7 月 22 日消息,LWN 报道称,微软用于签署安全启动(Secure Boot)启动加载程序(BootLoader)的安全密钥将于 9 月 11 日到期,可能导致许多依赖该机制的 Linux 发行版无法通过验证。
Secure Boot 是统一可扩展固件接口(UEFI)的安全标准,旨在确保设备仅启动制造商信任的软件。其核心依赖四层密钥体系, 汇总如下:
- 平台密钥(PK):由硬件厂商控制,用于授权更新其他密钥
- 密钥注册密钥(KEK):管理签名数据库(DB)和吊销数据库(DBX)更新
- 签名数据库(DB):存储受信任的数字证书
- 吊销数据库(DBX):记录被撤销的签名
制造商需在出厂时将 DB、DBX 和 KEK 写入固件非易失性存储器 (NV-RAM) ,并锁定编辑权限。除非获得正确密钥签名,否则无法修改。
由于多数设备预装 Windows,非 Windows 系统需通过三种方式适配 Secure Boot:
- 完全禁用 Secure Boot(如 NetBSD、OpenBSD)
- 用户自建签名密钥
- 通过微软签名的“shim”桥接(多数 Linux 发行版和 FreeBSD 采用此方案)
此次问题源于微软将停用 2011 版密钥签署 shim。尽管 2023 版新密钥已发布,但大量设备尚未预装该证书,且更新依赖硬件厂商发布固件升级,很难覆盖到 Linux 用户。
