Krisis Sertifikat Secure Boot Linux Huawei MateBook: Panduan Bertahan Kedaluwarsa UEFI CA 2026

Tanggal: 30 Mei 2026 Platform: HUAWEI BoF-XX (MateBook M1010), 12th Gen Intel Core i7-1260P, Ubuntu Resolute Raccoon (Noble), GNOME 50.0 Status: Platform is in Setup Mode, SecureBoot dinonaktifkan, variabel db tidak ada

Ringkasan

Pada 27 Juni 2026, sertifikat root Microsoft UEFI CA 2011 akan kedaluwarsa. Bagi sebagian besar pengguna Windows, ini hanya pembaruan latar belakang. Bagi pengguna Linux dengan perangkat keras OEM yang tidak didukung — terutama Huawei MateBook yang tidak masuk dalam Linux Vendor Firmware Service (LVFS) dan daftar putih Microsoft — ini adalah bom waktu. Artikel ini mencatat secara lengkap gambaran teknis krisis, membongkar mitos “Linux tidak perlu tanda tangan Microsoft”, dan menyediakan jalur perbaikan yang telah teruji di lingkungan Linux murni — berlaku untuk perangkat yang terdampar di Setup Mode tanpa saluran dukungan vendor resmi.

1. Pembedahan Kedaluwarsa

1.1 Apa yang Benar-benar Mati

Rantai kepercayaan Secure Boot bergantung pada tiga sertifikat yang diterbitkan Microsoft pada tahun 2011:

Sertifikat ini tidak ada di disk. Mereka tersimpan di variabel NVRAM firmware motherboard (db, KEK, PK, dbx). Setelah kedaluwarsa, firmware yang secara ketat memvalidasi masa berlaku X.509 akan menolak memuat bootloader apa pun yang hanya ditandatangani oleh 2011 CA — termasuk Linux shim di masa depan, NVIDIA GPU Option ROM, dan Windows Boot Manager yang diperbarui.

1.2 Rantai Kepercayaan (Sebelum 2026)

graph TD
    A[Platform Key / PK<br/>OEM atau Microsoft] -->|menandatangani| B[Key Exchange Key / KEK<br/>Microsoft KEK CA 2011]
    B -->|menandatangani| C[Signature Database / db<br/>Microsoft UEFI CA 2011]
    C -->|memverifikasi| D[shim.efi<br/>Linux Bootloader]
    C -->|memverifikasi| E[Windows Boot Manager]
    C -->|memverifikasi| F[NVIDIA GOP / Option ROM]
    D -->|memverifikasi| G[GRUB2]
    G -->|memverifikasi| H[Linux Kernel]
    style C fill:#ff9999,stroke:#cc0000,stroke-width:3px
    style B fill:#ff9999,stroke:#cc0000,stroke-width:3px

Gambar 1: Sertifikat 2011 (merah) menopang seluruh rantai boot pihak ketiga. Setelah kedaluwarsa, semua komponen hilir akan kehilangan validasi.

1.3 Rantai Kepercayaan (Setelah 2026, Keadaan Ideal)

graph TD
    A[Platform Key / PK] -->|menandatangani| B[Key Exchange Key / KEK<br/>Microsoft KEK 2K CA 2023]
    B -->|menandatangani| C[Signature Database / db<br/>Microsoft UEFI CA 2023]
    B -->|menandatangani| D[Signature Database / db<br/>Windows UEFI CA 2023]
    C -->|memverifikasi| E[shim.efi<br/>Versi ditandatangani 2023]
    D -->|memverifikasi| F[Windows Boot Manager<br/>Versi ditandatangani 2023]
    C -->|memverifikasi| G[NVIDIA GOP<br/>Versi ditandatangani 2023]
    E -->|memverifikasi| H[GRUB2]
    H -->|memverifikasi| I[Linux Kernel]
    style C fill:#99ff99,stroke:#009900,stroke-width:3px
    style D fill:#99ff99,stroke:#009900,stroke-width:3px
    style B fill:#99ff99,stroke:#009900,stroke-width:3px

Gambar 2: Sertifikat 2023 (hijau) harus ada di db sebelum Juni 2026 untuk menjaga kompatibilitas ke depan.

