MOK 的信任擴展機制允許用戶或操作系統(tǒng)廠商安全地運行自簽名的內(nèi)核和引導(dǎo)程序，除了shim之外，不要求其他組件都有主板廠商預(yù)裝密鑰的簽名。Linux 的安全啟動也因此變得更加靈活，兼顧安全性和可定制性。

獲得微軟簽名，實現(xiàn)對通用服務(wù)器的廣泛支持

為了在廣泛的通用服務(wù)器硬件上實現(xiàn)安全啟動，Linux操作系統(tǒng)廠商的shim組件需要獲得UEFI固件中預(yù)置密鑰的信任。鑒于當(dāng)前絕大多數(shù)商用服務(wù)器固件默認(rèn)預(yù)置的是微軟公鑰，除了直接與主板廠商合作使其預(yù)置自身公鑰，讓自身shim組件獲得微軟簽名是便捷實現(xiàn)安全啟動的關(guān)鍵途徑。

基于此，TencentOS 團隊嚴(yán)格遵循業(yè)界標(biāo)準(zhǔn)流程：首先通過shim-review向 shim社區(qū)提交審核請求，同時提供必要的源代碼文件和說明等，通過了安全審查并得到向微軟提交簽名申請的許可；隨后將 shim 組件提交至微軟UEFI Signing Service，提供說明文檔和公司證明后，通過了審查并拿到了微軟簽發(fā)的內(nèi)置TencentOS公鑰的shim文件。

此外，TencentOS團隊對于安全啟動的密鑰實施了嚴(yán)格的保護，且僅對正式發(fā)布的 grub2組件和內(nèi)核進行簽名，既能滿足shim驗簽的要求，也會最大限度地保證密鑰的安全。這樣，通過UEFI驗證shim、shim驗證grub2和內(nèi)核，安全啟動的信任鏈就能夠正常地傳遞。

得益于上述工作，TencentOS Server V4實現(xiàn)了“開箱即用”的安全啟動支持，無需額外配置即可直接運行在開啟UEFI安全啟動的主流服務(wù)器和虛擬化平臺上，大幅提升部署效率與安全防護水平。

從攜手CFCA，到獲得微軟簽名，實現(xiàn)對通用服務(wù)器的廣泛支持，建設(shè)國產(chǎn)化安全啟動生態(tài)，TencentOS Server V4始終將用戶的數(shù)據(jù)安全放在首位。其提供的雙軌并行、開箱即用的安全啟動方案，為用戶提供了靈活、可靠的選擇，也彰顯了TencentOS在操作系統(tǒng)安全領(lǐng)域的技術(shù)實力和前瞻布局。

崔歡歡