今天,针对正在进行的Linux6.9合并窗口,合并了EFI更新。在这个周期中,EFI内核代码将看到针对机密计算的增强,以及满足Microsoft的要求,即让他们再次签署用于UEFI安全引导处理的x86填充加载程序。
Linux 6.9的EFI更改允许在不支持TcG2协议的情况下使用机密计算(CC)协议,例如英特尔信任域扩展(TDX)机密虚拟机的情况。微软的改变是确保映射在EFI引导服务中运行时不是既可写又可执行的。一般来说,确保不可写和不可执行是很好的安全实践,但对于让微软重新签署x86填充加载程序,以便Linux发行版在支持安全引导的系统上运行良好来说,这一点很重要。
的 合并请求 Ard Biesheuvel指出:
-如果未实施普通TcG2协议,则使用CC协议测量initrd和命令行,通常是在TDX机密虚拟机上
- 避免创建既可写又可执行的映射,同时在NTFS引导服务中运行。这是让x86 shim加载程序再次由MicroSoft签名的先决条件,这允许发行版安装在启用了安全引导的x86 PC上。
-结构平台驱动程序::Remove()的API更新
This new EFI code is good to go for Linux 6.9 that will debut as stable around the middle of 2024.
