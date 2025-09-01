Forum Övrigt Nyhetskommentarer Tråd

Äldre Nvidia-kort kan få problem 2026

Melding Plague

Äldre Nvidia-kort kan få problem 2026

På datorer med Secure Boot aktiverat.

Läs hela artikeln här

Med Secure Boot aktiverat kontrollerar UEFI-mjukvaran de kryptografiska signaturerna på all sådan kod, och enligt Gaseousgalaxy finns ingen garanti att ett visst moderkort ignorerar ett utgått certifikat.

Det där känns ju som en verkligt enorm brist, OM det stämmer.

Normen annars är väl att man för kodsignering inkluderar en signerad tidsstämpel och att det som sedan verifieras är att kodens tidsstämpel skapades under certifikatets giltighetstid (dvs att koden signerades under certifikatets giltighetstid), inte att dagens datum är under certifikatets giltighetstid.

Det verkar som sagt konstigt att det skulle vara ett problem i praktiken, men om det är ett problem så lär det gälla samtliga grafikkortstillverkare och inte bara Nvidia. Reddit-inlägget tar bara upp Nvidia eftersom användaren som skrev det bara har Nvidia-kort, men AMD och Intel använder troligtvis samma certifikat.

Det där känns ju som en verkligt enorm brist, OM det stämmer.

Jag tolkar detta i artikeln som att det ändå är relativt enkelt att lösa?

En permanent lösning är uppdateringar av antingen hela VBIOS på grafikkortet eller enbart GOP-komponenten, signerade med det uppdaterade certifikatet Microsoft UEFI CA 2023. En del grafikkort är redan uppdaterade, och en annan användare har kommenterat på Reddit med länkar till officiella verktyg från Nvidia som kan uppdatera enbart GOP. För en del äldre kort som inte stöds av dessa finns tredjepartsprogram som också kan uppdatera GOP.

Jag tolkar detta i artikeln som att det ändå är relativt enkelt att lösa?

En permanent lösning är uppdateringar av antingen hela VBIOS på grafikkortet eller enbart GOP-komponenten, signerade med det uppdaterade certifikatet Microsoft UEFI CA 2023. En del grafikkort är redan uppdaterade, och en annan användare har kommenterat på Reddit med länkar till officiella verktyg från Nvidia som kan uppdatera enbart GOP. För en del äldre kort som inte stöds av dessa finns tredjepartsprogram som också kan uppdatera GOP.

Det jag frågar mig är varför det är en "permanent lösning"? Har "Microsoft UEFI CA 2023" inget utgångsdatum? Är utgångsdatumet så långt fram att man slänger sig med "permanent" mer hyperboliskt än att det bokstavligen är permanent?

Det jag menade är att det (utan fullständig insikt i Secure Boot specifikt utan mer utifrån hur kodsignering brukar fungera generellt) låter som att felet ligger i verifieringslogiken i UEFI, inte i vilket certifikat som använts till GOP.

"Om Secure Boot är avstängt fungerar kortet som vanligt, och om Windows kör igång som det ska kommer grafikkortet aktiveras som vanligt där, så det handlar inte om något riktigt katastrofalt problem.

Det gör det väl? Fler spel tex kräver ju just Secure Boot.

Satt precis o läste denna.

https://techcommunity.microsoft.com/blog/windows-itpro-blog/a...

tur att man kör Updates ifrån Internet, iaf på de flesta maskiner på jobbet

Ehhh, vad exakt menas med "gamla"?
1. Gamla enligt Microsofts snäva krav på vad som tillåts i Win11?
2. Gamla på riktigt, typ grafikkort från XP/Win7-eran?

Påverkas inte AMDs "gamla" kort
Antar att Intels gamla kort är "gamla" på riktigt

Ehhh, vad exakt menas med "gamla"?
1. Gamla enligt Microsofts snäva krav på vad som tillåts i Win11?
2. Gamla på riktigt, typ grafikkort från XP/Win7-eran?

Påverkas inte AMDs "gamla" kort
Antar att Intels gamla kort är "gamla" på riktigt

Ja, märkligt att nämna grafikkort från Nvidia specifikt men sedan inte nämna varför det just är enbart Nvidia som skulle drabbbas, eller ens vad "äldre" innebär. AMD signerar aldrig några drivrutiner eller?

Utan att veta så känns det inte som det kommer bli något problem, i så fall borde det pushas ut någon fix via Windows Update i god tid.

Det jag frågar mig är varför det är en "permanent lösning"? Har "Microsoft UEFI CA 2023" inget utgångsdatum? Är utgångsdatumet så långt fram att man slänger sig med "permanent" mer hyperboliskt än att det bokstavligen är permanent?

Utgångsdatum är 2038 någon gång, så inte "permanent".

