হুয়াওয়ে MateBook Linux Secure Boot সার্টিফিকেট সংকট: 2026 UEFI CA মেয়াদোত্তীর্ণ হওয়ার পরিত্রাণ গাইড

তারিখ: ৩০ মে ২০২৬ প্ল্যাটফর্ম: HUAWEI BoF-XX (MateBook M1010), 12th Gen Intel Core i7-1260P, Ubuntu Resolute Raccoon (Noble), GNOME 50.0 অবস্থা: Platform is in Setup Mode, SecureBoot নিষ্ক্রিয়, db ভেরিয়েবল অনুপস্থিত

সংক্ষিপ্তসার

২৭ জুন ২০২৬, Microsoft UEFI CA 2011 রুট সার্টিফিকেটের মেয়াদ শেষ হবে। বেশিরভাগ উইন্ডোজ ব্যবহারকারীদের জন্য এটি কেবল একটি ব্যাকগ্রাউন্ড আপডেট। কিন্তু অসমর্থিত OEM হার্ডওয়্যারে থাকা Linux ব্যবহারকারীদের জন্য—বিশেষ করে যারা Linux Vendor Firmware Service (LVFS) এবং মাইক্রোসফটের হোয়াইটলিস্টে নেই এমন হুয়াওয়ে MateBook—এটি একটি টাইম বোম্ব। এই নিবন্ধটি সংকটের সম্পূর্ণ প্রযুক্তিগত চিত্র, “Linux-এর মাইক্রোসফট স্বাক্ষরের প্রয়োজন নেই” এই মিথের ভাঙন, এবং একটি实战-পরীক্ষিত, সম্পূর্ণ Linux পরিবেশে মেরামতের পথ প্রদান করে—যা Setup Mode-এ আটকে থাকা এবং অফিসিয়াল ভেন্ডার সাপোর্ট চ্যানেলবিহীন ডিভাইসের জন্য প্রযোজ্য।

১. মেয়াদোত্তীর্ণ হওয়ার শারীরস্থান

১.১ আসলে কী মারা যাচ্ছে

Secure Boot-এর বিশ্বাস শৃঙ্খল নির্ভর করে তিনটি মাইক্রোসফট সার্টিফিকেটের উপর যা ২০১১ সালে ইস্যু করা হয়েছিল:

এই সার্টিফিকেটগুলি ডিস্কে নেই। এগুলি মাদারবোর্ড ফার্মওয়্যারের NVRAM ভেরিয়েবলে (db, KEK, PK, dbx) বিদ্যমান। মেয়াদ শেষ হওয়ার পর, যে ফার্মওয়্যার কঠোরভাবে X.509 মেয়াদ যাচাই করে, তারা কেবলমাত্র 2011 CA দ্বারা স্বাক্ষরিত যেকোনো bootloader লোড করতে অস্বীকার করবে—ভবিষ্যতের Linux shim, NVIDIA GPU Option ROM, এবং আপডেটেড উইন্ডোজ বুট ম্যানেজার সহ।

১.২ বিশ্বাস শৃঙ্খল (২০২৬-এর আগে)

graph TD
    A[প্ল্যাটফর্ম কী / PK<br/>OEM বা মাইক্রোসফট] -->|স্বাক্ষর| B[কী এক্সচেঞ্জ কী / KEK<br/>Microsoft KEK CA 2011]
    B -->|স্বাক্ষর| C[স্বাক্ষর ডাটাবেস / db<br/>Microsoft UEFI CA 2011]
    C -->|যাচাই| D[shim.efi<br/>Linux Bootloader]
    C -->|যাচাই| E[উইন্ডোজ বুট ম্যানেজার]
    C -->|যাচাই| F[NVIDIA GOP / Option ROM]
    D -->|যাচাই| G[GRUB2]
    G -->|যাচাই| H[লিনাক্স কার্নেল]
    style C fill:#ff9999,stroke:#cc0000,stroke-width:3px
    style B fill:#ff9999,stroke:#cc0000,stroke-width:3px

চিত্র ১: ২০১১-এর সার্টিফিকেট (লাল) সম্পূর্ণ থার্ড-পার্টি বুট চেইন ধরে রাখে। মেয়াদ শেষ হওয়ার পর সমস্ত নিম্নধারার উপাদান বৈধতা হারাবে।

