近日,科技领域一则关于系统安全启动的消息成为业界热议焦点。微软于2011年发布的UEFI安全启动证书即将在本月到期,这一变动预计将对Linux生态系统带来潜在影响。对于广大Linux用户和开发者而言,深入了解此事件的来龙去脉及应对策略显得尤为重要。

安全启动(Secure Boot)是UEFI固件中一项关键的安全功能,旨在防范恶意软件在操作系统启动前加载。微软的UEFI证书颁发机构机制自2011年推出以来,已成为众多PC设备安全启动信任链的核心环节。如今,运行了十余年的旧版证书即将完成使命,各大Linux发行版需将其引导加载器的签名流程迁移至微软2023年发布的新版UEFI CA证书体系。
Linux与Windows的启动差异
值得注意的是,此次证书迁移对Windows用户影响极小。绝大多数PC厂商已在设备固件中预装并信任微软的签名密钥,因此启动Windows系统时无需用户进行任何额外操作。然而,对于Linux系统而言,情况差异显著。由于大多数Linux发行版无法直接获得PC固件信任,社区开发者通常采用一种名为Shim的引导加载器作为桥梁。这个Shim由微软签名,从而获得固件信任,进而启动GRUB和Linux内核。
潜在风险与用户应对建议
尽管微软2011年的证书过期后,固件中的旧密钥并不会被自动删除,大多数现有Linux发行版预计仍能正常启动。但风险主要存在于迁移过渡期间。如果一些较老的PC设备、双系统配置的设备,或者新版Linux安装镜像无法正确识别微软2023年的新证书,则可能出现系统无法启动的问题。
对于普通Linux用户来说,目前最稳妥的解决方案是保持系统及相关组件的持续更新。专家建议用户及时安装最新版本的Linux发行版,并确保Shim引导加载器和UEFI固件均为最新状态。同时,强烈建议用户不要轻易手动修改安全启动密钥,因为不正确的操作很可能直接导致系统无法启动,造成不必要的麻烦。