Ja, märkligt att nämna grafikkort från Nvidia specifikt men sedan inte nämna varför det just är enbart Nvidia som skulle drabbbas, eller ens vad "äldre" innebär. AMD signerar aldrig några drivrutiner eller?

Utan att veta så känns det inte som det kommer bli något problem, i så fall borde det pushas ut någon fix via Windows Update i god tid.

Fast väldigt många datorsystem/komponenter får inte firmwareuppdateringar via Windows Update.

Fast väldigt många datorsystem/komponenter får inte firmwareuppdateringar via Windows Update.

Laptops är det ju mer eller mindre standard på sedan många år men för stationära vet jag inte om jag sett det på. Men sen finns det ju knappt några som använder stationära datorer på företag längre för gemene man.

Laptops är det ju mer eller mindre standard på sedan många år men för stationära vet jag inte om jag sett det på. Men sen finns det ju knappt några som använder stationära datorer på företag längre för gemene man.

jodå, alla HP stationära får via Win Update. Har ett par tusen på jobbet. DVS Märkesdatorer får det, egenbyggen får det inte.

Sicket jävla skämt det börjar bli att vara PCspelare.

Företag ser jag inte som problem då det har leasing eller annat våra datorer byts efter 3 år , har man så gamla datorer astt man påverkas av detta typ bör man nog se över lite innenom det förtagen i optim , all gammal hårdvara kan väl inte supportas i all evighet nä rätt där få folk och företag att byte ut lite 2011 är ju för bövelen 15år gammalt, vill ni att det skall ha garanti på sakerrna med eller skärp er, något som är 15år gammal är väl knasppas energi snålt eller ,

När jag läser det låter det som någon lekt med chatgpt och hittat saker som personen inte alls förstår och sen skapar panik runt det.

Äldre och äldre. Det verkar ju som att även RTX4000-serien är signerat med Microsoft UEFI CA 2011, så det gäller ju i stort sett alla kort utom 5000-serien.

Vad 'kul'
TPM, Secure boot, certificat och grejer.
Att vi inte själva ska få bestämma om denna dator duger för mig eller om den är föråldrad.
Utan att Microsoft ska bestämma när vi ska köpa nytt.

Man kan ju tycka att moderkorten inte borde köra denna kontroll de första de gör,
utan att det finns en möjlighet att gå in i BIOS/UEFI innan grafikkort eller dylikt blockeras helt.
Så att man får möjlighet att stänga av dessa funktioner och starta om.

Om man då kan gå in i Windows i säkert läge eller motsvarande och göra uppdateringen därifrån. Eller om man kan starta upp Linux, kanske en live distro från ett USB minne om man inte har Linux installerat, och kan köra något verktyg därifrån för att uppdatera signaturerna.

Hur vanligt är det att Linux distributioner har krav på TPM, Secure boot och dylikt ?

Äldre och äldre. Det verkar ju som att även RTX4000-serien är signerat med Microsoft UEFI CA 2011, så det gäller ju i stort sett alla kort utom 5000-serien.

En permanent lösning är uppdateringar av antingen hela VBIOS på grafikkortet eller enbart GOP-komponenten, signerade med det uppdaterade certifikatet Microsoft UEFI CA 2023.

De första RTX 4000 korten släpptes i Q4 2022.
Sen har det släppts fler RTX 4000 kort under 2023 och sedan Super korten under 2024.

Nvidia skulle i så fall behövt byta certifikat någon gång under RTX 4000 serien.
Vilket ändå skulle betyda att vissa skulle ha de gamla och vissa skulle ha de nya.
Eftersom RTX 4000 serien ursprungligen är äldre än de nyare certifikaten.

Även om RTX 5000 serien fortfarande är den nyaste serien,
Så är den samtidigt Nvidias äldsta grafikkortserie där samtliga kort är släppta efter 2023.

Så "äldre" i sammanhanget blir grafikkort från före 2025.

Windows Secure Boot Key Creation and Management Guidance
https://learn.microsoft.com/en-gb/windows-hardware/manufactur...

Call to action
You may need to take action to ensure that your Windows device remains secure when the certificates expire in 2026. Both UEFI Secure Boot DB and KEK need to be updated with the corresponding new 2023 certificate versions. For more information about the new certificates, see Windows Secure Boot Key Creation and Management Guidance.

Important Without updates, the Secure Boot-enabled Windows devices risk not receiving security updates or trusting new boot loaders which will compromise both serviceability and security.

Your actions will vary depending on the type of Windows device you have. Select from the menu on the left for the type of device and specific action you need to take.