১.৩ বিশ্বাস শৃঙ্খল (২০২৬-এর পর, আদর্শ অবস্থা)

graph TD
    A[প্ল্যাটফর্ম কী / PK] -->|স্বাক্ষর| B[কী এক্সচেঞ্জ কী / KEK<br/>Microsoft KEK 2K CA 2023]
    B -->|স্বাক্ষর| C[স্বাক্ষর ডাটাবেস / db<br/>Microsoft UEFI CA 2023]
    B -->|স্বাক্ষর| D[স্বাক্ষর ডাটাবেস / db<br/>Windows UEFI CA 2023]
    C -->|যাচাই| E[shim.efi<br/>2023 স্বাক্ষরিত সংস্করণ]
    D -->|যাচাই| F[উইন্ডোজ বুট ম্যানেজার<br/>2023 স্বাক্ষরিত সংস্করণ]
    C -->|যাচাই| G[NVIDIA GOP<br/>2023 স্বাক্ষরিত সংস্করণ]
    E -->|যাচাই| H[GRUB2]
    H -->|যাচাই| I[লিনাক্স কার্নেল]
    style C fill:#99ff99,stroke:#009900,stroke-width:3px
    style D fill:#99ff99,stroke:#009900,stroke-width:3px
    style B fill:#99ff99,stroke:#009900,stroke-width:3px

চিত্র ২: ২০২৩-এর সার্টিফিকেট (সবুজ) ২০২৬-এর জুনের আগেই db-তে উপস্থিত থাকতে হবে যাতে ফরোয়ার্ড কম্প্যাটিবিলিটি বজায় থাকে।

২. হুয়াওয়ে ফাঁদ: আপডেট ইকোসিস্টেম থেকে পরিত্যক্ত

২.১ OEM হোয়াইটলিস্ট সমস্যা

হুয়াওয়ে একটি কঠোর, সীমিত SKU হোয়াইটলিস্ট বজায় রাখে, শুধুমাত্র এই মডেলগুলি উইন্ডোজ আপডেটের মাধ্যমে সার্টিফিকেট রোটেশন সম্পন্ন করতে পারে। হুয়াওয়ের অফিসিয়াল সাপোর্ট ডকুমেন্ট অনুযায়ী, শুধুমাত্র ১৯টি নির্দিষ্ট SKU নিশ্চিতভাবে উইন্ডোজ আপডেটের মাধ্যমে ২০২৩ সার্টিফিকেট পাবে:

• MateBook X Pro 2024 / 2022
• MateBook 14 2023 (S নয়)
• MateBook D16 2024
• MateStation S (নির্দিষ্ট ব্যাচ)
• …… (আরও ১৫টি)

এই নিবন্ধে বর্ণিত মূল ডিভাইস MateBook 14 2022 (BoF-XX / M1010) স্পষ্টভাবে তালিকায় নেই। এর মানে, এমনকি উইন্ডোজ ১১ ইনস্টল করলেও, Secure-Boot-Update শিডিউলড টাস্ক ট্রিগার নাও হতে পারে, অথবা ফার্মওয়্যার ভেরিয়েবল লেখা প্রত্যাখ্যান করবে।

২.২ LVFS-এর অনুপস্থিতি

graph LR
    subgraph ভেন্ডার ফার্মওয়্যার আপডেট ইকোসিস্টেম
        A[উইন্ডোজ আপডেট] -->|পুশ সার্টিফিকেট| B[OEM ফার্মওয়্যার<br/>Dell, Lenovo, HP]
        C[LVFS / fwupd] -->|পুশ .cab| D[Linux Vendor Firmware Service]
        D -->|সাপোর্ট| E[Dell XPS]
        D -->|সাপোর্ট| F[Lenovo ThinkPad]
        D -->|সাপোর্ট| G[System76]
        D -->|সাপোর্ট| H[Framework]
        D -.->|অনুপস্থিত| I[HUAWEI MateBook]
    end
    style I fill:#ff9999,stroke:#cc0000,stroke-width:3px

