轉自:IT之家
LWN 報道稱,微軟用於簽署安全啟動(Secure Boot)啟動載入程式(BootLoader)的安全金鑰將於 9 月 11 日到期,可能導致許多依賴該機制的 Linux 發行版無法透過驗證。
Secure Boot 是統一可擴充套件韌體介面(UEFI)的安全標準,旨在確保裝置僅啟動製造商信任的軟體。其核心依賴四層金鑰體系,彙總如下:
-
平臺金鑰(PK):由硬體廠商控制,用於授權更新其他金鑰
-
金鑰註冊金鑰(KEK):管理簽名資料庫(DB)和吊銷資料庫(DBX)更新
-
簽名資料庫(DB):儲存受信任的數字證書
-
吊銷資料庫(DBX):記錄被撤銷的簽名
製造商需在出廠時將 DB、DBX 和 KEK 寫入韌體非易失性儲存器 (NV-RAM) ,並鎖定編輯許可權。除非獲得正確金鑰簽名,否則無法修改。
由於多數裝置預裝 Windows,非 Windows 系統需透過三種方式適配 Secure Boot:
-
完全停用 Secure Boot(如 NetBSD、OpenBSD)
-
使用者自建簽名金鑰
-
透過微軟簽名的“shim”橋接(多數 Linux 發行版和 FreeBSD 採用此方案)
此次問題源於微軟將停用 2011 版金鑰簽署 shim。儘管 2023 版新金鑰已釋出,但大量裝置尚未預裝該證書,且更新依賴硬體廠商釋出韌體升級,很難覆蓋到 Linux 使用者。
想要學習Linux系統的讀者可以點選"閱讀原文"按鈕來了解書籍《Linux就該這麼學》,同時也非常適合專業的運維人員閱讀,成為輔助您工作的高價值工具書!