virtio-win项目中的Windows驱动签名机制解析

virtio-win项目为Windows虚拟机提供了高性能的虚拟化设备驱动程序。在安全启动(Secure Boot)成为现代系统标配的今天，了解这些驱动程序的签名机制对于系统管理员和开发者尤为重要。

驱动签名类型概述

virtio-win项目中的Windows驱动程序主要采用两种签名方式：

1. 测试签名(Test Signing)：适用于Windows 8及以上系统的驱动程序，使用内部测试证书进行签名。这种签名主要用于开发和测试环境。

2. 微软认证签名(Attestation Signing)：适用于Windows 10及以上系统的驱动程序，通过微软认证服务进行签名。这种签名方式允许驱动程序在启用安全启动的系统上运行。

常见误解澄清

市场上存在一些误解，认为自2021年7月的0.1.204版本起，virtio-win驱动程序已获得WHQL(Windows Hardware Quality Labs)签名。实际上，这些驱动程序使用的是微软认证签名(Attestation Signing)，而非WHQL签名。

签名机制的技术差异

微软认证签名与WHQL签名虽然都来自微软，但存在重要区别：

• 认证签名：通过微软的代码签名认证服务完成，验证开发者身份和代码完整性，支持安全启动。

• WHQL签名：经过更严格的硬件兼容性测试，通常需要付费订阅服务才能获得，如企业版Linux订阅用户可获取的版本。

实际应用建议

对于大多数用户场景，微软认证签名已能满足需求，包括：

• 企业虚拟化环境部署
• 云平台Windows实例
• 开发测试环境

只有在特定合规性要求下，才需要考虑获取WHQL签名版本。系统管理员应当根据实际安全策略和合规要求选择合适的驱动程序版本。