20.3. 安全引导撤销列表

UEFI 安全引导撤销列表或安全引导禁止签名数据库(dbx)是一个列表，其识别安全引导不再允许运行的软件。

当在与安全引导(Secure Boot)接口的软件中发现安全问题或稳定性问题时，比如在 GRUB 引导装载程序中，撤销列表会存储其哈希签名。带有此类可识别签名的软件在引导过程中无法运行，系统引导无法防止损害系统。

例如，一个特定版本的 GRUB 可能会包含允许攻击者绕过安全引导机制的安全问题。当找到问题时，撤销列表会添加包含这个问题的所有 GRUB 版本的哈希签名。因此，只有安全的 GRUB 版本才可以在系统上引导。

撤销列表需要常规更新以识别新发现的问题。更新撤销列表时，请确保使用一个安全更新方法，它不会导致当前安装的系统不再引导。