চিত্র ৩: হুয়াওয়ে LVFS-এ ফার্মওয়্যার আপডেট প্রকাশ করে না। Linux ব্যবহারকারীরা fwupdmgr-এর মাধ্যমে অফিসিয়াল BIOS বা সার্টিফিকেট আপডেট পেতে পারেন না।

২.৩ “Fedora স্বয়ংক্রিয়ভাবে আমার সার্টিফিকেট আপডেট করেছে” ভ্রান্তি

কমিউনিটি আলোচনায় একটি সাধারণ প্রতিবাদ শোনা যায়—“Fedora স্বয়ংক্রিয়ভাবে ফার্মওয়্যার আপডেট পুশ করে, Linux-এর মাইক্রোসফট স্বাক্ষরের দরকার নেই।”

এটি সারভাইভারশিপ বায়াস। Fedora-র fwupd কাজ করে কারণ:

1. হার্ডওয়্যার ভেন্ডার (যেমন Lenovo) LVFS-এ নতুন সার্টিফিকেটযুক্ত ক্যাপসুল আপডেট আপলোড করে।
2. সেই ভেন্ডারের ফার্মওয়্যার অনুমতি দেয় অপারেটিং সিস্টেমকে ভেরিয়েবল লিখতে (সব ভেন্ডার অনুমতি দেয় না—HP এবং ফুজিৎসু db লেখা লক করার জন্য পরিচিত)।
3. ডিভাইস মডেলটি ভেন্ডারের সাপোর্ট ম্যাট্রিক্সে রয়েছে।

হুয়াওয়ে MateBook ব্যবহারকারীদের জন্য, উপরের কোন শর্তই পূরণ হয় না। সার্টিফিকেট ফার্মওয়্যার NVRAM-এ থাকে, /boot/efi-তে নয়। কোনো Linux ডিস্ট্রিবিউশন “জাদুকরীভাবে” সেই সার্টিফিকেটগুলি ইনজেক্ট করতে পারে না যা OEM অনুমোদন দেয়নি এবং ফার্মওয়্যার গ্রহণ করতে অস্বীকার করে।

৩. Setup Mode-এর জীবনরক্ষাকারী দড়ি

৩.১ সোনালি অবস্থা আবিষ্কার

লেখকের হুয়াওয়ে MateBook M1010-তে, নিম্নলিখিত ডায়াগনস্টিক কমান্ডগুলি চালানো হয়:

$ sudo mokutil --sb-state
SecureBoot disabled
Platform is in Setup Mode

$ ls /sys/firmware/efi/efivars/ | grep -i db
dbDefault-8be4df61-93ca-11d2-aa0d-00e098032b8c
dbx-d719b2cb-3d3a-4596-a3bc-dad00e67656f
dbxDefault-8be4df61-93ca-11d2-aa0d-00e098032b8c

মূল আবিষ্কার:

• SecureBoot disabled: বুট চেইন বর্তমানে অযাচিত।
• Platform is in Setup Mode: PK (প্ল্যাটফর্ম কী) ভেরিয়েবল খালি।
• db ভেরিয়েবল অনুপস্থিত: স্বাক্ষর ডাটাবেস NVRAM-এ নেই—শুধুমাত্র ফ্যাক্টরি ডিফল্ট dbDefault টিকে আছে।

৩.২ কেন Setup Mode একটি সুপারপাওয়ার

User Mode-এ (স্বাভাবিক অপারেশন), db-তে লিখতে স্বাক্ষরিত .auth ফাইল প্রয়োজন। স্বাক্ষর অবশ্যই বিদ্যমান KEK দ্বারা যাচাই করতে হবে—এবং KEK-এর প্রাইভেট কী মাইক্রোসফটের একচেটিয়া দখলে। ব্যক্তিগত ব্যবহারকারী বৈধ স্বাক্ষর তৈরি করতে পারেন না।

Setup Mode-এ (PK খালি), ফার্মওয়্যার জোর করে না ভেরিয়েবল লেখার জন্য স্বাক্ষর যাচাই। এর অর্থ হল অস্বাক্ষরিত র ক .esl (EFI Signature List) ফাইল সরাসরি db, KEK এবং PK-তে লেখা যেতে পারে।

stateDiagram-v2
    [*] --> SetupMode: ফ্যাক্টরি রিসেট / PK মুছে ফেলা
    [*] --> UserMode: স্বাভাবিক বুট, PK নিবন্ধিত

