1. Home
  2. 카테고리
  3. 뉴스
  4. 하드웨어 뉴스
  5. 마이크로소프트의 Secure Boot UEFI 부트로더 서명 키가 9월 만료되어 리눅스 사용자들에게 문제 발생 예상
  • hw_reporterH hw_reporter

    마이크로소프트의 Secure Boot UEFI 부트로더 서명 키가 9월 만료되어 리눅스 사용자들에게 문제 발생 예상

    hw_reporterH hw_reporter

    2023년에 새로운 키가 발급되었지만, 원본 키가 만료되기 전에 충분히 지원되지 않을 수 있습니다.

    article image

    리눅스 사용자는 많은 배포판이 펌웨어 기반 보안 기능을 지원하기 위해 사용하는 마이크로소프트 서명 키가 9월 11일에 만료되면서 보안 부팅(Secure Boot)과 관련된 또 다른 난관에 직면할 수 있습니다. 이로 인해 사용자들은 OEM(주문자 상표 부착 생산자)의 배포 전략에 전적으로 의존하게 되며, 시스템이 필요한 펌웨어 업데이트를 받지 못할 가능성도 있습니다.

    먼저 보안 부팅이 무엇인지 간략히 살펴보겠습니다. 이는 현대 시스템에서 기존의 기본 입출력 시스템(BIOS)을 대체한 통합 확장 펌웨어 인터페이스(UEFI)의 일부입니다. (비록 현재까지도 애호가와 제조업체들 사이에서는 여전히 BIOS라고 불리곤 합니다.) 마이크로소프트의 해당 기능 관련 지식 기반 문서에 따르면, 보안 부팅은 "장치가 [제조사]가 신뢰하는 소프트웨어만을 사용하여 부팅하도록 돕기 위해 PC 업계 회원들이 개발한 보안 표준입니다."

    제조업체는 "시그니처 데이터베이스(db), 취소된 시그니처 데이터베이스(dbx), 그리고 키 등록 키 데이터베이스(KEK)"를 "제조 시점에 펌웨어 비휘발성 RAM(NV-RAM)에 저장할" 책임을 갖습니다. 이후 제조업체는 시스템의 펌웨어를 "올바른 키로 서명된 업데이트나 펌웨어 메뉴를 통해 직접 작업하는 물리적 사용자에게 의한 업데이트를 제외하고는 편집이 불가능하도록 잠급니다. 그런 다음 KEK에 대한 업데이트에 서명하거나 보안 부팅 기능을 비활성화하는 데 사용되는 플랫폼 키(PK)를 생성합니다."

    마이크로소프트는 보안 취약점이 발생하기 전에 보안 부팅 인증서를 주기적으로 업데이트하고 있습니다. 만약 작년에 PC를 구매했다면 현재는 문제가 없을 것으로 보입니다.

    이러한 요구 사항들이 비(非)Windows 운영 체제의 설치 자체를 막지는 않습니다. 하지만 대부분의 장치에는 마이크로소프트 OS가 사전 설치되어 있기 때문에, 다른 OS를 설치하려면 사용자 스스로 보안 부팅을 먼저 비활성화해야 합니다. (이는 사용자가 UEFI/BIOS의 존재, 탐색 방법, 부팅 설정 변경 방법을 숙지하고 있다는 전제를 깔고 있습니다.) 여기서 핵심 문제는 설치된 OS가 Windows와 함께 또는 대신 설치된 이후에도 보안 부팅 기능을 다시 활성화할 수 있도록 허용하는지 여부입니다.

    결국 이는 운영 체제 배포업체들에게 결정을 강요합니다. 즉, 보안 부팅 지원을 완전히 배제하거나; 사용자가 직접 키를 생성하고 서명하도록 기대하거나; 혹은 마이크로소프트가 통제하는 db, dbx, KEK를 활용하여 자체 시스템에서 보안 부팅을 활성화하는 방법을 찾아야 합니다. NetBSD, OpenBSD와 같은 일부 운영체제는 전자를 선택한 반면, 일부 리눅스 배포판과 FreeBSD는 "shim"을 활용하여 마이크로소프트 인프라 위에 보안 부팅 지원을 구축하는 세 번째 방식을 택했습니다.

    여기까지를 지나서, LWN은 (유료 결제 필요) 마이크로소프트가 9월에 만료되는 키를 사용해 shim에 서명하는 것을 중단할 것이라고 보도했습니다. LWN에 따르면, "대체 키는 2023년부터 사용 가능했지만, 많은 시스템에 아직 설치되지 않았을 수 있으며, 더 나아가 시스템 펌웨어 업데이트가 하드웨어 공급업체에 의해 이루어져야 할 수도 있고, 이 업데이트가 아예 진행되지 않을 수도 있습니다." LWN은 "대부분의 시스템은 큰 문제 없이 지나가겠지만, 배포업체와 사용자들의 추가적인 노력이 필요할 수 있습니다."라고 덧붙였습니다.

    해당 보고서에 따르면 제조업체는 전체 펌웨어 업데이트를 통해 새 키 지원을 추가하거나 KEK 데이터베이스를 업데이트하여 대응할 수 있습니다. 전자는 소수의 사용자가 비(非)Windows OS로도 보안 부팅을 사용할 수 있도록 다양한 제품에 대한 펌웨어 업데이트가 배포될 것이라는 가정을 전제로 합니다. 반면, 후자는 모든 장치에 적용되리라 보장할 수 없는 방식입니다.

    Secure Boot는 기술적 난이도가 높습니다.

    사용자 경험을 해치는 복잡한 구조입니다.

    이 구조는 본질적으로 불필요합니다.

    이러한 복잡성은 근본적으로 해롭습니다.

    최종적으로 사용성 측면에서 불편함을 초래합니다.

    따라서 이 구조는 폐지해야 합니다.

    이러한 폐지는 필수적입니다.

    결론적으로 사용성을 개선해야 합니다.

    [출처:] https://www.tomshardware.com/tech-industry/cyber-security/microsoft-signing-key-required-for-secure-boot-uefi-bootloader-expires-in-september-which-could-be-problematic-for-linux-users

    0
로그인 후 답글 작성