MOK 的信任擴(kuò)展機(jī)制允許用戶或操作系統(tǒng)廠商安全地運(yùn)行自簽名的內(nèi)核和引導(dǎo)程序，除了shim之外，不要求其他組件都有主板廠商預(yù)裝密鑰的簽名。Linux 的安全啟動(dòng)也因此變得更加靈活，兼顧安全性和可定制性。

獲得微軟簽名，實(shí)現(xiàn)對(duì)通用服務(wù)器的廣泛支持

為了在廣泛的通用服務(wù)器硬件上實(shí)現(xiàn)安全啟動(dòng)，Linux操作系統(tǒng)廠商的shim組件需要獲得UEFI固件中預(yù)置密鑰的信任。鑒于當(dāng)前絕大多數(shù)商用服務(wù)器固件默認(rèn)預(yù)置的是微軟公鑰，除了直接與主板廠商合作使其預(yù)置自身公鑰，讓自身shim組件獲得微軟簽名是便捷實(shí)現(xiàn)安全啟動(dòng)的關(guān)鍵途徑。

基于此，TencentOS 團(tuán)隊(duì)嚴(yán)格遵循業(yè)界標(biāo)準(zhǔn)流程：首先通過shim-review向 shim社區(qū)提交審核請(qǐng)求，同時(shí)提供必要的源代碼文件和說明等，通過了安全審查并得到向微軟提交簽名申請(qǐng)的許可；隨后將 shim 組件提交至微軟UEFI Signing Service，提供說明文檔和公司證明后，通過了審查并拿到了微軟簽發(fā)的內(nèi)置TencentOS公鑰的shim文件。

此外，TencentOS團(tuán)隊(duì)對(duì)于安全啟動(dòng)的密鑰實(shí)施了嚴(yán)格的保護(hù)，且僅對(duì)正式發(fā)布的 grub2組件和內(nèi)核進(jìn)行簽名，既能滿足shim驗(yàn)簽的要求，也會(huì)最大限度地保證密鑰的安全。這樣，通過UEFI驗(yàn)證shim、shim驗(yàn)證grub2和內(nèi)核，安全啟動(dòng)的信任鏈就能夠正常地傳遞。

得益于上述工作，TencentOS Server V4實(shí)現(xiàn)了“開箱即用”的安全啟動(dòng)支持，無需額外配置即可直接運(yùn)行在開啟UEFI安全啟動(dòng)的主流服務(wù)器和虛擬化平臺(tái)上，大幅提升部署效率與安全防護(hù)水平。

從攜手CFCA，到獲得微軟簽名，實(shí)現(xiàn)對(duì)通用服務(wù)器的廣泛支持，建設(shè)國產(chǎn)化安全啟動(dòng)生態(tài)，TencentOS Server V4始終將用戶的數(shù)據(jù)安全放在首位。其提供的雙軌并行、開箱即用的安全啟動(dòng)方案，為用戶提供了靈活、可靠的選擇，也彰顯了TencentOS在操作系統(tǒng)安全領(lǐng)域的技術(shù)實(shí)力和前瞻布局。

崔歡歡