    SetupMode --> UserMode: PK.auth লেখা (স্ব-স্বাক্ষরিত)
    UserMode --> SetupMode: PK মুছে ফেলা / ফ্যাক্টরি কী পুনরুদ্ধার

    state SetupMode {
        [*] --> db_write_unsigned
        db_write_unsigned --> [*]: efi-updatevar -f file.esl db
        note right of db_write_unsigned
            স্বাক্ষরের প্রয়োজন নেই।
            KEK প্রাইভেট কী প্রয়োজন নেই।
            সরাসরি NVRAM-এ লেখা।
        end note
    }

    state UserMode {
        [*] --> db_write_signed
        db_write_signed --> [*]: efi-updatevar -f file.auth db
        note right of db_write_signed
            KEK-স্বাক্ষরিত .auth ফাইল প্রয়োজন।
            KEK প্রাইভেট কী কেবল মাইক্রোসফটের কাছে।
            ব্যক্তিগত ব্যবহারকারীর পক্ষে বাধাপ্রাপ্ত।
        end note
    }

    style SetupMode fill:#99ff99,stroke:#009900
    style UserMode fill:#ffcccc,stroke:#cc0000

চিত্র ৪: UEFI Secure Boot ভেরিয়েবল অ্যাক্সেস স্টেট মেশিন। Setup Mode (সবুজ) হল একমাত্র অবস্থা যেখানে ব্যক্তিগত ব্যবহারকারী মাইক্রোসফটের প্রাইভেট কী ছাড়া সার্টিফিকেট লিখতে পারেন।

৪. ঝুঁকি মডেলিং: কেন “Linux-এর স্বাক্ষরের প্রয়োজন নেই” ভুল

৪.১ হুমকি পৃষ্ঠ

মনে করি (R) মোট বুট সময়ের ঝুঁকি, যা নিম্নরূপে বিভক্ত:

[ R = R_{bootkit} + R_{compat} + R_{maint} ]

যেখানে:

• (R_{bootkit}): ফার্মওয়্যার-স্তরের ম্যালওয়্যার সংক্রমণের সম্ভাবনা (যেমন BlackLotus, CosmicStrand)
• (R_{compat}): স্বাক্ষর যাচাইয়ের কারণে ভবিষ্যতের সিস্টেম আপডেট ব্যর্থ হওয়ার সম্ভাবনা
• (R_{maint}): অ-মানক বুট চেইন ম্যানুয়ালি পরিচালনার রক্ষণাবেক্ষণ খরচ

যখন Secure Boot বন্ধ থাকে এবং ২০১১ সার্টিফিকেটের মেয়াদ শেষ হয়:

[ R_{bootkit}^{(post)} = R_{bootkit}^{(pre)} \times \delta^{-1}, \quad \delta \in (0,1) ]

dbx (রিভোকেশন তালিকা) আপডেট না পাওয়ার অর্থ হল পরিচিত দুর্বলতা সহ bootloader এবং shim সংস্করণগুলি ফার্মওয়্যার দ্বারা ব্ল্যাকলিস্ট করা যাবে না। সিস্টেমের ইমিউন সিস্টেম চিরতরে জমে যায়।

৪.২ সামঞ্জস্য ঝুঁকি ম্যাট্রিক্স

সারণি ১: সামঞ্জস্য ও নিরাপত্তা ম্যাট্রিক্স। “কেবল ২০১১ সার্টিফিকেট” কলামটি ২০২৬-এর জুনের পরের আটকে পড়া অবস্থা প্রতিনিধিত্ব করে।

৫. সম্পূর্ণ Linux মেরামত: ধাপে ধাপে নির্দেশনা

৫.১ পূর্বশর্ত

• লক্ষ্য Linux সিস্টেমে রুট অ্যাক্সেস
• efitools, openssl, uuid-runtime ইনস্টল করা
• মাইক্রোসফটের প্রকাশিত ২০২৩ সার্টিফিকেট ডাউনলোডের জন্য ইন্টারনেট সংযোগ
• বর্তমান NVRAM ভেরিয়েবলের ব্যাকআপ (যদি থাকে)

