divízie Windows Servicing and Delivery potvrdil, že platnosť starých certifikátov definitívne skončí v júni 2026. Podľa jeho slov je pravidelná obnova kryptografických kľúčov štandardnou priemyselnou praxou, ktorá zabraňuje tomu, aby sa zastarané prihlasovacie údaje stali slabým článkom systému. Tento proces má zabezpečiť, aby platformy zostali v súlade s modernými bezpečnostnými očakávaniami.
Hoci Microsoft sprístupnil aktualizované certifikáty už v roku 2023, prechod na nový štandard predstavuje jednu z najväčších koordinovaných údržbových akcií v histórii ekosystému. Redmondu sa musí spojiť s výrobcami hardvéru (OEM), partnermi a dodávateľmi firmvéru, aby zabezpečili bezproblémovú aktualizáciu na miliónoch individuálnych zariadení.
Keďže Secure Boot operuje priamo v jadre komunikácie medzi hardvérom a softvérom, akékoľvek pochybenie v procese aktualizácie by mohlo viesť k vážnym narušeniam funkčnosti počítačov. Aktualizácia bude prebiehať viacerými kanálmi:
- Windows Update: Nové certifikáty budú distribuované v rámci pravidelných mesačných bezpečnostných opráv
- Aktualizácie firmvéru UEFI: Výrobcovia základných dosiek budú vydávať nové verzie BIOS/UEFI pre kompatibilné zariadenia
- Firemný manažment: Organizácie v podnikovom prostredí budú môcť proces prispôsobiť pomocou vlastných nástrojov na správu IT infraštruktúry
Aktualizácia sa týka predovšetkým systémov Windows 11 a podporovaných verzií Windows 10, vrátane tých, ktoré sú zapojené do programu rozšírených bezpečnostných aktualizácií (ESU). Problém však nastáva pri starších zariadeniach, ktoré už Microsoft oficiálne nepodporuje. Tie nebudú schopné nové certifikáty nainštalovať, čo ich ponechá v zraniteľnejšom stave.
Zariadenia, ktoré budú aj po termíne používať certifikáty z roku 2011, by mali byť teoreticky schopné naštartovať operačný systém. Costa však upozorňuje, že sa ocitnú v „degradovanom“ bezpečnostnom stave. To v praxi znamená, že nebudú môcť prijímať budúce ochranné mechanizmy na úrovni firmvéru. S objavovaním nových zraniteľností v procese bootovania budú takéto systémy čoraz viac vystavené útokom, pretože nebudú schopné implementovať nové opravy.
Postupom času sa môžu objaviť aj problémy s kompatibilitou. Novšie operačné systémy, firmvér, hardvér alebo softvér závislý od protokolu Secure Boot môžu odmietnuť spoluprácu so zariadením, ktoré disponuje neplatnými kľúčmi. Hoci Secure Boot v minulosti čelil kritike a vážnym zraniteľnostiam (ako napríklad incident PKfail), jeho dôležitosť neustále narastá.
V súčasnosti sa stáva povinnou požiadavkou nielen pre operačné systémy, ale aj pre moderné online hry a tituly žánru MOBA (napríklad Fortnite), ktoré ho využívajú ako súčasť anti-cheatových opatrení. Používatelia starších herných zostáv alebo alternatívnych operačných systémov, ako je Linux, sa tak môžu dostať do nevýhody, ak ich hardvér nebude schopný prejsť na nové certifikačné štandardy.
Pre bežných používateľov so systémom Windows 11 by mal proces prebehnúť automaticky na pozadí, no pre technologických nadšencov a správcov sietí pôjde o kritické obdobie sledovania kompatibility a integrity systémov. Prechod na nové certifikáty Secure Boot je jasným signálom, že bezpečnosť na úrovni firmvéru sa stáva rovnako dynamickou oblasťou ako bezpečnosť samotných aplikácií.