انقضای گواهی Secure Boot در راه است

انقضای گواهی Secure Boot در راه است
گواهی‌های Secure Boot صادرشده در ۲۰۱۱ ژوئن ۲۰۲۶ منقضی می‌شوند و دستگاه‌های قدیمی برای حفظ امنیت بوت باید به‌روزرسانی شوند.

گواهی‌های رمزنگاری Secure Boot که از سال ۲۰۱۱ در اغلب کامپیوترها استفاده می‌شوند، در ژوئن ۲۰۲۶ منقضی خواهند شد. بدون جایگزینی این گواهی‌ها، تأیید اصالت نرم‌افزار در مرحله بوت مختل می‌شود و خطر حملات سطح پایین مانند Rootkit افزایش می‌یابد. Microsoft از ۲۰۲۳ گواهی Windows UEFI CA 2023 را منتشر کرده و تولیدکنندگان بزرگی مانند Lenovo، HP، Dell و ASUS روند به‌روزرسانی را آغاز کرده‌اند. کاربران باید وضعیت سیستم خود را بررسی کنند.

بیش از یک میلیارد کامپیوتر شخصی در جهان در آستانه یک تغییر مهم امنیتی قرار دارند؛ گواهی‌های رمزنگاری Secure Boot که نخستین‌بار در سال ۲۰۱۱ صادر شدند، در ژوئن ۲۰۲۶ (تیرماه ۱۴۰۵) منقضی خواهند شد. این رویداد می‌تواند بر امنیت مرحله بوت سیستم‌های مبتنی بر ویندوز تأثیر مستقیم بگذارد.

قابلیت Secure Boot که بخشی از معماری UEFI است، به‌عنوان یک مکانیزم امنیتی در لایه پیش از بارگذاری سیستم‌عامل عمل می‌کند. هدف این قابلیت جلوگیری از اجرای کدهای غیرمجاز در فرآیند Boot Loader است؛ به‌عبارت دیگر، تنها نرم‌افزارهایی که با گواهی‌های معتبر امضا شده‌اند، اجازه اجرا خواهند داشت.

چرا انقضای گواهی اهمیت دارد؟

Secure Boot برای اعتبارسنجی نرم‌افزارهای مرحله بوت به گواهی‌های رمزنگاری (Cryptographic Certificates) متکی است. این گواهی‌ها در پایگاه داده UEFI Firmware ذخیره می‌شوند و هنگام روشن شدن سیستم، امضای دیجیتال Boot Manager و سایر اجزای حیاتی بررسی می‌شود.

گواهی‌هایی که در سال ۲۰۱۱ توسط Microsoft صادر شدند، در ژوئن ۲۰۲۶ منقضی خواهند شد. در صورت عدم جایگزینی این گواهی‌ها با نسخه جدید، سیستم دیگر قادر به تأیید اعتبار نرم‌افزارهای مرحله بوت نخواهد بود.

پیامدهای احتمالی شامل موارد زیر است:

  • عدم بارگذاری صحیح ویندوز
  • ناتوانی در دریافت به‌روزرسانی‌های امنیتی مرتبط با Boot Chain
  • افزایش ریسک حملات Rootkit و Bootkit
  • تضعیف مکانیزم‌های حفاظت پیش از بارگذاری سیستم‌عامل

تأثیر بر BitLocker و رمزگذاری دیسک

در بسیاری از سیستم‌ها، Secure Boot با مکانیزم رمزگذاری دیسک کامل مانند BitLocker در تعامل است. اگر Secure Boot غیرفعال شود، ممکن است کلیدهای رمزگذاری مبتنی بر TPM معتبر شناخته نشوند و کاربر برای دسترسی به داده‌ها نیازمند Recovery Key باشد.

مایکروسافت هشدار داده است که غیرفعال‌سازی Secure Boot به‌منظور دور زدن مشکل گواهی، می‌تواند منجر به از دست رفتن دسترسی به درایوهای رمزگذاری‌شده شود.

چه دستگاه‌هایی تحت تأثیر قرار می‌گیرند؟

تقریباً تمام کامپیوترهایی که پس از سال ۲۰۱۱ تولید شده‌اند و از UEFI Secure Boot استفاده می‌کنند، مشمول این تغییر هستند.

مایکروسافت از سال ۲۰۲۳ گواهی جدیدی با عنوان Windows UEFI CA 2023 منتشر کرده است. دستگاه‌هایی که از سال ۲۰۲۴ به بعد تولید شده‌اند، معمولاً این گواهی را به‌صورت پیش‌فرض دارند.

