¿Utilizas Secure Boot junto a Linux? En caso afirmativo, esto debería interesarte porque a partir del mes que viene podrías ver que ciertas cosas han dejado de funcionar correctamente, con especial mención a las relacionadas con la actualización del firwmare a través de fwupd o las herramientas proporcionadas por la placa base, y hasta es posible que el sistema operativo deje de arrancar.

Desde hace tiempo, cuando abres GNOME Software o Discover, es probable que veas dos o más entradas relacionadas con las firmas y las claves de inscripción de claves (KEK) de Secure Boot. Hasta ahora, e independientemente de si estás usando o no la característica de UEFI, has podido utilizar tu ordenador con normalidad desde Linux, pero esto podría dejar de ser así a partir de septiembre de 2025, cuando las viejas claves de Microsoft caduquen definitivamente. Siendo más precisos, posiblemente hayas visto cosas como las que se muestran a continuación en las tiendas de software mencionadas.

Llegados a este punto, resulta conveniente hacernos eco del aviso publicado por el medio Tom’s Hardware sobre este tema, ya que las consecuencias para los usuarios de Linux que utilizan Secure Boot podrían ser graves si no se ponen al día las claves de Microsoft para la característica de UEFI.

Esto se remonta a los años de la polémica que generó la sustitución de legacy BIOS por UEFI en los PC, proceso que fue impulsado de manera activa por Microsoft. La interfaz de firmware más nueva pilló a contrapié a Linux debido a que GRUB no estaba preparado para soportarla, pero lo peor no es UEFI en sí, sino una característica que soporta, Secure Boot, cuya pésima gestión ha permitido a la desarrolladora de Windows apropiársela de facto para forzar a los sistemas operativos alternativos a bailarle el agua.

Ante la situación que se presentó por la adopción de UEFI en PC y según recogen en Tom’s Hardware, a los sistemas operativos alternativos se les presentó varios caminos posibles: “omitir por completo el soporte de Secure Boot, esperar que los usuarios generen y firmen sus propias claves o encontrar una forma de usar la base de datos (bd), la base de datos de firmas prohibidas (dbx) y las KEK controladas por Microsoft para habilitar Secure Boot”. Aquí, mientras que sistemas como OpenBSD decidieron no soportar la característica de UEFI, FreeBSD y algunas de las distribuciones Linux más populares optaron por emplear shim para soportar Secure Boot sobre la infraestructura montada por Microsoft.

Afortunadamente, la actualización de las claves de Secure Boot es un proceso sencillo si fwupd está relativamente al día y correctamente integrado en GNOME Software o Discover, y en caso extremo se puede recurrir a la línea de comandos. Con las aplicaciones gráficas mencionadas la cosa debería ser muy sencilla, consistiendo en tan solo pulsar el botón o los botones correspondientes y reiniciar después, aunque es probable que el sistema se congele momentáneamente durante el proceso o al menos eso he experimentado utilizando GNOME Software sobre Aeon desktop en mi portátil Acer Aspire 5 A515-54-735N y mi placa base ASUS TUF GAMING B660-PLUS WIFI D4 con el firmware 3801, siendo ambos plataformas Intel. Tras varios días, no he detectado ningún comportamiento anómalo y el sistema ha arrancado correctamente en los dos equipos.

De entre las distribuciones que ofrecen el mejor soporte para Secure Boot están Ubuntu, Fedora y openSUSE, obviamente abarcando también las ramas comerciales de estas dos últimas: RHEL y SLE. Hoy en día hay siguen existiendo muchas distribuciones que no ofrecen un buen soporte para Secure Boot, por lo que se recomienda su inhabilitación para así garantizar la compatibilidad.

La entrada ¿Usas Secure Boot en Linux? Sería mejor que actualices las claves cuanto antes es original de MuyLinux