2. Jebakan Huawei: Ditinggal Ekosistem Pembaruan

2.1 Masalah Daftar Putih OEM

Huawei memelihara daftar putih SKU yang ketat dan terbatas — hanya model ini yang dapat menyelesaikan rotasi sertifikat melalui Windows Update. Menurut dokumentasi dukungan resmi Huawei, hanya 19 SKU spesifik yang dijamin menerima sertifikat 2023 melalui Windows Update:

• MateBook X Pro 2024 / 2022
• MateBook 14 2023 (bukan S)
• MateBook D16 2024
• MateStation S (batch tertentu)
• ……(15 model lainnya)

Perangkat utama dalam artikel ini, MateBook 14 2022 (BoF-XX / M1010), jelas tidak ada dalam daftar. Ini berarti meskipun Windows 11 dipasang, tugas terjadwal Secure-Boot-Update kemungkinan besar tidak akan terpicu, atau firmware akan menolak penulisan variabel.

2.2 Ketidakhadiran LVFS

graph LR
    subgraph Ekosistem Pembaruan Firmware Vendor
        A[Windows Update] -->|mendorong sertifikat| B[Firmware OEM<br/>Dell, Lenovo, HP]
        C[LVFS / fwupd] -->|mendorong .cab| D[Linux Vendor Firmware Service]
        D -->|mendukung| E[Dell XPS]
        D -->|mendukung| F[Lenovo ThinkPad]
        D -->|mendukung| G[System76]
        D -->|mendukung| H[Framework]
        D -.->|tidak ada| I[HUAWEI MateBook]
    end
    style I fill:#ff9999,stroke:#cc0000,stroke-width:3px

Gambar 3: Huawei tidak merilis pembaruan firmware ke LVFS. Pengguna Linux tidak bisa mendapatkan pembaruan BIOS atau sertifikat resmi melalui fwupdmgr.

2.3 Kekeliruan “Fedora Otomatis Memperbarui Sertifikat Saya”

Dalam diskusi komunitas, sering terdengar bantahan — “Fedora secara otomatis mendorong pembaruan firmware, Linux tidak perlu tanda tangan Microsoft”.

Ini adalah bias survivor. fwupd Fedora bisa bekerja karena:

1. Vendor perangkat keras (misalnya Lenovo) mengunggah pembaruan capsule yang berisi sertifikat baru ke LVFS.
2. Firmware vendor tersebut mengizinkan penulisan variabel dari sisi OS (tidak semua vendor mengizinkan — HP dan Fujitsu terkenal karena mengunci penulisan db).
3. Model perangkat ada dalam matriks dukungan vendor.

Bagi pengguna Huawei MateBook, semua kondisi di atas tidak terpenuhi. Sertifikat ada di NVRAM firmware, bukan di /boot/efi. Tidak ada distribusi Linux yang bisa secara “ajaib” menyuntikkan sertifikat yang tidak diotorisasi OEM dan ditolak firmware.

3. Penyelamat Setup Mode

3.1 Menemukan Status Emas

Pada Huawei MateBook M1010 milik penulis, perintah diagnostik berikut dijalankan:

$ sudo mokutil --sb-state
SecureBoot disabled
Platform is in Setup Mode

$ ls /sys/firmware/efi/efivars/ | grep -i db
dbDefault-8be4df61-93ca-11d2-aa0d-00e098032b8c
dbx-d719b2cb-3d3a-4596-a3bc-dad00e67656f
dbxDefault-8be4df61-93ca-11d2-aa0d-00e098032b8c

Temuan Kunci:

• SecureBoot disabled: Rantai boot saat ini tidak terverifikasi.
• Platform is in Setup Mode: Variabel PK (Platform Key) kosong.
• Variabel db tidak ada: Signature Database tidak ada di NVRAM — hanya dbDefault bawaan pabrik yang tersisa.

3.2 Mengapa Setup Mode Adalah Kekuatan Super

Dalam User Mode (operasi normal), menulis ke db memerlukan file .auth yang ditandatangani. Tanda tangan harus diverifikasi oleh KEK yang ada — dan kunci privat KEK dimiliki secara eksklusif oleh Microsoft. Pengguna individu tidak dapat menghasilkan tanda tangan yang valid.

