安全启动(Secure Boot)作为现代计算机固件中至关重要的安全机制,为操作系统启动过程提供了可信的身份验证环境。通过在UEFI固件中存储的信任密钥,Secure Boot能防止未经授权的代码运行,保护系统免受恶意启动程序攻击。然而,随着微软为第三方引导程序签名的关键证书即将于2025年9月过期,基于Linux的系统在启用Secure Boot时面临着前所未有的挑战。 Secure Boot设计初衷是确保启动链的每一个环节都可信赖。Linux发行版普遍采用了名为shim的第一阶段引导加载程序,它由微软签署以便在带有Secure Boot的系统中启动Linux内核。shim本身以微软的密钥认证,通过加载发行版特定的密钥和启动程序,完成可信启动流程。
微软的这一策略降低了厂商和发行版的引入门槛,使得Linux能够兼容各类设备而无需用户手动管理密钥。 然而,这种便利性带来了潜在风险。早于2011年签发的微软Secure Boot证书在2025年9月将会失效,这意味着以该证书签署的shim将不再被授权在大多数启用Secure Boot的设备上启动。微软已于2023年发布了新的2023版UEFI密钥,以替代旧证书,并开始为新shim签名。但关键的困难在于,许多硬件系统的固件数据库尚未包含这组新的密钥,缺少更新将导致新版本的安装介质无法通过Secure Boot验证启动。 复杂之处在于新旧密钥的分布不均。
在不同厂商甚至不同型号设备的固件中,某些系统同时拥有旧证书和新证书,能够兼顾现有和未来的引导要求;部分设备仅带有旧证书,更新过程依赖厂商发布固件升级;还有极少数设备仅具备新证书却暂时无法兼容旧版安装介质。前者可顺利完成升级,中后者则需要额外关注固件更新,乃至在极端情况可能不得不关闭Secure Boot以继续安装系统。 这时候Linux厂商和社区推出的LVFS(Linux Vendor Firmware Service)及fwupd工具发挥了重要作用。LVFS是一个集中固件更新仓库,支持多个厂商上传设备固件,用户通过fwupd工具可在Linux系统下自动下载并应用更新,涵盖安全启动密钥的新增或密钥交换密钥(KEK)的更新。KEK作为由微软签署的厂商专用密钥,负责认证固件数据库(db)及其撤销列表(dbx)中的更新。通过此机制,即使设备没有完整固件升级,也可能实现关键密钥的热更新,延长设备的Secure Boot支持生命。
不过技术挑战不容忽视。固件变量存储空间有限,部分旧型号主板可能因efi变量碎片化而无法成功写入新的密钥信息,升级尝试可能失败。硬件厂商往往建议用户尝试重启并复位BIOS设置至出厂默认,这种操作被认为能“碎片整理”efi变量空间。此外,少数厂商出现私钥丢失导致平台密钥(PK)重置的极端情况,更加剧了升级过程的不确定性和风险。 除了技术限制,用户教育和操作复杂度也成为隐忧。多数Linux用户采用发行版预签名的shim,无自定义密钥,且并不熟悉UEFI安全密钥体系,因而难以应对密钥更新带来的启动失败。
部分用户为发挥自定义密钥管理优势,采用sbctl等方案生成本地Secure Boot密钥,但这在整个Linux生态中尚属弱势,主流仍依赖微软密钥体系。硬件厂商提供的固件更新不统一,且不同发行版更新频率和机制不同,造成实际体验断层。 证书的过期在传统数字证书策略中是防止密钥泄露及算法过时造成安全隐患的必要措施。但在Secure Boot场景,尤其固件缺乏可信时间源的情况下,证书到期并不代表系统自行中止信任旧证书。实际固件检测习惯参差不齐,部分固件根本不检验证书有效期,依赖其他机制保障安全。这样一方面保证了系统不会因某日到期而“变砖”,另一方面也减弱了证书过期机制的安全驱动力。
因此,微软和合作厂商通过渐进式的密钥更替策略,结合密钥交换密钥和db更新,力求在不强制中断用户正常操作的前提下,实现安全过渡。当新密钥启用后,后续由于微软停止用旧证书签署新shim,更新或新装Linux发行版都会受到影响。准备不充分的系统用户将面临启用Secure Boot时启动失败风险,必须借助固件更新或者临时关闭该功能。 展望未来,Secure Boot体系的维护难度还将持续,特别是支持周期长的Linux发行版和硬件设备。社区和厂商需要持续合作,完善固件更新渠道,提升fwupd等工具兼容性,降低关键升级门槛。对用户而言,及时安装固件更新、做好数据备份及熟悉关闭Secure Boot的操作是当下最实际的应对方案。
对于使用BitLocker和TPM的双系统用户,Secure Boot密钥更新也会牵涉到存储密钥及解锁机制的变化,更需谨慎备份恢复信息。 最后,Secure Boot作为硬件生态系统中安全基石,其根密钥仍由厂商掌控,微软的角色独特而重要。Linux生态的兼容与安全演进,不可避免地受制于上游厂商对固件生态的支持力度。尽管如此,随着LVFS和fwupd的不断完善,Linux社区在这一纷繁复杂的软硬件交织安全问题面前显示了强大的应对能力。未来数年,围绕Secure Boot证书到期带来的挑战将是Linux系统用户和维护者重点关注的安全话题,理解其机制及动向,是保障系统稳定安全的重要前提。
