När Linux och Secure Boot måste byta nyckel
När Microsofts äldre Secure Boot-certifikat från 2011 löper ut behöver Linuxvärlden ta nästa steg i övergången till en nyare signeringskedja. För de flesta användare sker förändringen i bakgrunden, men för Linuxdistributioner, installationsmedia och äldre datorer kan den bli avgörande. I grunden handlar det om något så enkelt – och viktigt – som att datorn måste lita på rätt nyckel för att Linux ska kunna starta säkert.

En gammal digital nyckel från Microsoft är på väg att gå ut. Det låter kanske som en teknisk detalj för firmware-utvecklare, men förändringen berör stora delar av Linux-världen. Orsaken är Secure Boot – den säkerhetsfunktion i moderna datorer som kontrollerar att rätt programvara startar när datorn slås på.

I juni löper Microsofts äldre UEFI CA-certifikat från 2011 ut. Det certifikatet har under många år varit en viktig del av kedjan som gör att Linuxdistributioner kan starta på datorer där Secure Boot är aktiverat. Nu behöver Linuxdistributionerna stegvis flytta över till den nyare Microsoft UEFI CA från 2023.

För vanliga användare innebär detta oftast ingen dramatik. En dator som startar Linux med Secure Boot i dag bör normalt fortsätta att starta även efter att det gamla certifikatet gått ut. Men övergången är ändå viktig, särskilt för nya installationsmedier, räddningsskivor, dual boot-system och äldre datorer.

Vad är Secure Boot?

Secure Boot är en säkerhetsfunktion i UEFI, den moderna ersättaren till det gamla BIOS-systemet. När datorn startar kontrollerar firmware att den första delen av startkedjan är signerad med en betrodd digital nyckel.

Man kan jämföra det med en dörrvakt vid datorns entré. Dörrvakten släpper bara in program som kan visa upp rätt legitimation. Om startprogrammet är signerat med en nyckel som datorn litar på får det fortsätta. Om inte, stoppas uppstarten.

Syftet är att hindra skadlig kod från att lägga sig tidigt i startprocessen, innan operativsystemet ens har hunnit laddas. Sådan kod kan annars vara mycket svår att upptäcka.

Varför fungerar Windows enklare?

På de flesta vanliga PC-datorer finns Microsofts Secure Boot-nycklar redan inlagda från fabrik. Det gör att Windows kan starta utan extra krångel, eftersom datorns firmware redan litar på Microsofts signering.

Linux har däremot ett annat problem. De flesta Linuxdistributioner är inte direkt betrodda av datorns firmware. Tillverkaren av datorn har normalt inte lagt in nycklar för Ubuntu, Fedora, Debian, Linux Mint eller andra distributioner.

För att lösa detta använder många Linuxdistributioner ett litet program som heter shim.

Shim – den lilla länken mellan Microsoft och Linux

Shim är en liten första startladdare som fungerar som en bro mellan datorns Secure Boot-system och Linuxdistributionens egna nycklar.

Så här fungerar det förenklat:

Datorns firmware litar på Microsofts nyckel.

Microsoft har signerat Linuxdistributionens shim.

Firmware startar shim eftersom signaturen är betrodd.

Shim kontrollerar sedan nästa steg, till exempel GRUB och Linuxkärnan.

GRUB och kärnan kan därefter starta Linux på ett säkert sätt.

På detta sätt kan Linux starta på datorer där Secure Boot är aktiverat, utan att varje enskild datortillverkare behöver lägga in nycklar för varje Linuxdistribution.

Vad händer när 2011-certifikatet går ut?

Det viktiga att förstå är att ett utgånget certifikat inte automatiskt betyder att allt slutar fungera. Certifikatet tas inte magiskt bort ur datorns firmware bara för att datumet passerar. Redan signerade och betrodda startladdare bör därför i många fall fortsätta fungera.

Det betyder att en befintlig Linuxinstallation, som redan fungerar med Secure Boot, normalt inte bör sluta starta enbart på grund av certifikatets utgångsdatum.

Problemen kan i stället uppstå i samband med övergången till den nya signeringskedjan. Nya installationsavbilder, nya versioner av shim, återställningsmedia och vissa äldre datorer kan behöva uppdaterade Secure Boot-databaser för att känna igen den nya Microsoft UEFI CA från 2023.

Varför kan det ändå bli problem?

Secure Boot bygger på en kedja av förtroende. Varje länk måste lita på nästa länk. Om datorns firmware inte känner igen den nyckel som har använts för att signera shim, stoppas processen redan i början.

