เมื่อเกือบ 10 ปีก่อน, เคยมีคนตั้งกระทู้ถามในพันทิป ว่าฟังก์ชั่น "Secure Boot" ที่มากับ UEFI BIOS นั้นคืออะไร
(1) ซึ่งผมก็ได้ตอบและอธิบายจนกระจ่างไว้ในที่นั้น, ว่าดูแล้วเป็นฟังก์ชั่นที่หวังดีประสงค์ร้าย โดยอ้าง "ความปลอดภัย" บังหน้า เพื่อทำให้ผู้ใช้คอมพิวเตอร์เปลี่ยนไปใช้ระบบปฏิบัติการกระแสรองอย่าง GNU/Linux ได้ยากขึ้น
ในช่วงเวลา 10 ปีที่ผ่านไปในชีวิตของคนที่ใช้ซอฟต์แวร์เสรี, มีหลายอย่างที่เปลี่ยนแปลงไป; หนึ่งในนั้นคือเดี๋ยวนี้ เวลาลง GNU/Linux ใหม่ เราจะไม่ค่อยเห็นมีใครบอกให้ต้องเข้าไปตั้งค่าใน UEFI เพื่อปิด Secure Boot แล้ว; ซึ่งที่เป็นอย่างนี้ได้ ก็เพราะว่า GNU/Linux เจ้าใหญ่ๆ หลายเจ้า เขาขี้เกียจจะมานั่งบอกผู้ใช้ว่าจะติดตั้งระบบนี้ได้ ต้องเข้าไปในไบออสแล้วปิดตัวเลือกนี้ก่อน, เลยตัดรำคาญ ยอมจ่ายสตางค์ให้ไมโครซอฟต์ช่วยเซ็นอนุมัติบู๊ตโหลดเดอร์ให้ เพื่อให้ผู้ใช้ (และลูกค้า) ลงแล้วบู๊ตได้ทันที
ซึ่งดูเหมือนพอจะแก้ขัดไปได้ แม้จะมีปัญหาการขัดแข้งขัดขาตามมาอยู่เนืองๆ
(2); แต่ต้นตอของเรื่องนี้ก็ยังคงอยู่ดี ไม่ได้มีการแก้ไข, และกำลังจะสร้างปัญหาใหญ่ขึ้นมาในอีกไม่กี่วันนี้...
เพราะว่ากุญแจอนุมัติ Secure Boot ของไมโครซอฟต์ ดอกที่ใช้ลงลายเซ็นดิจิตอลบนตัวบู๊ตโหลดเดอร์ของ GNU/Linux เจ้าใหญ่ๆ หลายเจ้าให้บู๊ตได้,
กำลังจะหมดอายุลงในวันมะรืนนี้--
วันพฤหัสบดีที่ 11 กันยายน:
https://lwn.net/Articles/1029767/
^ ระวังว่ามีคนจากไมโครซอฟต์มาแถข้างๆ คู ด้วย โดยเฉพาะความเห็นแรกใต้ข่าวนี้
(3)
ซึ่งการที่ไมโครซอฟต์จงใจตั้งวันหมดอายุกุญแจตัวนี้ไว้ให้ตรงกับวันที่ 11 กันยายน
(4), ผมคิดว่ามองเจตนาได้ไม่ยาก
ผลกระทบที่จะเกิดขี้นจากวินาศกรรมดิจิตอลในครั้งนี้ คือใครที่ใช้ระบบปฏิบัติการ GNU/Linux ผ่านการบู๊ตแบบ UEFI
โดยที่ยังปล่อยให้การตั้งค่า Secure Boot เปิดใช้งานไว้ (5); หลังวันที่ 11 กันยายน,
ระบบ GNU/Linux ของคุณจะบู๊ตไม่ขึ้นอีกต่อไป (6)
วิธีแก้อย่างเดียวที่ให้ผลชะงัดที่สุด: คือคุณจะต้องรีสตาร์ตเครื่อง, รัว Del, F2 หรืออะไรก็ตามแต่ ให้เข้าเมนูตั้งค่า UEFI BIOS ของเครื่องคุณ; ตามหาตัวเลือกชื่อ "Secure Boot" แล้วจัดการ
ปิดฟังก์ชั่นหวังดีประสงค์ร้ายตัวนี้เสีย, จบด้วยการเลือกบันทึกการตั้งค่า, แล้วรีสตาร์ต; แต่บางเครื่องอาจจะไม่ตรงไปตรงมาอย่างนี้ ฉะนั้นเตรียมคู่มือเมนบอร์ดคุณไว้ให้ดี
(7)
