安全启动 ​

概述 ​

安全启动（Secure Boot）就是利用公私钥对启动部件进行签名和验证。在启动过程中，前一个部件验证后一个部件的数字签名，如果能验证通过，则运行后一个部件；如果验证不通过，则暂停启动。通过安全启动可以保证系统启动过程中各个部件的完整性，防止没有经过认证的部件被加载运行，从而防止对系统及用户数据产生安全威胁。
安全启动涉及的验证组件： BIOS->shim->grub->vmlinuz（依次验签通过并加载），其中vmlinuz是内核镜像。
相关的EFI启动组件由openEuler签名平台采用signcode方式进行签名。公钥证书由BIOS集成到签名数据库DB中，启动过程中BIOS对shim进行验证，shim和grub组件从BIOS的签名数据库DB中获取公钥证书并对下一级组件进行验证。

背景和解决方案 ​

前期openEuler版本中，安全启动相关组件没有签名，无法直接使用安全启动功能保障系统组件的完整性。
从22.03-LTS-SP3版本开始，openEuler使用社区签名平台对OS侧的相关组件进行签名，包括grub和vmlinuz组件，并将社区签名根证书内嵌于shim组件中。
对于shim组件，为了便于端到端实现安全启动功能，当前使用openEuler社区的签名平台进行签名。后续外部国产CA（如CFCA，中国金融认证中心）正式运营安全启动组件签名服务后，将计划在openEuler的shim模块中集成这些国产CA的签名。

使用方法 ​

openEuler证书获取 ​

openEuler根证书获取地址：https://www.openeuler.org/zh/security/security-bulletins/，进入“证书中心”目录下载。
网页上根证书识别名称为“openEuler Shim Default CA”，default-x509ca.cert。

BIOS侧操作 ​

将openEuler根证书导入BIOS的db证书库中，并在BIOS中开启安全启动开关，可实现安全启动功能。
BIOS证书导入方法及安全启动开启方法可参考具体BIOS厂商提供的资料。

OS侧操作 ​

查看db数据库中的证书信息：mokutil –db 说明：证书信息较多，截图中只显示部分重要信息
查看系统安全启动状态：mokutil --sb

• SecureBoot disabled：安全启动关闭

  

• SecureBoot enabled：安全启动开启

  

• not supported：系统不支持安全启动

  

约束限制 ​

• 软件限制：OS系统需要采用UEFI启动
• 架构限制：ARM/X86
• 硬件约束：需要BIOS支持安全启动相关校验功能