اما سیستم‌های قدیمی‌تر برای حفظ امنیت باید یکی از مسیرهای زیر را طی کنند:

  • دریافت به‌روزرسانی ویندوز
  • دریافت Firmware Update از سازنده دستگاه یا مادربرد

شرکت‌هایی مانند Lenovo، HP، Dell و ASUS همکاری با مایکروسافت برای جایگزینی گواهی‌ها را آغاز کرده‌اند.

نحوه بررسی وضعیت گواهی در ویندوز

کاربران می‌توانند وضعیت گواهی Secure Boot را از طریق PowerShell بررسی کنند. مراحل پیشنهادی:

  1. ۱. در منوی Start عبارت PowerShell را جستجو کنید.
  2. ۲. برنامه را با دسترسی Administrator اجرا کنید.
  3. ۳. دستور زیر را وارد کنید:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • اگر خروجی True باشد، گواهی‌های جدید نصب شده‌اند.
  • اگر خروجی False باشد، سیستم نیازمند به‌روزرسانی Firmware یا دریافت Patch از طریق Windows Update است.

وضعیت ویندوز ۱۰ و ویندوز ۱۱

کاربران Windows 11 در اغلب موارد از طریق به‌روزرسانی‌های ماهانه ویندوز گواهی‌های جدید را دریافت می‌کنند، به‌ویژه اگر دستگاه از برندهای بزرگ باشد.

برای کاربران Windows 10، دریافت این اصلاحیه منوط به داشتن اشتراک Extended Security Updates است. در برخی مدل‌ها، حتی پس از دریافت آپدیت ویندوز، یک به‌روزرسانی جداگانه Firmware نیز لازم خواهد بود.

وضعیت سیستم‌های اسمبل‌شده

کاربرانی که سیستم خود را اسمبل کرده‌اند، باید وب‌سایت سازنده مادربرد را بررسی کنند. اگر مادربرد قدیمی باشد و پشتیبانی Firmware جدید منتشر نشده باشد، ممکن است امکان جایگزینی گواهی فراهم نشود. در چنین شرایطی، ریسک امنیتی در بلندمدت افزایش می‌یابد.

نمایش وضعیت در Windows Security

مایکروسافت اعلام کرده است که وضعیت گواهی Secure Boot را در اپلیکیشن Windows Security نمایش خواهد داد تا کاربران از طریق اعلان‌های امنیتی از وضعیت سیستم خود مطلع شوند.

این اقدام در راستای افزایش شفافیت امنیتی و کاهش ریسک ناشی از انقضای گسترده گواهی‌ها انجام شده است.

تحلیل امنیتی

از منظر امنیت سایبری، این رخداد یک تهدید مستقیم محسوب نمی‌شود، بلکه یک رویداد زمان‌محور (Time-bound Security Event) است. اما در صورت عدم مدیریت مناسب، می‌تواند به ایجاد شکاف امنیتی در مرحله Pre-OS منجر شود.

مرحله بوت یکی از حساس‌ترین نقاط زنجیره اعتماد (Chain of Trust) در سیستم‌های مدرن است. هرگونه اختلال در این زنجیره می‌تواند امنیت کل سیستم را تحت تأثیر قرار دهد.

بنابراین توصیه می‌شود سازمان‌ها:

  • موجودی کامل دارایی‌های سخت‌افزاری خود را به‌روزرسانی کنند.
  • نسخه Firmware تمامی دستگاه‌های سازمانی را بررسی کنند.
  • وضعیت Secure Boot و TPM را پایش کنند.
  • برنامه زمان‌بندی‌شده برای جایگزینی گواهی‌ها پیش از ژوئن ۲۰۲۶ تدوین کنند.

جمع‌بندی

انقضای گواهی‌های Secure Boot در ژوئن ۲۰۲۶ یک رویداد مهم امنیتی برای اکوسیستم ویندوز است. هرچند راهکار جایگزینی گواهی‌ها از سال ۲۰۲۳ ارائه شده، اما دستگاه‌های قدیمی بدون دریافت Firmware Update در معرض ریسک قرار خواهند گرفت.

کاربران خانگی و سازمانی باید پیش از فرا رسیدن مهلت انقضا، وضعیت سیستم خود را بررسی و در صورت نیاز، به‌روزرسانی‌های لازم را اعمال کنند تا زنجیره اعتماد در مرحله بوت بدون اختلال باقی بماند.

25 بهمن 1404

بازدید