微软 UEFI 安全启动密钥将于 9 月中旬到期，Linux 用户面临兼容性问题

主要观点总结

微软用于签署安全启动（Secure Boot）启动加载程序（BootLoader）的安全密钥将于 9 月 11 日到期，可能影响许多依赖该机制的 Linux 发行版。Secure Boot 是 UEFI 的安全标准，旨在确保设备仅启动制造商信任的软件。该事件涉及微软密钥的停用和其对Linux系统的影响。

关键观点总结

关键观点1: 微软安全启动密钥的到期

微软用于签署安全启动启动加载程序的安全密钥将于 9 月 11 日到期，可能导致依赖此机制的 Linux 发行版无法通过验证。

关键观点2: Secure Boot 的工作原理

Secure Boot 是 UEFI 的安全标准，依赖四层密钥体系运行，包括平台密钥、密钥注册密钥、签名数据库和吊销数据库。这些必须在设备出厂时正确配置并锁定。

关键观点3: Linux系统对Secure Boot的适配

非 Windows 系统需通过三种方式适配 Secure Boot：完全禁用、用户自建签名密钥或通过微软签名的“shim”桥接。多数 Linux 发行版采用通过 shim 桥接的方式。

关键观点4: 微软新密钥与问题解决方案

虽然微软已经发布了新的 2023 版密钥，但大量设备尚未预装该证书，且更新依赖于硬件厂商的固件升级，难以覆盖到所有 Linux 用户。

免责声明