Hacker News 中文摘要

RSS订阅

Linux与安全启动证书过期问题 -- Linux and Secure Boot certificate expiration

原文链接 | HN讨论 | 2025-07-18 20:09:47

文章摘要

Linux系统的Secure Boot证书即将在2025年7月16日到期,这可能会影响系统的启动过程。用户需要及时更新或替换证书,以确保系统能够继续正常启动。

文章总结

主要内容总结

文章讨论了Linux系统中与Secure Boot相关的证书过期问题,特别是微软用于签署shim(Linux发行版用于启动内核的第一阶段UEFI引导程序)的密钥即将在2025年9月过期。这一变化可能导致许多系统无法正常启动,尤其是那些未安装新密钥的系统。新密钥自2023年起已可用,但许多系统可能尚未更新,甚至需要硬件厂商发布固件更新。

问题背景

  • Secure Boot依赖于微软的密钥来验证引导程序的签名。当前的密钥(2011年签发)将在2025年9月过期,之后微软将不再使用该密钥签署shim。
  • 新密钥(2023年签发)可能未广泛部署,且部分系统需要硬件厂商提供固件更新才能支持新密钥。

影响

  • 现有系统:已安装的Linux发行版应能继续启动,因为它们使用自己的密钥签署引导程序。
  • 新安装系统:安装介质可能无法启动,除非它们使用新密钥签署的shim。对于仅支持旧密钥的系统,安装将失败。
  • 硬件厂商更新:部分厂商可能通过固件更新添加新密钥,但并非所有厂商都会提供此类更新。

解决方案

  • LVFS和fwupd:Linux Vendor Firmware Service(LVFS)和fwupd工具可以帮助用户更新固件,添加新密钥。然而,部分老旧的BIOS可能无法顺利更新。
  • 禁用Secure Boot:对于无法更新密钥的系统,禁用Secure Boot可能是唯一的解决方案。

其他问题

  • 证书过期检查:部分固件可能不会严格执行证书的过期日期,因此即使密钥过期,系统仍可能继续启动。
  • KEK更新:部分系统可能需要通过Key Exchange Key(KEK)更新来支持新密钥,但这一过程可能存在问题,尤其是老旧的BIOS。

未来展望

  • Linux社区应对:Linux社区正在尽力应对这一问题,但由于Secure Boot的根信任密钥由微软和硬件厂商控制,Linux用户可能面临持续的挑战。
  • 硬件支持:由于Linux支持较老的硬件,而这些硬件厂商可能已不再提供更新,因此可能会出现一些兼容性问题。

图片标记

  • Image 1: LWN.net Logo
  • Image 2: LWN

结论

文章指出,Linux用户和发行版需要为即将到来的Secure Boot证书过期做好准备,尤其是那些依赖微软密钥的系统。虽然LVFS和fwupd等工具可以帮助缓解问题,但部分老旧硬件可能无法顺利更新,用户可能需要禁用Secure Boot或采取其他措施来确保系统正常启动。

评论总结

主要观点总结:

  1. 对Secure Boot的担忧与不满

    • 一些用户对Secure Boot的复杂性表示不满,认为它带来了不必要的麻烦,尤其是在Linux系统上。
    • 引用:
      • "Secure boot is so evil." (评论 4)
      • "Secure boot, disk encryption, etc are more trouble than they are worth IME." (评论 10)

  2. 证书过期问题

    • 用户对Secure Boot证书的过期问题表示担忧,尤其是微软的密钥将在2026年过期,可能导致系统无法启动。
    • 引用:
      • "Really it seems like having any expiry date for these certificates is a mistake." (评论 6)
      • "I'm concerned about not being about to boot in x months and forgetting why." (评论 12)

  3. 自定义密钥的可能性

    • 一些用户指出,Secure Boot并不一定依赖微软的密钥,用户可以通过自定义密钥来避免证书过期的问题。
    • 引用:
      • "No I don't because I installed my own keys, and so should you." (评论 16)
      • "Managing secure boot these days is as easy as installing sbctl and adding a hook to sign your kernel." (评论 11)

  4. 硬件和固件的限制

    • 某些硬件和固件设计限制了用户对Secure Boot的控制,例如无法清除预装的微软签名证书。
    • 引用:
      • "Lenovo, in their infinite wisdom, has decided to load an Nvidia blob signed by Microsoft before even being able to access the UEFI firmware interface." (评论 15)
      • "Intel and AMD processors have back doors via Intel Management Engine and AMD Platform Security Processor." (评论 14)

  5. Secure Boot的实际体验

    • 一些用户分享了他们在使用Secure Boot时的负面体验,尤其是在驱动程序和虚拟化软件兼容性方面。
    • 引用:
      • "I've had to disable it on all my installations because of either nvidia drivers or virtual box modules." (评论 3)
      • "In general Arch based distros didn't seem too friendly for secure boot set up." (评论 3)

  6. 对旧硬件支持的担忧

    • 用户担心Secure Boot和其他现代安全措施会导致旧硬件无法使用,增加了电子垃圾的产生。
    • 引用:
      • "With current computers it will be impossible because they will be "unsupported"." (评论 7)
      • "Just another factor creating electro-junk." (评论 7)

  7. 缺乏明确的测试方法

    • 用户希望有更简单的方法来测试系统是否会受到证书过期的影响。
    • 引用:
      • "How does one verify (in an in a VERY clear and straightforward way) if some arbitrary system will run into this issue in September?" (评论 17)

总结:

评论中既有对Secure Boot的批评,也有对其安全性的认可。主要担忧集中在证书过期、硬件限制和兼容性问题上,同时也有用户强调通过自定义密钥可以避免这些问题。总体而言,Secure Boot的复杂性和潜在风险引发了广泛的讨论和争议。