Dalam Setup Mode (PK kosong), firmware tidak memberlakukan verifikasi tanda tangan untuk penulisan variabel. Ini berarti file .esl (EFI Signature List) yang tidak ditandatangani dapat langsung ditulis ke db, KEK, dan PK.

stateDiagram-v2
    [*] --> SetupMode: Reset pabrik / hapus PK
    [*] --> UserMode: Boot normal, PK terdaftar

    SetupMode --> UserMode: Tulis PK.auth (ditandatangani sendiri)
    UserMode --> SetupMode: Hapus PK / reset kunci pabrik

    state SetupMode {
        [*] --> db_write_unsigned
        db_write_unsigned --> [*]: efi-updatevar -f file.esl db
        note right of db_write_unsigned
            Tidak perlu tanda tangan.
            Tidak perlu kunci privat KEK.
            Langsung tulis ke NVRAM.
        end note
    }

    state UserMode {
        [*] --> db_write_signed
        db_write_signed --> [*]: efi-updatevar -f file.auth db
        note right of db_write_signed
            Perlu file .auth yang ditandatangani KEK.
            Kunci privat KEK hanya dimiliki Microsoft.
            Pengguna individu terhambat.
        end note
    }

    style SetupMode fill:#99ff99,stroke:#009900
    style UserMode fill:#ffcccc,stroke:#cc0000

Gambar 4: State machine akses variabel UEFI Secure Boot. Setup Mode (hijau) adalah satu-satunya status di mana pengguna individu dapat menulis sertifikat tanpa kunci privat Microsoft.

4. Pemodelan Risiko: Mengapa “Linux Tidak Perlu Tanda Tangan” Tidak Benar

4.1 Permukaan Ancaman

Misalkan (R) adalah risiko total waktu boot, diuraikan sebagai:

[ R = R_{bootkit} + R_{compat} + R_{maint} ]

Di mana:

• (R_{bootkit}): Probabilitas infeksi malware tingkat firmware (misalnya BlackLotus, CosmicStrand)
• (R_{compat}): Probabilitas kegagalan pembaruan sistem di masa depan karena validasi tanda tangan
• (R_{maint}): Biaya pemeliharaan rantai boot non-standar secara manual

Setelah Secure Boot dimatikan dan sertifikat 2011 kedaluwarsa:

[ R_{bootkit}^{(post)} = R_{bootkit}^{(pre)} \times \delta^{-1}, \quad \delta \in (0,1) ]

dbx (daftar pencabutan) yang tidak diperbarui berarti versi bootloader dan shim yang diketahui memiliki kerentanan tidak bisa masuk daftar hitam oleh firmware. Sistem imun dibekukan secara permanen.

4.2 Matriks Risiko Kompatibilitas

Tabel 1: Matriks kompatibilitas dan keamanan. Kolom “Hanya Sertifikat 2011” mewakili status terdampar setelah Juni 2026.

5. Perbaikan Linux Murni: Langkah demi Langkah

5.1 Prasyarat

• Akses root ke sistem Linux target
• efitools, openssl, uuid-runtime sudah terinstal
• Akses internet untuk mengunduh sertifikat 2023 yang dirilis Microsoft
• Cadangan variabel NVRAM saat ini (jika ada)

5.2 Tahap 1: Mendapatkan Sertifikat

# Buat direktori kerja
mkdir -p ~/secureboot && cd ~/secureboot

# Unduh Microsoft UEFI CA 2023 (format DER)
wget -O MicUEFICA2023.der \
  "https://go.microsoft.com/fwlink/?linkid=2239872"

# Unduh Windows UEFI CA 2023 (format DER)
wget -O WinUEFICA2023.der \
  "https://go.microsoft.com/fwlink/?linkid=2239776"

# Konversi ke format PEM untuk diproses efitools
openssl x509 -in MicUEFICA2023.der -inform DER \
  -out MicUEFICA2023.pem -outform PEM

openssl x509 -in WinUEFICA2023.der -inform DER \
  -out WinUEFICA2023.pem -outform PEM

