大家好,欢迎来到IT知识分享网。
IT之家 7 月 22 日消息,LWN 报道称,微软用于签署安全启动(Secure Boot)启动加载程序(BootLoader)的安全密钥将于 9 月 11 日到期,可能导致许多依赖该机制的 Linux 发行版无法通过验证。
Secure Boot 是统一可扩展固件接口(UEFI)的安全标准,旨在确保设备仅启动制造商信任的软件。其核心依赖四层密钥体系,IT之家汇总如下:
- 平台密钥(PK):由硬件厂商控制,用于授权更新其他密钥
- 密钥注册密钥(KEK):管理签名数据库(DB)和吊销数据库(DBX)更新
- 签名数据库(DB):存储受信任的数字证书
- 吊销数据库(DBX):记录被撤销的签名
制造商需在出厂时将 DB、DBX 和 KEK 写入固件非易失性存储器 (NV-RAM) ,并锁定编辑权限。除非获得正确密钥签名,否则无法修改。
由于多数设备预装 Windows,非 Windows 系统需通过三种方式适配 Secure Boot:
- 完全禁用 Secure Boot(如 NetBSD、OpenBSD)
- 用户自建签名密钥
- 通过微软签名的“shim”桥接(多数 Linux 发行版和 FreeBSD 采用此方案)
此次问题源于微软将停用 2011 版密钥签署 shim。尽管 2023 版新密钥已发布,但大量设备尚未预装该证书,且更新依赖硬件厂商发布固件升级,很难覆盖到 Linux 用户。
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/183927.html
