Hacker News 中文摘要

RSS订阅

Linux与安全启动证书过期(2025) -- Linux and Secure Boot certificate expiration (2025)

原文链接 | HN讨论 | 2026-06-23 10:19:18

文章摘要

Linux用户若启用安全启动,会依赖微软提供的密钥,该密钥将于2026年9月到期,可能影响系统正常启动。

文章总结

好的,这是根据您的要求,对原文主要内容进行的中文重述,已保留关键细节并删减了与主题无关的评论和讨论。

标题:Linux 与安全启动证书过期问题

核心问题: 许多 Linux 用户依赖的微软安全启动(Secure Boot)签名密钥将于2025年9月到期。届时,微软将不再使用此密钥为 Linux 发行版使用的第一级引导加载程序“shim”进行签名。虽然微软自2023年起已提供替换密钥,但许多系统可能尚未安装该新密钥,甚至可能需要硬件厂商发布固件更新才能支持,这给 Linux 生态带来了挑战。

事件起因: 一位 Fedora 开发者注意到 Windows 11 更新中关于安全启动证书将在2026年6月到期的警告。但 Linux 依赖的 shim 签名密钥到期时间更早,问题更为紧迫。

技术细节: * 安全启动流程: 在启用安全启动的系统上安装 Linux 时,第一级引导加载程序(shim)必须使用固件数据库中未过期的密钥进行签名。证书过期主要影响新系统的安装,已安装的系统通常使用发行版自己的密钥链,可继续正常启动。 * 当前状态: 目前 shim 使用的是微软2011年的密钥,该密钥将于2025年9月11日到期。此后,新的安装介质将无法在仅存有旧密钥的系统上启动,除非使用由微软2023年新密钥签名的更新版 shim。 * 系统现状: 许多系统的固件数据库缺少微软的新密钥。有些系统同时拥有新旧密钥,而有些可能只有新密钥,导致目前就无法启动某些 Linux 安装介质。

解决方案与挑战: * 固件更新: 硬件厂商可以提供固件更新来添加新密钥。Linux 固件服务(LVFS)和 fwupd 工具可用于从 Linux 系统安装这些更新。新版 fwupd 已增强处理此类更新的能力。 * 密钥交换密钥(KEK)更新: 另一种方式是通过 KEK 更新。这是一种由厂商特定密钥签名、再由微软密钥签名的更新包,fwupd 可利用它来更新固件数据库。但该过程并非100%成功,部分旧 BIOS 可能因 EFI 变量空间不足而失败,重启并重置 BIOS 到出厂设置有时可解决此问题。 * 无厂商支持的情况: 对于厂商不提供任何更新的系统,禁用安全启动可能是进行新安装的唯一选择。

潜在风险与不确定性: * 固件实现问题: 目前尚不清楚所有固件是否会严格执行2011年密钥的到期日期。如果固件不检查日期,现有系统可能继续正常工作。但微软将不再为旧密钥签署任何更新(如安全补丁),这意味着使用旧 shim 的系统将无法获得安全更新,使安全启动失去意义。 * 厂商失误风险: 有报告称,至少有一家制造商丢失了其平台密钥(PK)的私钥,这可能导致需要更换硬件中的平台密钥,是一个前所未有的棘手问题。此外,KEK 更新过程本身也是全新的,存在 BIOS 厂商处理不当的风险。

总结: 面对这一由微软和硬件厂商主导的安全启动密钥更新问题,Linux 社区正在尽力应对。由于 Linux 和发行版明确支持较老的硬件,而其他厂商早已停止对旧硬件的支持,这种矛盾在所难免。希望整个过渡过程能尽可能平稳。

评论总结

根据评论内容,总结主要观点如下:

1. 对微软作为安全启动信任方的质疑(评分:无) - 评论4:质疑微软为何成为shim签名的可信方,认为其密钥可能受NSA影响,并呼吁建立类似Let's Encrypt的公益PKI体系。 - 评论6:指出“信任微软”是问题根源,认为Linux单系统用户应直接禁用安全启动。

2. 对安全启动实用性的批评(评分:无) - 评论5:惊讶于公众反应平淡,认为大量Linux机器可能在未来数月无法重启,并指出安全启动“多年来已深度损坏”。 - 评论6:强调安全启动对纯Linux系统无必要,仅因双系统需求而存在。

3. 用户操作指南缺失(评分:无) - 评论1:指出文章未提供更新步骤,并附上自行编写的文档链接。 - 评论3:批评所有相关报道均未包含“新手可操作的检查指南”。

4. 对更新成功率的观察(评分:无) - 评论2:对fwupd分析数据(KEK更新98%成功、db更新99%成功)表示认可,并同情厂商在短时间内协调的困难。

5. 对系统影响的不同看法(评分:无) - 评论9:引用Red Hat说法,认为现有系统可继续启动(因时间戳或忽略日期),并批评恐慌者缺乏专业知识。 - 评论10:惊讶于efivar空间碎片化问题,认为其虽被提及但未受足够重视。

6. 用户应对策略(评分:无) - 评论7:主张自行注册密钥,认为使用他人密钥“荒谬”。 - 评论11:表示保持禁用安全启动是未来解决方案,认为自建密钥方案“更像黑客手段而非解决方案”。

关键引用保留: - 评论4:"What is the convincing reason that MicroSlop is the trusted party to sign the shim with their (presumably NSA-blessed key)?" - 评论5:"I'm surprised more people aren't freaking out about this. It seems likely a whole lot of Linux machines are going to fail to reboot in the next few months." - 评论9:"The word from Red Hat is existing systems will continue to boot — presumably because they are time-stamped and counter-signed or because the dates are ignored entirely."