৫.২ প্রথম পর্যায়: সার্টিফিকেট সংগ্রহ

# কাজের ডিরেক্টরি তৈরি
mkdir -p ~/secureboot && cd ~/secureboot

# Microsoft UEFI CA 2023 ডাউনলোড (DER ফরম্যাট)
wget -O MicUEFICA2023.der \
  "https://go.microsoft.com/fwlink/?linkid=2239872"

# Windows UEFI CA 2023 ডাউনলোড (DER ফরম্যাট)
wget -O WinUEFICA2023.der \
  "https://go.microsoft.com/fwlink/?linkid=2239776"

# efitools-এর জন্য PEM ফরম্যাটে রূপান্তর
openssl x509 -in MicUEFICA2023.der -inform DER \
  -out MicUEFICA2023.pem -outform PEM

openssl x509 -in WinUEFICA2023.der -inform DER \
  -out WinUEFICA2023.pem -outform PEM

৫.৩ দ্বিতীয় পর্যায়: EFI স্বাক্ষর তালিকা তৈরি

# স্বাক্ষর তালিকার মালিকানার জন্য র‍্যান্ডম GUID তৈরি
uuidgen --random > guid.txt
GUID=$(cat guid.txt)

# সার্টিফিকেট ESL-এ রূপান্তর (EFI Signature List)
cert-to-efi-sig-list -g "$GUID" \
  MicUEFICA2023.pem MicUEFICA2023.esl

cert-to-efi-sig-list -g "$GUID" \
  WinUEFICA2023.pem WinUEFICA2023.esl

৫.৪ তৃতীয় পর্যায়: NVRAM-এ ইনজেকশন (Setup Mode)

যেহেতু প্ল্যাটফর্ম Setup Mode-এ আছে, তাই অস্বাক্ষরিত .esl ফাইল সরাসরি লেখা যায়। .auth স্বাক্ষরের প্রয়োজন নেই।

# প্রথমবার db ভেরিয়েবল তৈরি ( -a ফ্ল্যাগ ছাড়া)
sudo efi-updatevar -f MicUEFICA2023.esl db

# দ্বিতীয় সার্টিফিকেট যোগ ( -a ফ্ল্যাগ সহ)
sudo efi-updatevar -a -f WinUEFICA2023.esl db

যাচাই:

sudo mokutil --db

প্রত্যাশিত আউটপুট অংশ:

[...]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            33:00:00:02:5a:76:fb:8f:76:14:44:3b:91:00:00:00:02:5a:76
        Signature Algorithm: sha384WithRSAEncryption
        Issuer: C = US, O = Microsoft Corporation, CN = Microsoft UEFI CA 2023
[...]

৫.৫ চতুর্থ পর্যায়: Setup Mode থেকে প্রস্থান (প্রস্তাবিত কিন্তু বাধ্যতামূলক নয়)

সিস্টেমকে Setup Mode-এ রেখে দেওয়া বিপজ্জনক—যে কোনো অপারেটিং সিস্টেম বা দূষিত bootloader db পরিবর্তন করতে পারে। আমরা একটি ব্যক্তিগত প্ল্যাটফর্ম কী (PK) তৈরি করব যাতে User Mode-এ স্যুইচ করা যায়, একইসাথে Secure Boot নিষ্ক্রিয় রাখা হবে।

# স্ব-স্বাক্ষরিত প্ল্যাটফর্ম কী তৈরি
openssl req -new -x509 -newkey rsa:2048 \
  -subj "/CN=Personal MateBook PK/" \
  -keyout PK.key -out PK.pem \
  -days 3650 -nodes