5.3 Tahap 2: Membuat EFI Signature List

# Hasilkan UUID acak untuk kepemilikan daftar tanda tangan
uuidgen --random > guid.txt
GUID=$(cat guid.txt)

# Konversi sertifikat ke ESL (EFI Signature List)
cert-to-efi-sig-list -g "$GUID" \
  MicUEFICA2023.pem MicUEFICA2023.esl

cert-to-efi-sig-list -g "$GUID" \
  WinUEFICA2023.pem WinUEFICA2023.esl

5.4 Tahap 3: Injeksi ke NVRAM (Setup Mode)

Karena platform dalam Setup Mode, tulis langsung file .esl yang tidak ditandatangani. Tidak perlu tanda tangan .auth.

# Buat variabel db pertama kali (tanpa flag -a)
sudo efi-updatevar -f MicUEFICA2023.esl db

# Tambahkan sertifikat kedua (flag -a)
sudo efi-updatevar -a -f WinUEFICA2023.esl db

Verifikasi:

sudo mokutil --db

Cuplikan output yang diharapkan:

[...]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            33:00:00:02:5a:76:fb:8f:76:14:44:3b:91:00:00:00:02:5a:76
        Signature Algorithm: sha384WithRSAEncryption
        Issuer: C = US, O = Microsoft Corporation, CN = Microsoft UEFI CA 2023
[...]

5.5 Tahap 4: Keluar dari Setup Mode (Disarankan tetapi Tidak Wajib)

Membiarkan sistem dalam Setup Mode berbahaya — sistem operasi atau bootloader berbahaya mana pun dapat memodifikasi db. Kami akan menghasilkan Platform Key (PK) pribadi untuk beralih ke User Mode, sambil tetap menjaga Secure Boot dinonaktifkan.

# Hasilkan platform key yang ditandatangani sendiri
openssl req -new -x509 -newkey rsa:2048 \
  -subj "/CN=Personal MateBook PK/" \
  -keyout PK.key -out PK.pem \
  -days 3650 -nodes

# Konversi ke DER untuk pemrosesan ESL
openssl x509 -in PK.pem -out PK.der -outform DER

# Hasilkan ESL
cert-to-efi-sig-list -g "$GUID" PK.der PK.esl

# Tulis PK untuk keluar dari Setup Mode
sudo efi-updatevar -f PK.esl PK

# Verifikasi perubahan status
sudo mokutil --sb-state
# Diharapkan: "SecureBoot disabled" + "Platform is in User Mode"

5.6 Diagram Alur Lengkap

flowchart TD
    A[Mulai: Huawei MateBook<br/>Lingkungan Linux Murni] --> B{Periksa Status}
    B -->|mokutil --sb-state| C[Dalam Setup Mode?<br/>PK kosong?]
    C -->|Ya| D[Unduh sertifikat<br/>Microsoft 2023]
    C -->|Tidak| E[Masuk BIOS → Hapus PK<br/>→ Reboot ke Linux]

    D --> F[Konversi DER → PEM → ESL]
    F --> G[efi-updatevar -f cert.esl db]
    G --> H{Verifikasi<br/>mokutil --db}
    H -->|Sertifikat 2023 sudah ada| I[Hasilkan PK pribadi]
    H -->|Tidak ada| J[Debug: Periksa dmesg<br/>izin efivarfs]

    I --> K[efi-updatevar -f PK.esl PK]
    K --> L[Keluar dari Setup Mode<br/>Masuk ke User Mode]
    L --> M[Antisipasi masa depan:<br/>Sertifikat 2023 sudah di db<br/>SecureBoot tetap mati]

    style C fill:#99ff99,stroke:#009900
    style H fill:#ffcc66,stroke:#cc9900
    style M fill:#99ff99,stroke:#009900

Gambar 5: Diagram alur keputusan perbaikan Linux murni pada perangkat Huawei MateBook dalam Setup Mode.