Då spelar det ingen roll att Linuxkärnan eller GRUB är korrekt installerade. Om första länken i kedjan inte godkänns kommer datorn inte vidare.

Särskilt känsliga situationer kan vara:

Äldre datorer med föråldrade Secure Boot-databaser.

Nya Linuxinstallationsmedier som använder den nya 2023-signeringen.

Dual boot-system med både Windows och Linux.

Räddnings-USB och installationsstickor som inte har uppdaterats.

System där användaren manuellt har ändrat Secure Boot-nycklar.

Datorer där den gamla 2011-nyckeln tas bort för tidigt.

Det sista är särskilt viktigt. Att manuellt ta bort gamla nycklar ur Secure Boot-systemet kan göra att tidigare fungerande Linuxinstallationer inte längre startar.

Vad behöver Linuxdistributionerna göra?

Linuxdistributionerna behöver se till att deras shim-versioner signeras på rätt sätt för framtiden. Det innebär att de måste anpassa sig till Microsofts nyare UEFI CA från 2023 och se till att installationsmedia, uppdateringspaket och dokumentation följer med i övergången.

För stora distributioner som Ubuntu, Fedora, Debian, SUSE och andra är detta en viktig infrastrukturell förändring. Det handlar inte om en ny funktion som användaren direkt ser, utan om att själva startkedjan ska fortsätta fungera på moderna datorer.

Det är lite som att byta låssystem i ett stort hus. De flesta märker ingenting om bytet görs rätt, men om nycklarna inte passar kan någon plötsligt stå utanför dörren.

Vad bör vanliga användare göra?

För de flesta användare är rådet enkelt: håll systemet uppdaterat.

Installera uppdateringar från din Linuxdistribution.

Uppdatera shim-paket när distributionen erbjuder det.

Installera firmware- och UEFI-uppdateringar från datortillverkaren när sådana finns.

Använd nya installationsavbilder från distributionens officiella webbplats.

Undvik att manuellt ändra Secure Boot-nycklar om du inte vet exakt vad du gör.

Det är också klokt att inte använda gamla installationsstickor i flera år. Om du ska installera Linux på en ny dator med Secure Boot aktiverat bör du ladda ner en aktuell ISO-fil från distributionens officiella webbplats.

Secure Boot är inte bara ett Windows-problem

Det här visar också hur beroende Linuxvärlden fortfarande är av Microsofts roll i PC-ekosystemet. Även om Linux är ett fristående och öppet operativsystem måste det ofta passera genom en Microsoft-signerad startkedja för att fungera smidigt på vanliga konsumentdatorer med Secure Boot.

Det betyder inte att Linux är osäkert eller underordnat Windows. Det betyder snarare att PC-plattformen historiskt har standardiserats kring Microsofts nycklar, eftersom Windows dominerar marknaden.

Linuxdistributionerna har därför byggt praktiska lösningar för att fungera inom detta system. Shim är en sådan lösning.

Ingen panik – men en viktig övergång

Att Microsofts UEFI CA från 2011 löper ut är inte en katastrof. Det betyder inte att Linuxdatorer plötsligt slutar starta över en natt. Men det är en viktig övergång som Linuxdistributioner, hårdvarutillverkare och systemadministratörer behöver hantera på rätt sätt.

För användaren är det viktigaste att inte göra förhastade ändringar i Secure Boot-inställningarna. Låt distributionens uppdateringar sköta övergången, använd aktuella installationsmedier och se till att firmware hålls uppdaterad.

Secure Boot handlar i grunden om förtroende. När en gammal nyckel går ut måste en ny ta vid. Om kedjan hålls obruten kommer Linux fortsätta starta precis som tidigare – bara med en modernare grund för framtidens säkra uppstarter.

https://github.com/rhboot/shim
Faktaruta: Secure Boot och Linux

Secure Boot är en säkerhetsfunktion i moderna datorer som kontrollerar att startprogrammen är betrodda innan operativsystemet får starta.

Många Linuxdistributioner använder ett litet program som heter shim. Det fungerar som en bro mellan datorns firmware, Microsofts Secure Boot-nycklar och Linuxdistributionens egna nycklar.

