微软用于签署安全启动（Secure Boot）的启动加载程序（BootLoader）的安全密钥将于9月11日到期，这将可能导致许多依赖此机制的Linux发行版无法通过验证。Secure Boot作为UEFI的安全标准，通过四层密钥体系确保设备仅启动受信任的软件。制造商通常预装Windows，而非Windows系统（如Linux）则需通过禁用Secure Boot、用户自建签名密钥或微软签名的“shim”桥接等方式适配。此次问题源于微软将停用2011版密钥签署shim，虽然已发布2023版新密钥，但由于更新依赖硬件厂商的固件升级，许多设备尚未预装新证书，给Linux用户带来了潜在的启动验证风险。

🔑 **微软安全密钥即将过期，影响Linux发行版Secure Boot**：微软用于签署安全启动（Secure Boot）启动加载程序（BootLoader）的安全密钥将于9月11日到期。Secure Boot是UEFI的安全标准，旨在确保设备仅启动制造商信任的软件，其核心依赖于平台密钥（PK）、密钥注册密钥（KEK）、签名数据库（DB）和吊销数据库（DBX）四层密钥体系。制造商在出厂时将DB、DBX和KEK写入固件，并锁定编辑权限，除非获得正确密钥签名，否则无法修改。

🚫 **非Windows系统适配Secure Boot面临挑战**：由于多数设备预装Windows，非Windows系统（包括Linux发行版）需要通过特定方式适配Secure Boot。常见的适配方式包括完全禁用Secure Boot（如NetBSD、OpenBSD）、用户自行构建签名密钥，或者采用通过微软签名的“shim”进行桥接（这是多数Linux发行版和FreeBSD采用的方案）。

⚠️ **2011版密钥停用引发潜在风险**：此次Secure Boot验证问题主要源于微软计划停用2011版密钥来签署“shim”。虽然微软已发布2023版新密钥，但大量现有设备尚未预装该新证书。由于更新新证书通常需要硬件厂商发布固件升级，这一过程周期长且覆盖范围有限，导致难以全面及时地更新到Linux用户，从而带来潜在的启动验证失败风险。

IT之家 7 月 22 日消息，LWN 报道称，微软用于签署安全启动（Secure Boot）启动加载程序（BootLoader）的安全密钥将于 9 月 11 日到期，可能导致许多依赖该机制的 Linux 发行版无法通过验证。

Secure Boot 是统一可扩展固件接口（UEFI）的安全标准，旨在确保设备仅启动制造商信任的软件。其核心依赖四层密钥体系，IT之家汇总如下：

平台密钥（PK）：由硬件厂商控制，用于授权更新其他密钥

密钥注册密钥（KEK）：管理签名数据库（DB）和吊销数据库（DBX）更新

签名数据库（DB）：存储受信任的数字证书

吊销数据库（DBX）：记录被撤销的签名

制造商需在出厂时将 DB、DBX 和 KEK 写入固件非易失性存储器 (NV-RAM) ，并锁定编辑权限。除非获得正确密钥签名，否则无法修改。

由于多数设备预装 Windows，非 Windows 系统需通过三种方式适配 Secure Boot：

完全禁用 Secure Boot（如 NetBSD、OpenBSD）

用户自建签名密钥

通过微软签名的“shim”桥接（多数 Linux 发行版和 FreeBSD 采用此方案）

此次问题源于微软将停用 2011 版密钥签署 shim。尽管 2023 版新密钥已发布，但大量设备尚未预装该证书，且更新依赖硬件厂商发布固件升级，很难覆盖到 Linux 用户。