Företag ser jag inte som problem då det har leasing eller annat våra datorer byts efter 3 år , har man så gamla datorer astt man påverkas av detta typ bör man nog se över lite innenom det förtagen i optim , all gammal hårdvara kan väl inte supportas i all evighet nä rätt där få folk och företag att byte ut lite 2011 är ju för bövelen 15år gammalt, vill ni att det skall ha garanti på sakerrna med eller skärp er, något som är 15år gammal är väl knasppas energi snålt eller ,

Jag har aldrig riktigt gått med på tesen att hårdvara måste finnas med på en gästlista.
Att stödja gammal hårdvara borde ju bara vara klippa & klistra, i annat fall så är det nog dags att göra om mjukvarukodningen.
Sedan behöver ju inte hårdvara fungera bra med ny mjukvara, men låt den som äger hårdvaran bestämma när det är dags att uppgradera.

jodå, alla HP stationära får via Win Update. Har ett par tusen på jobbet. DVS Märkesdatorer får det, egenbyggen får det inte.

Ah, ok. Tack för info!

Hur ens har grafikkort påverkan av säkerheten? Nån kunnig som kan förklara

Låter potentiellt drygt att fixa. Kan dom inte lösa det via Windows update på hårdvara som kan få ett nytt certifikat?

Snubben som gjorde certifikatet: om 15 år har vi garanterat kommit på en bättre lösning, det räcker nog…

Men en UEFI som ska granska dessa kan inte på något sätt veta vad klockan är med rimlig säkerhet så länge den är offline, så jag är ganska övertygad att dessa utgångstider inte kan valideras hårt. Det som är viktigt är att signaturen ska vara gjord (tidsstämplad) när certifikatet var giltigt, allt annat är sekundärt

Hur ens har grafikkort påverkan av säkerheten? Nån kunnig som kan förklara

För att de behandlas av drivrutiner som körs på kernel-nivå, och för att de hanterar och agerar mellanhand för all information som visas på skärmen. Om någon vill ändra vad som visas kan man bara leka med grafikkortet för att visa vad som helst, helt plötsligt ser bosses bilmeck ut som swedbank (eller vad som helst)

Hur ens har grafikkort påverkan av säkerheten? Nån kunnig som kan förklara

För att de behandlas av drivrutiner som körs på kernel-nivå, och för att de hanterar och agerar mellanhand för all information som visas på skärmen. Om någon vill ändra vad som visas kan man bara leka med grafikkortet för att visa vad som helst, helt plötsligt ser bosses bilmeck ut som swedbank (eller vad som helst)

Den första delen där är väl det som är relevant sett till UEFI-säkerhet och Secure Boot.

GOP är ett slags enkel drivrutin för att UEFI ska kunna använda grafikkortet. GOP är alltså kod som datorns UEFI laddar in *från* grafikkortet och kör i samband med POST.

Där är själva grejen, grafikkortet har genom att UEFI laddar in dess GOP-kod möjlighet att påverka vad UEFI gör, och ett illvilligt grafikkort (moddat eller illvillig tillverkare) skulle kunna påverka hela datorns säkerhet mycket mer än bara vad som har med grafikkortet att göra. Det skulle kunna vara öppningen för något rootkit/bakdörr/spionhittepå, snarare än att ha något med grafik att göra.

Där någonstans kommer Secure Boot in i bilden, som verifierar att all kod som laddas in från olika håll av UEFI, inklusive GOP, är signerad med en giltig nyckel så att iaf inte vem som helst kan skapa en GOP-drivrutin som hittar på dumheter.

Tveksam till artikelns saklighet. Enligt MS själva är detta ett icke-problem för de flesta.

If you use a Windows 10 or Windows 11 device that runs Home, Pro or Education edition, and you get updates automatically from Microsoft (like most people do), then yes—this is applicable for your device.

The good news is that the new 2023 certificates will be delivered to your device through regular Windows Update channels. For most users, no action is needed.
https://support.microsoft.com/en-us/topic/windows-devices-for...

Tveksam till artikelns saklighet. Enligt MS själva är detta ett icke-problem för de flesta.

If you use a Windows 10 or Windows 11 device that runs Home, Pro or Education edition, and you get updates automatically from Microsoft (like most people do), then yes—this is applicable for your device.

The good news is that the new 2023 certificates will be delivered to your device through regular Windows Update channels. For most users, no action is needed.
https://support.microsoft.com/en-us/topic/windows-devices-for...

Det där besvarar läget vad gäller Secure Boots validering av Windows, inte Secure Boots validering av GOP (det artikeln handlar om), som jag förstår det

Det här låter ju som "planned obsolescence" av hårdvara via certifikat. Lycka till med att få hårdvaran uppdaterad av tillverkaren om den är EoL. Det känns som UEFI, secure boot, TPM, Pluton etc, bara är verktyg för Microsoft att låsa dator användare till att följa deras diktat oavsett vilket operativsystem användarna väljer att köra i praktiken.