Microsofts äldre UEFI CA-certifikat från 2011 löper ut, vilket gör att Linuxdistributioner behöver gå över till den nyare signeringskedjan från 2023 för framtida stöd.
- Påverkar: Linuxinstallationer med Secure Boot aktiverat.
- Viktig del: shim, GRUB och Linuxkärnan.
- Risk: äldre installationsmedia och datorer med föråldrade Secure Boot-nycklar.
- Råd: håll Linux, firmware och installationsmedia uppdaterade.
- Undvik: att manuellt ändra Secure Boot-nycklar om du inte vet exakt vad du gör.
BIOS, boot error, bootloader, certifikat, datorstart, Debian, dual boot, fedora, firmware, grub, installationsmedia, Linux, Linuxdistributioner, Linuxkärnan, Microsoft UEFI CA, säker start, säkerhet, Secure Boot, shim, Ubuntu, UEFI

annons

Trasig dator?

Vi fixar trötta speldatorer
Byter skärm på laptops
Hjälper dig att byta dator
Tömmer gamla datorer och gör dem redo för återvinning eller kör in linux på dem och skänker bort dem.

Tel 08 37 21 00

Datorreparation Stockholm
Orrspelsvägen 13, Bromma

När RISC skulle ta över datorvärlden
På 1980-talet rasade ett tekniskt kapplöpning i datorvärlden. Nya RISC-processorer lovade högre hastighet, enklare konstruktion och bättre framtidsmöjligheter än de etablerade CISC-processorerna bakom PC-revolutionen. Företag som Sun, IBM, HP, […]
IBM Displaywriter – ordbehandlaren som nästan blev framtidens kontorsdator
Innan persondatorn slog igenom på allvar försökte IBM skapa framtidens digitala kontor med Displaywriter – en avancerad ordbehandlare som kombinerade skärm, tangentbord, disketter och professionell utskrift. Den blev aldrig […]
Commodores diskettstationer: från kontorsmaskin till hemdator
Commodores diskettstationer var långt mer än enkla tillbehör. Från stora 8-tumsstationer för PET- och CBM-datorer till den klassiska 1541 för Commodore 64 och den mer avancerade 1571 för Commodore […]
Ericsson Hotline 900 Pocket – när mobiltelefonen blev möjlig att stoppa i fickan
Ericsson Hotline 900 Pocket var en av de tidiga mobiltelefonerna som markerade övergången från biltelefoner och tunga transportabla enheter till verkligt handhållna mobiler. Med dagens mått var den stor, […]
BUTOBA MT 7 F – när bandspelaren blev bärbar på riktigt
Butoba MT 7 F var en liten men avancerad rullbandspelare från början av 1960-talet, byggd i en tid då ljudinspelning höll på att bli verkligt portabel. Med batteridrift, två […]
Acer Aspire one – en symbol för sin tid.
Acer Aspire One blev en av de tydligaste symbolerna för netbook-eran – den korta men intensiva period då datorbranschen trodde att framtidens vardagsdator skulle vara liten, billig och ständigt […]
DECstation – när DEC försökte ta klivet in i RISC-eran
DECstation var Digital Equipment Corporations försök att möta den nya RISC-eran. Med snabba MIPS-processorer, Unix-systemet ULTRIX och avancerad grafik blev maskinerna viktiga arbetsstationer för forskare, ingenjörer och utvecklare. Samtidigt […]
Yamaha DX7 – synten som förändrade popmusiken
Yamaha DX7 såg kanske inte märkvärdig ut när den lanserades 1983, men den förändrade ljudet av en hel musikgeneration. Med digital FM-syntes, klara elpianon, metalliska klockljud och ett pris […]
VAX-11 – datorn som gjorde minidatorn till ett kraftpaket
VAX-11 var datorfamiljen som visade att en minidator kunde mäta sig med betydligt dyrare stordatorer. När DEC lanserade VAX-11/780 1977 fick universitet, företag och forskningsmiljöer tillgång till en kraftfull […]
Commodore CBM-II: datorn som skulle ersätta PET – men hamnade i skuggan av C64
Commodore CBM-II var tänkt att bli den moderna efterföljaren till PET-serien och ta Commodore vidare in på både hemma- och kontorsmarknaden. Med mer minne, avancerad bankväxling, SID-ljud och professionella […]

wiki.linux.se

Datorhjälp hemma – 399 kr/tim efter RUT-avdrag

Vi kommer hem till dig i Stockholm området och hjälper dig med dator, skrivare, kablar, TV, nätverk och annat tekniskt.
Vi arbetar med Linux, Windows och Mac.

