微软 UEFI 安全启动密钥 9 月到期，Linux 用户面临兼容性问题

LWN 报道称，微软用于签署安全启动（Secure Boot）启动加载程序（BootLoader）的安全密钥将于 9 月 11 日到期，可能导致许多依赖该机制的 Linux 发行版无法通过验证。

Secure Boot 是统一可扩展固件接口（UEFI）的安全标准，旨在确保设备仅启动制造商信任的软件。其核心依赖四层密钥体系， 汇总如下：

• 平台密钥（PK）：由硬件厂商控制，用于授权更新其他密钥

• 密钥注册密钥（KEK）：管理签名数据库（DB）和吊销数据库（DBX）更新

• 签名数据库（DB）：存储受信任的数字证书

• 吊销数据库（DBX）：记录被撤销的签名

制造商需在出厂时将 DB、DBX 和 KEK 写入固件非易失性存储器 (NV-RAM) ，并锁定编辑权限。除非获得正确密钥签名，否则无法修改。

由于多数设备预装 Windows，非 Windows 系统需通过三种方式适配 Secure Boot：

• 完全禁用 Secure Boot（如 NetBSD、OpenBSD）

• 用户自建签名密钥

• 通过微软签名的“shim”桥接（多数 Linux 发行版和 FreeBSD 采用此方案）

此次问题源于微软将停用 2011 版密钥签署 shim。尽管 2023 版新密钥已发布，但大量设备尚未预装该证书，且更新依赖硬件厂商发布固件升级，很难覆盖到 Linux 用户。