รีบทำ ก่อนที่เครื่องคุณจะบู๊ตแล้วเจอจอดำ ในเวลาที่สร้างความ ${CHIP}หายกับคุณได้มากที่สุด
หมายเหตู ก.:
ตัวผมเองจะไม่ได้รับผลกระทบจากวินาศกรรมดิจิตอลครั้งนี้ แต่เห็นว่าเป็นเรื่องสำคัญที่ไม่ค่อยเป็นข่าว แต่ส่อแววจะสร้างความเดือดร้อนอย่างทั่วถึงในวงการ จึงถือโอกาสมาเตือนภัยกัน
ส่วนสาเหตุที่ผมไม่ได้รับผลกระทบนั้น; เป็นเพราะตั้งแต่วันแรกที่เปิดเครื่อง ผมได้ทำการตั้งค่าคอมพ์ทุกเครื่องที่ผมมี ไม่ให้บู๊ตด้วยระบบ UEFI, แต่ใช้ระบบการบู๊ตด้วย BIOS 16-บิต แบบดั้งเดิมแทน (ซึ่งเป็นวิธีบู๊ตแบบที่ใช้มาในเครื่อง PC ตั้งแต่แรกเริ่ม, แต่เมนบอร์ดรุ่นหลังๆ จะเรียกชื่อวิธีนี้ว่า "CSM") ซึ่งจะหลีกเลี่ยงปัญหาพรรค์นี้ไปได้อย่างหมดจด; ใครที่ใช้ GNU/Linux อย่างเดียวเหมือนผม ก็สามารถเปลี่ยนมาใช้วิธีบู๊ตแบบนี้ได้โดยไม่ต้องติดตั้งระบบใหม่ หรือแก้พาร์ทิชั่นอะไร-- เพียงแค่ลง GRUB ซ้ำอีก 1 ครั้ง เท่านั้น, แถมพอลงเสร็จแล้ว ก็สามารถเปลี่ยนวิธีบู๊ตกลับไปมาระหว่าง UEFI กับ CSM ได้, โดยไม่ต้องถอน/ลงอะไรเพิ่มทีหลังอีกแล้วด้วย
ส่วนใครที่จำเป็น/จำใจต้องบู๊ตวินโดวส์ด้วย ก็คงต้องบู๊ตแบบ UEFI ต่อไป, ไม่แนะนำให้เปลี่ยนเป็น CSM ในกรณีนี้: เพราะถ้าจะเปลี่ยน, จะต้องเปลี่ยนชนิดพาร์ทิชั่นเป็น MBR (ซึ่งมีเพดานความจุดิสก์ที่ 2 TiB) และลงวินโดวส์ใหม่; ด้วยเพราะความ(ไม่)สามารถของบู๊ตโหลดเดอร์จากไมโครซอฟต์... ที่หลายคนคงจะทราบกันดีอยู่แล้ว
หมายเหตุ ข.:
ข่าวที่อื่นที่รายงานเรื่องนี้ นอกจาก LWN ที่ลิงก์ไว้ด้านบนแล้ว, ที่เห็นก็จะมี:
https://www.tomshardware.com/tech-industry/cyber-security/microsoft-signing-key-required-for-secure-boot-uefi-bootloader-expires-in-september-which-could-be-problematic-for-linux-users
(1) https://pantip.com/topic/35065626/comment2
(2) อย่างเช่นกรณีของปีที่แล้ว ที่ไมโครซอฟต์แอบแก้ไบออส UEFI ผ่าน Windows Update, แล้วทำให้คนบู๊ตเข้า GNU/Linux ไม่ได้ จนเดือดร้อนกันทั่วบ้านทั่วเมือง
http://news.tuxmachines.org/n/2024/08/21/Good_Reason_to_Delete_Windows_Not_Dual_Boot_and_Call_Out_the_Mi.shtml
(3) http://techrights.org/n/2025/07/24/Microsoft_Microsofters_and_Secure_Boot_Shills_Already_Storming_.shtml