Klicka här för att läsa mer

Linuxtoday

Shelly 2.3 GUI Package Manager for Arch Linux Brings Performance Improvements
Explore the new Shelly 2.3 GUI Package Manager for Arch Linux, designed to deliver significant performance enhancements and streamline your package management. The post Shelly 2.3 GUI Package Manager for Arch Linux Brings Performance Improvements appeared first on Linux Today.
Wine 11.9 Improves Native Wayland Gaming Support
Discover how Wine 11.9 enhances native Wayland gaming support, providing a smoother and more efficient gaming experience on Linux systems. The post Wine 11.9 Improves Native Wayland Gaming Support appeared first on Linux Today.
Fragnesia, ssh-keysign‑pwn, and the Month of Living Dangerously on Linux
Explore Fragnesia, ssh-keysign‑pwn, and the Month of Living Dangerously on Linux. Discover vulnerabilities and enhance your system's security today. The post Fragnesia, ssh-keysign‑pwn, and the Month of Living Dangerously on Linux appeared first on Linux Today.
BudsLink Brings AirPods and Galaxy Buds Controls to Linux
Discover BudsLink, the innovative tool that enables seamless control of AirPods and Galaxy Buds on Linux systems. Enhance your audio experience today! The post BudsLink Brings AirPods and Galaxy Buds Controls to Linux appeared first on Linux Today.
Rocky Linux Adds Security Repo for Urgent Fixes
Learn about Rocky Linux's latest security repository designed for urgent fixes, providing users with timely updates to safeguard their systems. The post Rocky Linux Adds Security Repo for Urgent Fixes appeared first on Linux Today.
Six-Year-Old Linux Kernel Flaw Lets Unprivileged Users Read Root-Owned Files
Discover how a six-year-old flaw in the Linux kernel enables unprivileged users to read root-owned files, raising serious security concerns for systems. The post Six-Year-Old Linux Kernel Flaw Lets Unprivileged Users Read Root-Owned Files appeared first on Linux Today.
Ubuntu 25.10 Users Can Now Upgrade to Ubuntu 26.04 LTS, Here’s How
Discover how Ubuntu 25.10 users can seamlessly upgrade to Ubuntu 26.04 LTS. Follow our step-by-step guide for a smooth transition to the latest features. The post Ubuntu 25.10 Users Can Now Upgrade to Ubuntu 26.04 LTS, Here’s How appeared first on Linux Today.
Building Tyr in Rust: CSF Architecture and Booting The MCU
Discover how to build Tyr in Rust with a focus on CSF architecture and MCU booting. Enhance your embedded systems knowledge with practical insights. The post Building Tyr in Rust: CSF Architecture and Booting The MCU appeared first on Linux Today.
MuseScore Studio 4.7 Notation App Adds New Guitar Features
MuseScore Studio 4.7 introduces exciting new guitar features, enhancing your music notation capabilities. Unleash your creativity today! The post MuseScore Studio 4.7 Notation App Adds New Guitar Features appeared first on Linux Today.
Fedora AI Desktop Initiative Blocked After Council Vote Reversal
The Fedora AI Desktop Initiative faces a setback as the council reverses its vote, impacting future developments in AI integration for the Fedora community. The post Fedora AI Desktop Initiative Blocked After Council Vote Reversal appeared first on Linux Today.

ANNONS

Starta inte datorn?
Hjälp att byta datorn?
Trasig laptop
Laggar speldatorn?

Telefon 08 37 21 00
E-post kontakt@datorhjalp.se
Hemsida : PC-Service.se

9to5linux.com

RSS-fel: Retrieved unsupported status code "403"

