Äldre Nvidia-kort kan få problem 2026

Det där känns ju som en verkligt enorm brist, OM det stämmer.

Normen annars är väl att man för kodsignering inkluderar en signerad tidsstämpel och att det som sedan verifieras är att kodens tidsstämpel skapades under certifikatets giltighetstid (dvs att koden signerades under certifikatets giltighetstid), inte att dagens datum är under certifikatets giltighetstid.

Det verkar som sagt konstigt att det skulle vara ett problem i praktiken, men om det är ett problem så lär det gälla samtliga grafikkortstillverkare och inte bara Nvidia. Reddit-inlägget tar bara upp Nvidia eftersom användaren som skrev det bara har Nvidia-kort, men AMD och Intel använder troligtvis samma certifikat.

Det jag frågar mig är varför det är en "permanent lösning"? Har "Microsoft UEFI CA 2023" inget utgångsdatum? Är utgångsdatumet så långt fram att man slänger sig med "permanent" mer hyperboliskt än att det bokstavligen är permanent?

Det jag menade är att det (utan fullständig insikt i Secure Boot specifikt utan mer utifrån hur kodsignering brukar fungera generellt) låter som att felet ligger i verifieringslogiken i UEFI, inte i vilket certifikat som använts till GOP.

"Om Secure Boot är avstängt fungerar kortet som vanligt, och om Windows kör igång som det ska kommer grafikkortet aktiveras som vanligt där, så det handlar inte om något riktigt katastrofalt problem.

Det gör det väl? Fler spel tex kräver ju just Secure Boot.

Ehhh, vad exakt menas med "gamla"?
1. Gamla enligt Microsofts snäva krav på vad som tillåts i Win11?
2. Gamla på riktigt, typ grafikkort från XP/Win7-eran?

Påverkas inte AMDs "gamla" kort
Antar att Intels gamla kort är "gamla" på riktigt

Ja, märkligt att nämna grafikkort från Nvidia specifikt men sedan inte nämna varför det just är enbart Nvidia som skulle drabbbas, eller ens vad "äldre" innebär. AMD signerar aldrig några drivrutiner eller?

Utan att veta så känns det inte som det kommer bli något problem, i så fall borde det pushas ut någon fix via Windows Update i god tid.

Fast väldigt många datorsystem/komponenter får inte firmwareuppdateringar via Windows Update.

jodå, alla HP stationära får via Win Update. Har ett par tusen på jobbet. DVS Märkesdatorer får det, egenbyggen får det inte.

Sicket jävla skämt det börjar bli att vara PCspelare.

Äldre och äldre. Det verkar ju som att även RTX4000-serien är signerat med Microsoft UEFI CA 2011, så det gäller ju i stort sett alla kort utom 5000-serien.

Vad 'kul'
TPM, Secure boot, certificat och grejer.
Att vi inte själva ska få bestämma om denna dator duger för mig eller om den är föråldrad.
Utan att Microsoft ska bestämma när vi ska köpa nytt.

Man kan ju tycka att moderkorten inte borde köra denna kontroll de första de gör,
utan att det finns en möjlighet att gå in i BIOS/UEFI innan grafikkort eller dylikt blockeras helt.
Så att man får möjlighet att stänga av dessa funktioner och starta om.

Om man då kan gå in i Windows i säkert läge eller motsvarande och göra uppdateringen därifrån. Eller om man kan starta upp Linux, kanske en live distro från ett USB minne om man inte har Linux installerat, och kan köra något verktyg därifrån för att uppdatera signaturerna.

Hur vanligt är det att Linux distributioner har krav på TPM, Secure boot och dylikt ?

Snubben som gjorde certifikatet: om 15 år har vi garanterat kommit på en bättre lösning, det räcker nog…

Men en UEFI som ska granska dessa kan inte på något sätt veta vad klockan är med rimlig säkerhet så länge den är offline, så jag är ganska övertygad att dessa utgångstider inte kan valideras hårt. Det som är viktigt är att signaturen ska vara gjord (tidsstämplad) när certifikatet var giltigt, allt annat är sekundärt

För att de behandlas av drivrutiner som körs på kernel-nivå, och för att de hanterar och agerar mellanhand för all information som visas på skärmen. Om någon vill ändra vad som visas kan man bara leka med grafikkortet för att visa vad som helst, helt plötsligt ser bosses bilmeck ut som swedbank (eller vad som helst)

Den första delen där är väl det som är relevant sett till UEFI-säkerhet och Secure Boot.

GOP är ett slags enkel drivrutin för att UEFI ska kunna använda grafikkortet. GOP är alltså kod som datorns UEFI laddar in *från* grafikkortet och kör i samband med POST.

Där är själva grejen, grafikkortet har genom att UEFI laddar in dess GOP-kod möjlighet att påverka vad UEFI gör, och ett illvilligt grafikkort (moddat eller illvillig tillverkare) skulle kunna påverka hela datorns säkerhet mycket mer än bara vad som har med grafikkortet att göra. Det skulle kunna vara öppningen för något rootkit/bakdörr/spionhittepå, snarare än att ha något med grafik att göra.

Där någonstans kommer Secure Boot in i bilden, som verifierar att all kod som laddas in från olika håll av UEFI, inklusive GOP, är signerad med en giltig nyckel så att iaf inte vem som helst kan skapa en GOP-drivrutin som hittar på dumheter.

Tveksam till artikelns saklighet. Enligt MS själva är detta ett icke-problem för de flesta.

If you use a Windows 10 or Windows 11 device that runs Home, Pro or Education edition, and you get updates automatically from Microsoft (like most people do), then yes—this is applicable for your device.

The good news is that the new 2023 certificates will be delivered to your device through regular Windows Update channels. For most users, no action is needed.
https://support.microsoft.com/en-us/topic/windows-devices-for...

Det här låter ju som "planned obsolescence" av hårdvara via certifikat. Lycka till med att få hårdvaran uppdaterad av tillverkaren om den är EoL. Det känns som UEFI, secure boot, TPM, Pluton etc, bara är verktyg för Microsoft att låsa dator användare till att följa deras diktat oavsett vilket operativsystem användarna väljer att köra i praktiken.