6. Kasus Batas dan Mode Kegagalan

6.1 Jika efi-updatevar Mengembalikan Permission denied

Beberapa OEM (HP, Fujitsu, dan kemungkinan versi firmware Huawei di masa depan) mengunci penulisan NVRAM di tingkat firmware meskipun dalam Setup Mode. Jika mengalami:

Error: Could not update variable: Permission denied

Alternatif: Gunakan KeyTool.efi (dari paket efitools), jalankan langsung dari EFI shell atau menu boot. Ini menyediakan antarmuka grafis untuk proses pendaftaran sertifikat yang dapat melewati batasan panggilan sistem tingkat OS.

6.2 Jika Variabel db Sudah Ada

Jika ls /sys/firmware/efi/efivars/ menampilkan file db-8be4df61-93ca-11d2-aa0d-00e098032b8c (GUID variabel global EFI standar), gunakan flag tambah untuk semua penulisan:

sudo efi-updatevar -a -f MicUEFICA2023.esl db
sudo efi-updatevar -a -f WinUEFICA2023.esl db

6.3 Risiko Layar Hitam NVIDIA GPU

Beberapa GPU NVIDIA lama (seri GTX 600/700/900 dan seri 10 awal) membawa driver GOP UEFI yang hanya ditandatangani oleh Microsoft UEFI CA 2011. Jika Secure Boot diaktifkan setelah Juni 2026 tanpa mendaftarkan 2023 CA, GPU ini mungkin gagal menginisialisasi monitor, menyebabkan layar hitam sebelum sistem operasi mengambil alih.

Mitigasi: Skema artikel ini mendaftarkan sertifikat 2023 sambil tetap menonaktifkan Secure Boot. Ini mempertahankan kompatibilitas masa depan tanpa memicu verifikasi GPU Option ROM saat boot.

7. Kesimpulan

Kedaluwarsa sertifikat UEFI 2026 bukan masalah Windows — ini adalah masalah jangkar kepercayaan di tingkat firmware. Bagi pengguna Huawei MateBook yang menjalankan Linux murni, ketiadaan dukungan LVFS ditambah pengeluaran dari daftar putih Microsoft menciptakan jurang pemeliharaan yang nyata.

Namun, menemukan perangkat terdampar dalam Setup Mode mengubah skenario penguncian platform yang tampaknya mustahil menjadi masalah injeksi NVRAM yang langsung. Sertifikat 2023 dapat didaftarkan secara native di lingkungan Linux murni, tanpa menggunakan Windows, tanpa kunci privat Microsoft, tanpa fwupd, langsung dengan efitools.

“Linux tidak perlu tanda tangan Microsoft” benar secara teknis untuk boot hari ini, tetapi merupakan kesalahan yang bencana untuk pemeliharaan besok. Daftarkan sertifikat 2023 sekarang — ini adalah asuransi untuk pembaruan shim, firmware GPU, dan skenario dual-boot di masa depan — jika tidak, semuanya akan gagal diam-diam dengan hanya jangkar kepercayaan 2011.

Lampiran A: Perintah Referensi Cepat

# Periksa status saat ini
sudo mokutil --sb-state
sudo mokutil --db | grep -i "2023"
ls /sys/firmware/efi/efivars/ | grep -i db

# Unduh dan konversi
wget https://go.microsoft.com/fwlink/?linkid=2239872 -O MicUEFICA2023.der
wget https://go.microsoft.com/fwlink/?linkid=2239776 -O WinUEFICA2023.der
openssl x509 -in MicUEFICA2023.der -inform DER -out MicUEFICA2023.pem -outform PEM
openssl x509 -in WinUEFICA2023.der -inform DER -out WinUEFICA2023.pem -outform PEM

# Hasilkan dan tulis
uuidgen --random > guid.txt
cert-to-efi-sig-list -g "$(cat guid.txt)" MicUEFICA2023.pem MicUEFICA2023.esl
cert-to-efi-sig-list -g "$(cat guid.txt)" WinUEFICA2023.pem WinUEFICA2023.esl
sudo efi-updatevar -f MicUEFICA2023.esl db
sudo efi-updatevar -a -f WinUEFICA2023.esl db

Lampiran B: Glosarium

Versi dokumen: 1.0.0
Platform teruji: HUAWEI BoF-XX (M1010), Ubuntu Resolute Raccoon, kernel 7.0.0-12-generic