10 Things to do After Installing Fedora 44 (Workstation)
Here’s a quick rundown of the 10 quick tips after you finish installing a brand new Fedora 44 workstation edition. In this article, we will talk about a few post-install tips for Fedora 44 workstation edition. These are a good starting point if you are installing a fresh Fedora 44 workstation edition for all user… […]
Upgrade to Fedora 44 from Fedora 43 Workstation (GUI and CLI)
Here’s are the quick steps on how you can upgrade to the Fedora 44 version. Fedora 44 is officially available for download and the upgrade channels are now available. This release brings the latest and greatest GNOME 50 desktop for workstation editions, refinements to KDE Plasma desktop and more updates. If you are trying to… […]
Future of AI in Ubuntu: Thoughtful Integration via Snap
Canonical is bringing thoughtful, local-first AI to Ubuntu – enhancing accessibility, enabling intelligent agents, and keeping user privacy and open source values at the core. As we move through 2026, large language models (LLMs) and AI tools have become ubiquitous across the tech industry. Adoption varies widely – some projects dive in headfirst, while others… […]
Xubuntu 26.04 LTS: Best New Features
Xubuntu 26.04 LTS is here – a fast, lightweight, and beautiful release featuring Xfce 4.20 and special 20th anniversary wallpapers. Xubuntu 26.04 LTS codenamed ‘Resolute Raccoon’ released on April 23, 2026. This lightweight flavour of Ubuntu brings the stable Xfce 4.20 desktop along with three years of support until April 2029. It celebrates 20 years… […]
Fedora 44: Best New Features
We round up the best new features of the upcoming fedora 44 workstation edition release. Fedora 44 is released on April 28, 2026. This significant release brings the latest and greatest GNOME 50 to Workstation, Linux kernel 6.19, and many practical updates across desktops and tools. It balances new technology with excellent usability, making it… […]
Ubuntu 26.04 LTS: Best New Features
Ubuntu 26.04 LTS codenamed “Resolute Raccoon” brings exciting improvements in desktop experience, security, and hardware support for the next five years. Ubuntu 26.04 LTS codenamed “Resolute Raccoon” released on April 23, 2026. This is the latest long-term support release that brings solid improvements in security, desktop experience, and hardware support. This release, will be receiving… […]
OpenShot 3.5 Brings Faster, Smoother Video Editing
OpenShot 3.5 is here with major speed and smoothness upgrades that make video editing feel much more responsive and enjoyable. The free and open source video editor OpenShot 3.5 arrives with major speed, smoothness, and power improvements. This is one of the biggest releases in its 18-year history. A new default timeline, 35% overall performance… […]
EndeavourOS Titan: Feature Highlights
We round up the EndeavourOS Titan release. EndeavourOS Titan is now available, released on March 12 2026. This fresh Arch-based ISO brings smarter hardware support and a smoother installation experience while keeping the lightweight, customizable spirit we all love. This Arch-based distribution gives me the pure Arch experience with a friendly installer and helpful tools…. […]
GNOME 50 Tokyo: Best New Features and Improvements
Learn about the key feature sets of GNOME 50 desktop environment. A fresh release of GNOME 50 “Tokyo” landed on March 18, 2026. This version brings solid improvements in parental controls, accessibility, file management, and display technologies. It marks a big step forward for families, assistive tech users, and everyday productivity while making the desktop… […]
Linux Kernel 6.18: Key Feature Highlights
We round up the key feature sets of Linux Kernel 6.18. Linus Torvalds released Linux Kernel 6.18 on November 30, 2025. This is the last mainline kernel of the year and is expected to become the 2025 Long Term Support (LTS) kernel. It brings many new features and hardware updates while staying focused on stability… […]

Annons

Digital Fixare

Strul med e-posten? Hjälp med TV? Problem med wifi?
Digital Fixare

Linuxiac.com

AppGrid 1.9 KDE Plasma Launcher Brings Compact Mode
AppGrid 1.9 updates the KDE Plasma 6 launcher with Compact mode, smarter search, inline autocompletion, Discover integration, and more.
Microsoft Secure Boot Key Expiration Affects Linux Ecosystem
Microsoft’s UEFI CA 2011 expires this June, pushing Linux distributions to update shim signing for future Secure Boot support.
KDE Plasma 6.7 Nears Release with Final Bug-Fixing Push
KDE is preparing Plasma 6.7 for release next Tuesday, with fixes for crashes, broken animations, widget glitches, and several desktop regressions.
Chrome Closes Another Door on Classic uBlock Origin
Chrome closes another path for classic uBlock Origin as Chromium removes a leftover Manifest V2 flag from the browser codebase.
OpenZFS 2.4.3 Adds Linux Kernel 7.0 Compatibility
OpenZFS 2.4.3 is now available with storage fixes, improved Linux mount option handling, and compatibility with Linux kernels up to 7.0.
Yserver Is a New X11 Server for Linux Written from Scratch in Rust
Yserver is a new X11 server written in Rust, with working support for MATE, Xfce, Cinnamon, and classic window managers.
Wine 11.11 Adds Bundled SymCrypt Library and Wayland Layered Windows
Wine 11.11 replaces TomCrypt with bundled SymCrypt, adds layered windows in the Wayland driver, and fixes 25 bugs.
DavMail 6.8 Exchange Gateway Adds Active Graph Support
DavMail 6.8 improves Microsoft 365 access with active Graph support, better calendar handling, and several Linux packaging fixes.
GStreamer 1.28.4 Improves Multimedia Playback and Stability
GStreamer 1.28.4 delivers security updates, playback fixes, better debug logging, audio fixes, and improved stability across platforms.
PeppermintOS Releases New Systemd-Free Build Based on Devuan Excalibur
PeppermintOS releases a new systemd-free build based on Devuan Excalibur, offering SysVinit, OpenRC, and runit as installer options.