# ESL প্রক্রিয়াকরণের জন্য DER-এ রূপান্তর
openssl x509 -in PK.pem -out PK.der -outform DER

# ESL তৈরি
cert-to-efi-sig-list -g "$GUID" PK.der PK.esl

# PK লেখা যাতে Setup Mode থেকে প্রস্থান করা যায়
sudo efi-updatevar -f PK.esl PK

# অবস্থা পরিবর্তন যাচাই
sudo mokutil --sb-state
# প্রত্যাশিত: "SecureBoot disabled" + "Platform is in User Mode"

৫.৬ সম্পূর্ণ প্রবাহচিত্র

flowchart TD
    A[শুরু: হুয়াওয়ে MateBook<br/>সম্পূর্ণ Linux পরিবেশ] --> B{অবস্থা পরীক্ষা}
    B -->|mokutil --sb-state| C[Setup Mode-এ আছে?<br/>PK খালি?]
    C -->|হ্যাঁ| D[মাইক্রোসফটের<br/>২০২৩ সার্টিফিকেট ডাউনলোড]
    C -->|না| E[BIOS-এ যান → PK মুছুন<br/>→ Linux-এ রিবুট করুন]

    D --> F[DER → PEM → ESL রূপান্তর]
    F --> G[efi-updatevar -f cert.esl db]
    G --> H{যাচাই<br/>mokutil --db}
    H -->|২০২৩ সার্টিফিকেট বিদ্যমান| I[ব্যক্তিগত PK তৈরি]
    H -->|অনুপস্থিত| J[ডিবাগ: dmesg পরীক্ষা<br/>efivarfs অনুমতি]

    I --> K[efi-updatevar -f PK.esl PK]
    K --> L[Setup Mode থেকে প্রস্থান<br/>User Mode-এ প্রবেশ]
    L --> M[ভবিষ্যত-প্রস্তুত:<br/>db-তে ২০২৩ সার্টিফিকেট আছে<br/>SecureBoot এখনও বন্ধ]

    style C fill:#99ff99,stroke:#009900
    style H fill:#ffcc66,stroke:#cc9900
    style M fill:#99ff99,stroke:#009900

চিত্র ৫: হুয়াওয়ে MateBook ডিভাইসে Setup Mode-এ থাকা অবস্থায় সম্পূর্ণ Linux মেরামতের সিদ্ধান্ত প্রবাহ।

৬. সীমানার ক্ষেত্র এবং ব্যর্থতার মোড

৬.১ যদি efi-updatevar Permission denied ফেরত দেয়

কিছু OEM (HP, ফুজিৎসু, এবং ভবিষ্যতের হুয়াওয়ে ফার্মওয়্যার সংস্করণ) এমনকি Setup Mode-এও ফার্মওয়্যার স্তরে NVRAM লেখা লক করতে পারে। যদি দেখা যায়:

Error: Could not update variable: Permission denied

বিকল্প: KeyTool.efi ব্যবহার করুন (efitools প্যাকেজ থেকে), সরাসরি EFI শেল বা বুট মেনু থেকে চালান। এটি একটি গ্রাফিক্যাল ইন্টারফেসে সার্টিফিকেট নিবন্ধন প্রক্রিয়া প্রদান করে, যা OS-স্তরের সিস্টেম কল সীমাবদ্ধতা এড়াতে পারে।

৬.২ যদি db ভেরিয়েবল ইতিমধ্যে বিদ্যমান থাকে

যদি ls /sys/firmware/efi/efivars/ db-8be4df61-93ca-11d2-aa0d-00e098032b8c ফাইল দেখায় (স্ট্যান্ডার্ড EFI গ্লোবাল ভেরিয়েবল GUID), তাহলে সমস্ত লেখার জন্য অ্যাপেন্ড ফ্ল্যাগ ব্যবহার করুন:

sudo efi-updatevar -a -f MicUEFICA2023.esl db
sudo efi-updatevar -a -f WinUEFICA2023.esl db

৬.৩ NVIDIA GPU ব্ল্যাক স্ক্রিন ঝুঁকি

কিছু পুরোনো NVIDIA GPU (GTX 600/700/900 সিরিজ এবং প্রাথমিক ১০ সিরিজ) তে থাকা UEFI GOP ড্রাইভার শুধুমাত্র Microsoft UEFI CA 2011 দ্বারা স্বাক্ষরিত। যদি ২০২৬-এর জুনের পর Secure Boot সচল থাকে কিন্তু ২০২৩ CA নিবন্ধিত না হয়, তাহলে এই GPU-গুলি ডিসপ্লে আরম্ভ করতে ব্যর্থ হতে পারে, যার ফলে অপারেটিং সিস্টেমের দখলের আগেই ব্ল্যাক স্ক্রিন দেখা দিতে পারে।