(4) เผื่อใครลืมไปแล้ว: 11 กันยายน คือวันครบรอบเหตุวินาศกรรมจี้เครื่องบินชนตึกแฝด World Trade Center และตึกสำนักงานห้าเหลี่ยมของกระทรวงกลาโหมสหรัฐอเมริกา ในวันที่ 11 กันยายน พ.ศ. 2544; จนทำให้มีผู้เสียชีวิตหลายพันคนในวันเดียว และเป็นข่าวไปทั่วโลก
(5) คอมพ์แทบทุกเครื่องที่ผลิตออกมาหลังปี พ.ศ. 2553 จะมีดีฟอลต์จะเป็นอย่างนั้น
(6) อาจจะมีบางคนที่ "โชคดี" ไม่ทำอะไร แล้วระบบ GNU/Linux ยังบู๊ตขึ้นได้อยู่หลังวันวินาศกรรม, แต่นั่นแสดงให้เห็นว่า UEFI BIOS ของเครื่องนั้น ปล่อยผ่านให้บู๊ตทั้งๆ ที่ไม่ได้ตรวจลายเซ็นดิจิตอลอย่างถูกต้องครบถ้วน-- ซึ่งแปลว่าฟังก์ชั่น Secure Boot ของเครื่องนั้นไม่ได้สร้าง "ความปลอดภัย" (อันน้อยนิด) อะไรอย่างที่อวดอ้างไว้เลย; ใครจะคิดว่านี่เป็นข่าวดี ก็แล้วแต่คุณแล้วกัน
(7) ตัวอย่างเลวๆ ที่ผมเคยโชคร้ายได้ประสบพบเจอมาก็อย่างเช่นโน้ตบุ๊ค Lenovo Ideapad; ซึ่งจะไม่ยอมให้เปิดเมนูตั้งค่า UEFI จนกว่าเราจะปิดเครื่องอย่างสนิทจริงๆ (กด "Shut Down" ในวินโดวส์ 10+ แบบธรรมดาจะไม่ได้, ต้องกดปุ่ม Shift แช่ไว้ตอนที่กดด้วย), แล้วต้องไปหาเข็มหมุดมาทิ่มเข้าไปในรูเล็กๆ ที่ข้างเครื่อง (ทิ่มให้ถูกรูที่คู่มือว่าไว้ด้วย ไม่งั้นเครื่องจะพังแทน) จากนั้นระหว่างที่กดเข็มให้ทิ่มแช่เอาไว้ ก็ให้กดเปิดเครื่อง; แล้วก็จะได้เจอเมนูตั้งค่า UEFI แนวจำกัดจำเขี่ย แต่ก็ยังมีตัวเลือก Secure Boot ขึ้นมาให้เราปิดได้อย่างชัดเจน
แล้วก็ใครที่ซื้อโน้ตบุ๊คระดับล่างของ ASUS ไว้, ระวังตัวให้ดี เพราะผมเคยได้ยินมาว่าบางรุ่นจะปิด Secure Boot ไม่ได้แล้ว
วินาศกรรม Secure Boot: สาเหตุที่เครื่องรันลีนุกซ์ของใครหลายคนจะบู๊ตไม่ขึ้นหลังวันที่ 11 กันยายน
ในช่วงเวลา 10 ปีที่ผ่านไปในชีวิตของคนที่ใช้ซอฟต์แวร์เสรี, มีหลายอย่างที่เปลี่ยนแปลงไป; หนึ่งในนั้นคือเดี๋ยวนี้ เวลาลง GNU/Linux ใหม่ เราจะไม่ค่อยเห็นมีใครบอกให้ต้องเข้าไปตั้งค่าใน UEFI เพื่อปิด Secure Boot แล้ว; ซึ่งที่เป็นอย่างนี้ได้ ก็เพราะว่า GNU/Linux เจ้าใหญ่ๆ หลายเจ้า เขาขี้เกียจจะมานั่งบอกผู้ใช้ว่าจะติดตั้งระบบนี้ได้ ต้องเข้าไปในไบออสแล้วปิดตัวเลือกนี้ก่อน, เลยตัดรำคาญ ยอมจ่ายสตางค์ให้ไมโครซอฟต์ช่วยเซ็นอนุมัติบู๊ตโหลดเดอร์ให้ เพื่อให้ผู้ใช้ (และลูกค้า) ลงแล้วบู๊ตได้ทันที
ซึ่งดูเหมือนพอจะแก้ขัดไปได้ แม้จะมีปัญหาการขัดแข้งขัดขาตามมาอยู่เนืองๆ (2); แต่ต้นตอของเรื่องนี้ก็ยังคงอยู่ดี ไม่ได้มีการแก้ไข, และกำลังจะสร้างปัญหาใหญ่ขึ้นมาในอีกไม่กี่วันนี้...