Datorhjälp

Installera Debian, Ubuntu eller Mint på din dator
Men först: vad är Linux? Troligen använder du redan Linux utan att veta om det. Linux är en kärna, alltså en grundkomponent som ett operativsystem behöver för att kunna hantera filer, kommunicera med internet, styra hårdvara och mycket annat. Det som gör Linux speciellt är att det är släppt under en licens som gör att […]
Digital fixare Stockholm
Datorproblem kan vara både frustrerande och tidskrävande – men hjälp finns nära till hands. Hos Datorhjälp i Bromma får du personlig och kunnig support, oavsett om det gäller en trasig laptop, krånglande e-post eller installation av ny teknik i hemmet. Med butik på Orrspelsvägen 13 och möjlighet till hembesök över hela Stockholm hjälper våra erfarna […]
Datorhjälp nära till hands för boende vid Karlaplan
När datorn krånglar, Wi-Fi-uppkopplingen sviktar eller skrivaren vägrar fungera kan vardagen snabbt bli frustrerande. För boende kring Karlaplan finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris med RUT-avdrag. Allt fler hushåll runt Karlaplan väljer att få teknisk hjälp på plats i stället för att ta sig […]
Datorhjälp hemma i Bergshamra – personligt stöd när tekniken krånglar
När datorn krånglar, wifi slutar fungera eller den nya mobilen känns svår att förstå finns personlig hjälp att få i Bergshamra. Genom hembesök i lugn miljö och pedagogiskt stöd på plats blir tekniken enklare att hantera – dessutom till halva kostnaden tack vare RUT-avdraget. Bergshamra. När datorn låser sig, e-posten slutar fungera eller den nya […]
Datorhjälp hemma i Hässelby Strand – personligt stöd när tekniken krånglar
När datorn krånglar, wifi strular eller den nya mobilen känns svår att förstå finns personlig hjälp att få i Hässelby Strand. Genom hembesök i lugn miljö och pedagogiskt stöd på plats blir tekniken enklare att hantera – dessutom till halva kostnaden tack vare RUT-avdraget. Hässelby Strand. När datorn låser sig, e-posten slutar fungera eller den […]
Datorhjälp hemma i Högdalen – personligt stöd när tekniken krånglar
När tekniken krånglar i vardagen – från datorer som låser sig till wifi som inte fungerar – finns personlig hjälp att få i Högdalen. Med hembesök i lugn och trygg miljö, pedagogiska förklaringar och möjlighet till halva kostnaden genom RUT-avdraget blir det enklare att få digitala problem lösta. Högdalen. När datorn fryser, e-posten slutar fungera […]
Datorhjälp på plats för boende i Rågsved
När datorn krånglar, Wi-Fi-uppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli både stressig och tidskrävande. För boende i Rågsved finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris med RUT-avdrag. När datorn krånglar, Wi-Fi-uppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli både stressig […]
Datorhjälp hemma i Vårberg – personligt stöd när tekniken krånglar
När tekniken krånglar i vardagen – från strulande datorer och e-post till wifi som inte vill fungera – finns personlig hjälp att få i Vårberg. Med hembesök i lugn och ro och möjlighet till halva kostnaden via RUT-avdraget erbjuds ett tryggt och pedagogiskt stöd för den som vill få tekniken att fungera igen. Vårberg. När […]
Datorhjälp nära till hands för boende i Norsborg för halva priset efter RUT avdraget
När datorn krånglar, internetuppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli både stressig och tidskrävande. För boende i Norsborg finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris med RUT-avdrag. Allt fler hushåll i Norsborg väljer att få teknisk hjälp på plats i stället för […]
Datorhjälp nära till hands för boende kring Huddinge Centrum
När datorn krånglar, internetuppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli frustrerande. För boende runt Huddinge Centrum finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris tack vare RUT-avdraget. Allt fler hushåll i området kring Huddinge Centrum väljer att få teknisk hjälp på plats i […]

När Linux och Secure Boot måste byta nyckel

När Microsofts äldre Secure Boot-certifikat från 2011 löper ut behöver Linuxvärlden ta nästa steg i övergången till en nyare signeringskedja. För de flesta användare sker förändringen i bakgrunden, men för Linuxdistributioner, installationsmedia och äldre datorer kan den bli avgörande. I grunden handlar det om något så enkelt – och viktigt – som att datorn måste lita på rätt nyckel för att Linux ska kunna starta säkert.