প্রতিকার: এই নিবন্ধের পদ্ধতি ২০২৩ সার্টিফিকেট নিবন্ধনের সাথে Secure Boot নিষ্ক্রিয় রাখে। এতে করে ভবিষ্যতের সামঞ্জস্য বজায় থাকে, এবং একইসাথে বুট সময়ে GPU Option ROM-এর যাচাই ট্রিগার হয় না।

৭. উপসংহার

২০২৬-এর UEFI সার্টিফিকেট মেয়াদোত্তীর্ণ হওয়া উইন্ডোজের সমস্যা নয়—এটি ফার্মওয়্যার স্তরের বিশ্বাস অ্যাঙ্করের সমস্যা। সম্পূর্ণ Linux-চালিত হুয়াওয়ে MateBook ব্যবহারকারীদের জন্য, LVFS-এর অসমর্থন এবং মাইক্রোসফট হোয়াইটলিস্ট থেকে বাদ পড়া একটি প্রকৃত রক্ষণাবেক্ষণ খাড়া পাহাড় তৈরি করেছে।

কিন্তু ডিভাইসটি Setup Mode-এ আটকে থাকা আবিষ্কার করায়, একটি আপাতদৃষ্টিতে অসম্ভব প্ল্যাটফর্ম লকডাউন দৃশ্যকল্প একটি সরাসরি NVRAM ইনজেকশন সমস্যায় পরিণত হয়েছে। ২০২৩ সার্টিফিকেট সম্পূর্ণ Linux পরিবেশে, উইন্ডোজ ব্যবহার না করে, মাইক্রোসফটের প্রাইভেট কী ছাড়া, fwupd ছাড়া, শুধুমাত্র efitools দিয়ে নেটিভভাবে নিবন্ধন করা যায়।

“Linux-এর মাইক্রোসফট স্বাক্ষরের প্রয়োজন নেই” — এটি আজকের বুটের জন্য প্রযুক্তিগতভাবে সত্য, কিন্তু আগামীকালের রক্ষণাবেক্ষণের জন্য এটি একটি বিপর্যয়কর ভুল। এখনই ২০২৩ সার্টিফিকেট নিবন্ধন করুন — এটি ভবিষ্যতের shim আপডেট, GPU ফার্মওয়্যার এবং ডুয়াল-বুট দৃশ্যের জন্য একটি বীমা। অন্যথায়, এগুলি কেবলমাত্র ২০১১ বিশ্বাস অ্যাঙ্কর নিয়ে নীরবে ব্যর্থ হবে।

পরিশিষ্ট A: দ্রুত রেফারেন্স কমান্ড

# বর্তমান অবস্থা পরীক্ষা
sudo mokutil --sb-state
sudo mokutil --db | grep -i "2023"
ls /sys/firmware/efi/efivars/ | grep -i db

# ডাউনলোড এবং রূপান্তর
wget https://go.microsoft.com/fwlink/?linkid=2239872 -O MicUEFICA2023.der
wget https://go.microsoft.com/fwlink/?linkid=2239776 -O WinUEFICA2023.der
openssl x509 -in MicUEFICA2023.der -inform DER -out MicUEFICA2023.pem -outform PEM
openssl x509 -in WinUEFICA2023.der -inform DER -out WinUEFICA2023.pem -outform PEM

# তৈরি এবং লেখা
uuidgen --random > guid.txt
cert-to-efi-sig-list -g "$(cat guid.txt)" MicUEFICA2023.pem MicUEFICA2023.esl
cert-to-efi-sig-list -g "$(cat guid.txt)" WinUEFICA2023.pem WinUEFICA2023.esl
sudo efi-updatevar -f MicUEFICA2023.esl db
sudo efi-updatevar -a -f WinUEFICA2023.esl db

পরিশিষ্ট B: শব্দকোষ

ডকুমেন্ট সংস্করণ: 1.0.0
পরীক্ষিত প্ল্যাটফর্ম: HUAWEI BoF-XX (M1010), Ubuntu Resolute Raccoon, kernel 7.0.0-12-generic