在數(shù)字化浪潮席卷全球的今天，服務(wù)器操作系統(tǒng)的安全是企業(yè)生命線的基石。每一次系統(tǒng)啟動，都可能是惡意軟件入侵的窗口。為了應(yīng)對這一挑戰(zhàn)，TencentOS 安全團隊持續(xù)深耕操作系統(tǒng)安全能力建設(shè)，現(xiàn)已全面支持安全啟動（Secure Boot）功能，不僅成功為?TencentOS Server V4的引導程序獲得了微軟簽名，更與國內(nèi)領(lǐng)先的認證機構(gòu) CFCA 達成合作，為用戶提供雙軌并行、“開箱即用”的安全啟動保障，構(gòu)筑起堅不可摧的安全防線。

攜手CFCA，建設(shè)國產(chǎn)化安全啟動生態(tài)

TencentOS與國內(nèi)權(quán)威的電子認證機構(gòu)——中國 金融 認證中心（CFCA）建立合作，基于CFCA提供的國產(chǎn)CA根證書體系，完成了?TencentOS Server V4的國產(chǎn)化安全啟動適配流程。

TencentOS團隊與CFCA的安全啟動簽名平臺達成合作，經(jīng)過嚴格的代碼審計和簽名申請流程，TencentOS Server V4的shim組件獲得了CFCA的簽名，且已更新到最新的shim軟件包中。

中國金融認證中心（CFCA）是經(jīng)中國人民銀行和國家信息安全管理機構(gòu)批準成立的國家級權(quán)威安全認證機構(gòu)，是國內(nèi)極具公信力的電子認證服務(wù)和信息安全產(chǎn)品提供商。其依托于高安全性的密碼技術(shù)、嚴謹?shù)拇a審核機制以及可靠的代碼簽名服務(wù)，積極推動標準化進程，打造了國產(chǎn)安全啟動簽名體系的基礎(chǔ)設(shè)施。此外，CFCA已與部分國產(chǎn)服務(wù)器廠商達成合作，將CFCA的安全啟動公鑰內(nèi)置于服務(wù)器固件中來支持 Linux 操作系統(tǒng)的安全啟動功能。

據(jù)了解，安全啟動（Secure Boot）是基于UEFI標準的核心安全技術(shù)，其目的在于阻止操作系統(tǒng)加載前被惡意軟件侵入。它構(gòu)建一條信任鏈，要求從固件到操作系統(tǒng)的每一級啟動組件都必須經(jīng)過可信數(shù)字簽名驗證。驗證通過的組件才能執(zhí)行，未授權(quán)或被篡改的代碼將被攔截，從而從源頭防御bootkit等底層威脅。默認配置下，UEFI固件僅信任DB（簽名數(shù)據(jù)庫）的中微軟、OEM廠商等的公鑰。這導致用戶自編譯的內(nèi)核、引導程序等（如grub2）在開啟安全啟動狀態(tài)下將無法被直接加載。

為解決該問題，Linux 社區(qū)引入了 MOK（Machine Owner Key，機器所有者密鑰）機制，用于擴展和補充UEFI安全啟動的信任鏈，并且開發(fā)了 shim 這個特殊的引導程序。shim 可以內(nèi)嵌用戶或操作系統(tǒng)廠商的公鑰，并將其加載到 MOK 中。用戶或操作系統(tǒng)廠商可以用對應(yīng)的私鑰來簽名后續(xù)的引導程序、內(nèi)核等。

MOK?的信任擴展機制允許用戶或操作系統(tǒng)廠商安全地運行自簽名的內(nèi)核和引導程序，除了shim之外，不要求其他組件都有主板廠商預裝密鑰的簽名。Linux 的安全啟動也因此變得更加靈活，兼顧安全性和可定制性。

獲得微軟簽名，實現(xiàn)對通用服務(wù)器的廣泛支持

為了在廣泛的通用服務(wù)器硬件上實現(xiàn)安全啟動，Linux操作系統(tǒng)廠商的shim組件需要獲得UEFI固件中預置密鑰的信任。鑒于當前絕大多數(shù)商用服務(wù)器固件默認預置的是微軟公鑰，除了直接與主板廠商合作使其預置自身公鑰，讓自身shim組件獲得微軟簽名是便捷實現(xiàn)安全啟動的關(guān)鍵途徑。

基于此，TencentOS 團隊嚴格遵循業(yè)界標準流程：首先通過shim-review向 shim社區(qū)提交審核請求，同時提供必要的源代碼文件和說明等，通過了安全審查并得到向微軟提交簽名申請的許可；隨后將 shim 組件提交至微軟UEFI Signing Service，提供說明文檔和公司證明后，通過了審查并拿到了微軟簽發(fā)的內(nèi)置TencentOS公鑰的shim文件。

此外，TencentOS團隊對于安全啟動的密鑰實施了嚴格的保護，且僅對正式發(fā)布的 grub2組件和內(nèi)核進行簽名，既能滿足shim驗簽的要求，也會最大限度地保證密鑰的安全。這樣，通過UEFI驗證shim、shim驗證grub2和內(nèi)核，安全啟動的信任鏈就能夠正常地傳遞。

得益于上述工作，TencentOS Server V4實現(xiàn)了“開箱即用”的安全啟動支持，無需額外配置即可直接運行在開啟UEFI安全啟動的主流服務(wù)器和虛擬化平臺上，大幅提升部署效率與安全防護水平。

從攜手CFCA，到獲得微軟簽名，實現(xiàn)對通用服務(wù)器的廣泛支持，建設(shè)國產(chǎn)化安全啟動生態(tài)，TencentOS Server V4始終將用戶的數(shù)據(jù)安全放在首位。其提供的雙軌并行、開箱即用的安全啟動方案，為用戶提供了靈活、可靠的選擇，也彰顯了TencentOS在操作系統(tǒng)安全領(lǐng)域的技術(shù)實力和前瞻布局。