在數(shù)字化浪潮席卷全球的今天，服務(wù)器操作系統(tǒng)的安全是企業(yè)生命線的基石。每一次系統(tǒng)啟動(dòng)，都可能是惡意軟件入侵的窗口。為了應(yīng)對(duì)這一挑戰(zhàn)，TencentOS 安全團(tuán)隊(duì)持續(xù)深耕操作系統(tǒng)安全能力建設(shè)，現(xiàn)已全面支持安全啟動(dòng)（Secure Boot）功能，不僅成功為TencentOS Server V4的引導(dǎo)程序獲得了微軟簽名，更與國(guó)內(nèi)領(lǐng)先的認(rèn)證機(jī)構(gòu) CFCA 達(dá)成合作，為用戶提供雙軌并行、“開箱即用”的安全啟動(dòng)保障，構(gòu)筑起堅(jiān)不可摧的安全防線。

攜手CFCA，建設(shè)國(guó)產(chǎn)化安全啟動(dòng)生態(tài)

TencentOS與國(guó)內(nèi)權(quán)威的電子認(rèn)證機(jī)構(gòu)——中國(guó)金融認(rèn)證中心（CFCA）建立合作，基于CFCA提供的國(guó)產(chǎn)CA根證書體系，完成了TencentOS Server V4的國(guó)產(chǎn)化安全啟動(dòng)適配流程。

TencentOS團(tuán)隊(duì)與CFCA的安全啟動(dòng)簽名平臺(tái)達(dá)成合作，經(jīng)過嚴(yán)格的代碼審計(jì)和簽名申請(qǐng)流程，TencentOS Server V4的shim組件獲得了CFCA的簽名，且已更新到最新的shim軟件包中。

中國(guó)金融認(rèn)證中心（CFCA）是經(jīng)中國(guó)人民銀行和國(guó)家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的國(guó)家級(jí)權(quán)威安全認(rèn)證機(jī)構(gòu)，是國(guó)內(nèi)極具公信力的電子認(rèn)證服務(wù)和信息安全產(chǎn)品提供商。其依托于高安全性的密碼技術(shù)、嚴(yán)謹(jǐn)?shù)拇a審核機(jī)制以及可靠的代碼簽名服務(wù)，積極推動(dòng)標(biāo)準(zhǔn)化進(jìn)程，打造了國(guó)產(chǎn)安全啟動(dòng)簽名體系的基礎(chǔ)設(shè)施。此外，CFCA已與部分國(guó)產(chǎn)服務(wù)器廠商達(dá)成合作，將CFCA的安全啟動(dòng)公鑰內(nèi)置于服務(wù)器固件中來支持 Linux 操作系統(tǒng)的安全啟動(dòng)功能。

據(jù)了解，安全啟動(dòng)（Secure Boot）是基于UEFI標(biāo)準(zhǔn)的核心安全技術(shù)，其目的在于阻止操作系統(tǒng)加載前被惡意軟件侵入。它構(gòu)建一條信任鏈，要求從固件到操作系統(tǒng)的每一級(jí)啟動(dòng)組件都必須經(jīng)過可信數(shù)字簽名驗(yàn)證。驗(yàn)證通過的組件才能執(zhí)行，未授權(quán)或被篡改的代碼將被攔截，從而從源頭防御bootkit等底層威脅。默認(rèn)配置下，UEFI固件僅信任DB（簽名數(shù)據(jù)庫）的中微軟、OEM廠商等的公鑰。這導(dǎo)致用戶自編譯的內(nèi)核、引導(dǎo)程序等（如grub2）在開啟安全啟動(dòng)狀態(tài)下將無法被直接加載。

為解決該問題，Linux 社區(qū)引入了 MOK（Machine Owner Key，機(jī)器所有者密鑰）機(jī)制，用于擴(kuò)展和補(bǔ)充UEFI安全啟動(dòng)的信任鏈，并且開發(fā)了 shim 這個(gè)特殊的引導(dǎo)程序。shim 可以內(nèi)嵌用戶或操作系統(tǒng)廠商的公鑰，并將其加載到 MOK 中。用戶或操作系統(tǒng)廠商可以用對(duì)應(yīng)的私鑰來簽名后續(xù)的引導(dǎo)程序、內(nèi)核等。

MOK的信任擴(kuò)展機(jī)制允許用戶或操作系統(tǒng)廠商安全地運(yùn)行自簽名的內(nèi)核和引導(dǎo)程序，除了shim之外，不要求其他組件都有主板廠商預(yù)裝密鑰的簽名。Linux 的安全啟動(dòng)也因此變得更加靈活，兼顧安全性和可定制性。

獲得微軟簽名，實(shí)現(xiàn)對(duì)通用服務(wù)器的廣泛支持

為了在廣泛的通用服務(wù)器硬件上實(shí)現(xiàn)安全啟動(dòng)，Linux操作系統(tǒng)廠商的shim組件需要獲得UEFI固件中預(yù)置密鑰的信任。鑒于當(dāng)前絕大多數(shù)商用服務(wù)器固件默認(rèn)預(yù)置的是微軟公鑰，除了直接與主板廠商合作使其預(yù)置自身公鑰，讓自身shim組件獲得微軟簽名是便捷實(shí)現(xiàn)安全啟動(dòng)的關(guān)鍵途徑。

基于此，TencentOS 團(tuán)隊(duì)嚴(yán)格遵循業(yè)界標(biāo)準(zhǔn)流程：首先通過shim-review向 shim社區(qū)提交審核請(qǐng)求，同時(shí)提供必要的源代碼文件和說明等，通過了安全審查并得到向微軟提交簽名申請(qǐng)的許可；隨后將 shim 組件提交至微軟UEFI Signing Service，提供說明文檔和公司證明后，通過了審查并拿到了微軟簽發(fā)的內(nèi)置TencentOS公鑰的shim文件。

此外，TencentOS團(tuán)隊(duì)對(duì)于安全啟動(dòng)的密鑰實(shí)施了嚴(yán)格的保護(hù)，且僅對(duì)正式發(fā)布的 grub2組件和內(nèi)核進(jìn)行簽名，既能滿足shim驗(yàn)簽的要求，也會(huì)最大限度地保證密鑰的安全。這樣，通過UEFI驗(yàn)證shim、shim驗(yàn)證grub2和內(nèi)核，安全啟動(dòng)的信任鏈就能夠正常地傳遞。

得益于上述工作，TencentOS Server V4實(shí)現(xiàn)了“開箱即用”的安全啟動(dòng)支持，無需額外配置即可直接運(yùn)行在開啟UEFI安全啟動(dòng)的主流服務(wù)器和虛擬化平臺(tái)上，大幅提升部署效率與安全防護(hù)水平。

從攜手CFCA，到獲得微軟簽名，實(shí)現(xiàn)對(duì)通用服務(wù)器的廣泛支持，建設(shè)國(guó)產(chǎn)化安全啟動(dòng)生態(tài)，TencentOS Server V4始終將用戶的數(shù)據(jù)安全放在首位。其提供的雙軌并行、開箱即用的安全啟動(dòng)方案，為用戶提供了靈活、可靠的選擇，也彰顯了TencentOS在操作系統(tǒng)安全領(lǐng)域的技術(shù)實(shí)力和前瞻布局。