เพราะว่ากุญแจอนุมัติ Secure Boot ของไมโครซอฟต์ ดอกที่ใช้ลงลายเซ็นดิจิตอลบนตัวบู๊ตโหลดเดอร์ของ GNU/Linux เจ้าใหญ่ๆ หลายเจ้าให้บู๊ตได้, กำลังจะหมดอายุลงในวันมะรืนนี้-- วันพฤหัสบดีที่ 11 กันยายน:
https://lwn.net/Articles/1029767/
^ ระวังว่ามีคนจากไมโครซอฟต์มาแถข้างๆ คู ด้วย โดยเฉพาะความเห็นแรกใต้ข่าวนี้ (3)
ซึ่งการที่ไมโครซอฟต์จงใจตั้งวันหมดอายุกุญแจตัวนี้ไว้ให้ตรงกับวันที่ 11 กันยายน (4), ผมคิดว่ามองเจตนาได้ไม่ยาก
ผลกระทบที่จะเกิดขี้นจากวินาศกรรมดิจิตอลในครั้งนี้ คือใครที่ใช้ระบบปฏิบัติการ GNU/Linux ผ่านการบู๊ตแบบ UEFI โดยที่ยังปล่อยให้การตั้งค่า Secure Boot เปิดใช้งานไว้ (5); หลังวันที่ 11 กันยายน, ระบบ GNU/Linux ของคุณจะบู๊ตไม่ขึ้นอีกต่อไป (6)
วิธีแก้อย่างเดียวที่ให้ผลชะงัดที่สุด: คือคุณจะต้องรีสตาร์ตเครื่อง, รัว Del, F2 หรืออะไรก็ตามแต่ ให้เข้าเมนูตั้งค่า UEFI BIOS ของเครื่องคุณ; ตามหาตัวเลือกชื่อ "Secure Boot" แล้วจัดการปิดฟังก์ชั่นหวังดีประสงค์ร้ายตัวนี้เสีย, จบด้วยการเลือกบันทึกการตั้งค่า, แล้วรีสตาร์ต; แต่บางเครื่องอาจจะไม่ตรงไปตรงมาอย่างนี้ ฉะนั้นเตรียมคู่มือเมนบอร์ดคุณไว้ให้ดี (7)
รีบทำ ก่อนที่เครื่องคุณจะบู๊ตแล้วเจอจอดำ ในเวลาที่สร้างความ ${CHIP}หายกับคุณได้มากที่สุด
หมายเหตู ก.:
ตัวผมเองจะไม่ได้รับผลกระทบจากวินาศกรรมดิจิตอลครั้งนี้ แต่เห็นว่าเป็นเรื่องสำคัญที่ไม่ค่อยเป็นข่าว แต่ส่อแววจะสร้างความเดือดร้อนอย่างทั่วถึงในวงการ จึงถือโอกาสมาเตือนภัยกัน
ส่วนสาเหตุที่ผมไม่ได้รับผลกระทบนั้น; เป็นเพราะตั้งแต่วันแรกที่เปิดเครื่อง ผมได้ทำการตั้งค่าคอมพ์ทุกเครื่องที่ผมมี ไม่ให้บู๊ตด้วยระบบ UEFI, แต่ใช้ระบบการบู๊ตด้วย BIOS 16-บิต แบบดั้งเดิมแทน (ซึ่งเป็นวิธีบู๊ตแบบที่ใช้มาในเครื่อง PC ตั้งแต่แรกเริ่ม, แต่เมนบอร์ดรุ่นหลังๆ จะเรียกชื่อวิธีนี้ว่า "CSM") ซึ่งจะหลีกเลี่ยงปัญหาพรรค์นี้ไปได้อย่างหมดจด; ใครที่ใช้ GNU/Linux อย่างเดียวเหมือนผม ก็สามารถเปลี่ยนมาใช้วิธีบู๊ตแบบนี้ได้โดยไม่ต้องติดตั้งระบบใหม่ หรือแก้พาร์ทิชั่นอะไร-- เพียงแค่ลง GRUB ซ้ำอีก 1 ครั้ง เท่านั้น, แถมพอลงเสร็จแล้ว ก็สามารถเปลี่ยนวิธีบู๊ตกลับไปมาระหว่าง UEFI กับ CSM ได้, โดยไม่ต้องถอน/ลงอะไรเพิ่มทีหลังอีกแล้วด้วย
ส่วนใครที่จำเป็น/จำใจต้องบู๊ตวินโดวส์ด้วย ก็คงต้องบู๊ตแบบ UEFI ต่อไป, ไม่แนะนำให้เปลี่ยนเป็น CSM ในกรณีนี้: เพราะถ้าจะเปลี่ยน, จะต้องเปลี่ยนชนิดพาร์ทิชั่นเป็น MBR (ซึ่งมีเพดานความจุดิสก์ที่ 2 TiB) และลงวินโดวส์ใหม่; ด้วยเพราะความ(ไม่)สามารถของบู๊ตโหลดเดอร์จากไมโครซอฟต์... ที่หลายคนคงจะทราบกันดีอยู่แล้ว