En gammal digital nyckel från Microsoft är på väg att gå ut. Det låter kanske som en teknisk detalj för firmware-utvecklare, men förändringen berör stora delar av Linux-världen. Orsaken är Secure Boot – den säkerhetsfunktion i moderna datorer som kontrollerar att rätt programvara startar när datorn slås på.

I juni löper Microsofts äldre UEFI CA-certifikat från 2011 ut. Det certifikatet har under många år varit en viktig del av kedjan som gör att Linuxdistributioner kan starta på datorer där Secure Boot är aktiverat. Nu behöver Linuxdistributionerna stegvis flytta över till den nyare Microsoft UEFI CA från 2023.

För vanliga användare innebär detta oftast ingen dramatik. En dator som startar Linux med Secure Boot i dag bör normalt fortsätta att starta även efter att det gamla certifikatet gått ut. Men övergången är ändå viktig, särskilt för nya installationsmedier, räddningsskivor, dual boot-system och äldre datorer.

Vad är Secure Boot?

Secure Boot är en säkerhetsfunktion i UEFI, den moderna ersättaren till det gamla BIOS-systemet. När datorn startar kontrollerar firmware att den första delen av startkedjan är signerad med en betrodd digital nyckel.

Man kan jämföra det med en dörrvakt vid datorns entré. Dörrvakten släpper bara in program som kan visa upp rätt legitimation. Om startprogrammet är signerat med en nyckel som datorn litar på får det fortsätta. Om inte, stoppas uppstarten.

Syftet är att hindra skadlig kod från att lägga sig tidigt i startprocessen, innan operativsystemet ens har hunnit laddas. Sådan kod kan annars vara mycket svår att upptäcka.

Varför fungerar Windows enklare?

På de flesta vanliga PC-datorer finns Microsofts Secure Boot-nycklar redan inlagda från fabrik. Det gör att Windows kan starta utan extra krångel, eftersom datorns firmware redan litar på Microsofts signering.

Linux har däremot ett annat problem. De flesta Linuxdistributioner är inte direkt betrodda av datorns firmware. Tillverkaren av datorn har normalt inte lagt in nycklar för Ubuntu, Fedora, Debian, Linux Mint eller andra distributioner.

För att lösa detta använder många Linuxdistributioner ett litet program som heter shim.

Shim – den lilla länken mellan Microsoft och Linux

Shim är en liten första startladdare som fungerar som en bro mellan datorns Secure Boot-system och Linuxdistributionens egna nycklar.

Så här fungerar det förenklat:

Datorns firmware litar på Microsofts nyckel.

Microsoft har signerat Linuxdistributionens shim.

Firmware startar shim eftersom signaturen är betrodd.

Shim kontrollerar sedan nästa steg, till exempel GRUB och Linuxkärnan.

GRUB och kärnan kan därefter starta Linux på ett säkert sätt.

På detta sätt kan Linux starta på datorer där Secure Boot är aktiverat, utan att varje enskild datortillverkare behöver lägga in nycklar för varje Linuxdistribution.

Vad händer när 2011-certifikatet går ut?

Det viktiga att förstå är att ett utgånget certifikat inte automatiskt betyder att allt slutar fungera. Certifikatet tas inte magiskt bort ur datorns firmware bara för att datumet passerar. Redan signerade och betrodda startladdare bör därför i många fall fortsätta fungera.

Det betyder att en befintlig Linuxinstallation, som redan fungerar med Secure Boot, normalt inte bör sluta starta enbart på grund av certifikatets utgångsdatum.

Problemen kan i stället uppstå i samband med övergången till den nya signeringskedjan. Nya installationsavbilder, nya versioner av shim, återställningsmedia och vissa äldre datorer kan behöva uppdaterade Secure Boot-databaser för att känna igen den nya Microsoft UEFI CA från 2023.

Varför kan det ändå bli problem?

Secure Boot bygger på en kedja av förtroende. Varje länk måste lita på nästa länk. Om datorns firmware inte känner igen den nyckel som har använts för att signera shim, stoppas processen redan i början.

Då spelar det ingen roll att Linuxkärnan eller GRUB är korrekt installerade. Om första länken i kedjan inte godkänns kommer datorn inte vidare.

Särskilt känsliga situationer kan vara:

Äldre datorer med föråldrade Secure Boot-databaser.