หมายเหตุ ข.:
ข่าวที่อื่นที่รายงานเรื่องนี้ นอกจาก LWN ที่ลิงก์ไว้ด้านบนแล้ว, ที่เห็นก็จะมี:
https://www.tomshardware.com/tech-industry/cyber-security/microsoft-signing-key-required-for-secure-boot-uefi-bootloader-expires-in-september-which-could-be-problematic-for-linux-users
(1) https://pantip.com/topic/35065626/comment2
(2) อย่างเช่นกรณีของปีที่แล้ว ที่ไมโครซอฟต์แอบแก้ไบออส UEFI ผ่าน Windows Update, แล้วทำให้คนบู๊ตเข้า GNU/Linux ไม่ได้ จนเดือดร้อนกันทั่วบ้านทั่วเมือง
http://news.tuxmachines.org/n/2024/08/21/Good_Reason_to_Delete_Windows_Not_Dual_Boot_and_Call_Out_the_Mi.shtml
(3) http://techrights.org/n/2025/07/24/Microsoft_Microsofters_and_Secure_Boot_Shills_Already_Storming_.shtml
(4) เผื่อใครลืมไปแล้ว: 11 กันยายน คือวันครบรอบเหตุวินาศกรรมจี้เครื่องบินชนตึกแฝด World Trade Center และตึกสำนักงานห้าเหลี่ยมของกระทรวงกลาโหมสหรัฐอเมริกา ในวันที่ 11 กันยายน พ.ศ. 2544; จนทำให้มีผู้เสียชีวิตหลายพันคนในวันเดียว และเป็นข่าวไปทั่วโลก
(5) คอมพ์แทบทุกเครื่องที่ผลิตออกมาหลังปี พ.ศ. 2553 จะมีดีฟอลต์จะเป็นอย่างนั้น
(6) อาจจะมีบางคนที่ "โชคดี" ไม่ทำอะไร แล้วระบบ GNU/Linux ยังบู๊ตขึ้นได้อยู่หลังวันวินาศกรรม, แต่นั่นแสดงให้เห็นว่า UEFI BIOS ของเครื่องนั้น ปล่อยผ่านให้บู๊ตทั้งๆ ที่ไม่ได้ตรวจลายเซ็นดิจิตอลอย่างถูกต้องครบถ้วน-- ซึ่งแปลว่าฟังก์ชั่น Secure Boot ของเครื่องนั้นไม่ได้สร้าง "ความปลอดภัย" (อันน้อยนิด) อะไรอย่างที่อวดอ้างไว้เลย; ใครจะคิดว่านี่เป็นข่าวดี ก็แล้วแต่คุณแล้วกัน
(7) ตัวอย่างเลวๆ ที่ผมเคยโชคร้ายได้ประสบพบเจอมาก็อย่างเช่นโน้ตบุ๊ค Lenovo Ideapad; ซึ่งจะไม่ยอมให้เปิดเมนูตั้งค่า UEFI จนกว่าเราจะปิดเครื่องอย่างสนิทจริงๆ (กด "Shut Down" ในวินโดวส์ 10+ แบบธรรมดาจะไม่ได้, ต้องกดปุ่ม Shift แช่ไว้ตอนที่กดด้วย), แล้วต้องไปหาเข็มหมุดมาทิ่มเข้าไปในรูเล็กๆ ที่ข้างเครื่อง (ทิ่มให้ถูกรูที่คู่มือว่าไว้ด้วย ไม่งั้นเครื่องจะพังแทน) จากนั้นระหว่างที่กดเข็มให้ทิ่มแช่เอาไว้ ก็ให้กดเปิดเครื่อง; แล้วก็จะได้เจอเมนูตั้งค่า UEFI แนวจำกัดจำเขี่ย แต่ก็ยังมีตัวเลือก Secure Boot ขึ้นมาให้เราปิดได้อย่างชัดเจน
แล้วก็ใครที่ซื้อโน้ตบุ๊คระดับล่างของ ASUS ไว้, ระวังตัวให้ดี เพราะผมเคยได้ยินมาว่าบางรุ่นจะปิด Secure Boot ไม่ได้แล้ว