Nya Linuxinstallationsmedier som använder den nya 2023-signeringen.

Dual boot-system med både Windows och Linux.

Räddnings-USB och installationsstickor som inte har uppdaterats.

System där användaren manuellt har ändrat Secure Boot-nycklar.

Datorer där den gamla 2011-nyckeln tas bort för tidigt.

Det sista är särskilt viktigt. Att manuellt ta bort gamla nycklar ur Secure Boot-systemet kan göra att tidigare fungerande Linuxinstallationer inte längre startar.

Vad behöver Linuxdistributionerna göra?

Linuxdistributionerna behöver se till att deras shim-versioner signeras på rätt sätt för framtiden. Det innebär att de måste anpassa sig till Microsofts nyare UEFI CA från 2023 och se till att installationsmedia, uppdateringspaket och dokumentation följer med i övergången.

För stora distributioner som Ubuntu, Fedora, Debian, SUSE och andra är detta en viktig infrastrukturell förändring. Det handlar inte om en ny funktion som användaren direkt ser, utan om att själva startkedjan ska fortsätta fungera på moderna datorer.

Det är lite som att byta låssystem i ett stort hus. De flesta märker ingenting om bytet görs rätt, men om nycklarna inte passar kan någon plötsligt stå utanför dörren.

Vad bör vanliga användare göra?

För de flesta användare är rådet enkelt: håll systemet uppdaterat.

Installera uppdateringar från din Linuxdistribution.

Uppdatera shim-paket när distributionen erbjuder det.

Installera firmware- och UEFI-uppdateringar från datortillverkaren när sådana finns.

Använd nya installationsavbilder från distributionens officiella webbplats.

Undvik att manuellt ändra Secure Boot-nycklar om du inte vet exakt vad du gör.

Det är också klokt att inte använda gamla installationsstickor i flera år. Om du ska installera Linux på en ny dator med Secure Boot aktiverat bör du ladda ner en aktuell ISO-fil från distributionens officiella webbplats.

Secure Boot är inte bara ett Windows-problem

Det här visar också hur beroende Linuxvärlden fortfarande är av Microsofts roll i PC-ekosystemet. Även om Linux är ett fristående och öppet operativsystem måste det ofta passera genom en Microsoft-signerad startkedja för att fungera smidigt på vanliga konsumentdatorer med Secure Boot.

Det betyder inte att Linux är osäkert eller underordnat Windows. Det betyder snarare att PC-plattformen historiskt har standardiserats kring Microsofts nycklar, eftersom Windows dominerar marknaden.

Linuxdistributionerna har därför byggt praktiska lösningar för att fungera inom detta system. Shim är en sådan lösning.

Ingen panik – men en viktig övergång

Att Microsofts UEFI CA från 2011 löper ut är inte en katastrof. Det betyder inte att Linuxdatorer plötsligt slutar starta över en natt. Men det är en viktig övergång som Linuxdistributioner, hårdvarutillverkare och systemadministratörer behöver hantera på rätt sätt.

För användaren är det viktigaste att inte göra förhastade ändringar i Secure Boot-inställningarna. Låt distributionens uppdateringar sköta övergången, använd aktuella installationsmedier och se till att firmware hålls uppdaterad.

Secure Boot handlar i grunden om förtroende. När en gammal nyckel går ut måste en ny ta vid. Om kedjan hålls obruten kommer Linux fortsätta starta precis som tidigare – bara med en modernare grund för framtidens säkra uppstarter.

https://github.com/rhboot/shim

Faktaruta: Secure Boot och Linux
    Secure Boot är en säkerhetsfunktion i moderna datorer som kontrollerar att startprogrammen är betrodda innan operativsystemet får starta.
  

    Många Linuxdistributioner använder ett litet program som heter shim. Det fungerar som en bro mellan datorns firmware, Microsofts Secure Boot-nycklar och Linuxdistributionens egna nycklar.
  

    Microsofts äldre UEFI CA-certifikat från 2011 löper ut, vilket gör att Linuxdistributioner behöver gå över till den nyare signeringskedjan från 2023 för framtida stöd.
  
Påverkar: Linuxinstallationer med Secure Boot aktiverat.
Viktig del: shim, GRUB och Linuxkärnan.
Risk: äldre installationsmedia och datorer med föråldrade Secure Boot-nycklar.
Råd: håll Linux, firmware och installationsmedia uppdaterade.
Undvik: att manuellt ändra Secure Boot-nycklar om du inte vet exakt vad du gör.