UEFI、BIOS、SecureBoot的關(guān)系

1、UEFI、BIOS Secure Boot 的關(guān)系從Windows 8操作系統(tǒng)時(shí)代開始，安裝操作系統(tǒng)的方法也有了很大的改變，Windows 8采用了 Secure Boot引導(dǎo)啟動的方式，而不是過去Win XF和Win 7的Legacy啟動方式，從而導(dǎo)致的問題是所有預(yù)裝 Windows8/8.1系統(tǒng)的筆記本要安裝 Win7的話必須修改BIOS給很多想更換操 作系統(tǒng)的用戶增加了一點(diǎn)小難度。那么什么是 Secure Boot呢？它和 Windows 8還有UEFI啟動有什么關(guān)系呢！接下來我們就來介紹下 Secure Boot、UEFI、BIOS相關(guān)知 識和各自之間的關(guān)系。（對于 Secure Bo

2、ot啟動方式和egacy啟動方式 的差別，可以參考這篇文章UEFI啟動和Legacy啟動的差別）BIOS和 UEFI所有電腦啟動的時(shí)候，都會運(yùn)行BIOS程序，用于初始化硬件BIOS是英文Basic In put Output System的縮略語，直譯過來后中文名稱就是基本輸入輸出系統(tǒng)。其實(shí)，它是一組固化到計(jì)算機(jī)內(nèi)主板上一個(gè)ROM芯片上的程序，它保存著計(jì)算機(jī)最重要的基本輸入輸出的程序、系統(tǒng)設(shè)置信息、開機(jī)后自檢程序和系統(tǒng)自啟動程序。其主要功能是為計(jì)算機(jī)提供最底層的、最直接的硬件設(shè)置和控制。自從個(gè)人電腦誕生后，就一直如此。過去30年我們都在使用類似上圖的畫面，設(shè)置硬件參數(shù)。不用說，BIOS已經(jīng)變得

3、日益不適用了。1998 年，In tel 牽頭，聯(lián)合 AMD AMI、Apple、Dell、HP IBM、 Lenovo、Microsoft禾口 Phoenix等業(yè)界主要廠商，開始制定新一代 BIOS 這個(gè)項(xiàng)目叫做”統(tǒng)一的可擴(kuò)展固定接口 ”( Unified Extensible Firmware In terface )，簡稱UEFI。2005年推出1.1版，目前是2.3版。新型UEFI，全稱“統(tǒng)一的可擴(kuò)展固件接口” (Unified Extensible Firmware In terface)，是一種詳細(xì)描述全新類型接口的標(biāo)準(zhǔn)。這種接 口用于操作系統(tǒng)自動從預(yù)啟動的操作環(huán)境，加載到一種操作

4、系統(tǒng)上，從 而使開機(jī)程序化繁為簡，節(jié)省時(shí)間。從2012年9月以來，電腦運(yùn)行的已經(jīng)不是 BIOS,而是UEFI BIOS等它運(yùn)行結(jié)束，再載入操作系統(tǒng)。微軟強(qiáng)行部署Secure BootUEFI是一個(gè)很先進(jìn)的、面向未來的規(guī)格。但是很長時(shí)間內(nèi)無法推 廣，原因就是微軟公司不積極。Windows操作系統(tǒng)是桌面市場的主流系統(tǒng)，如果它不推廣UEFI，就沒有硬件廠商會跟進(jìn)。所以，普通消費(fèi)者對這個(gè)新規(guī)格所知甚少。意想不到的變化，出現(xiàn)在 2011年9月，微軟毫無預(yù)兆地突然宣 布，Windows 8 將啟用 UEFI。這本來是一件好事。但是，問題是微軟感興趣的不是整個(gè)UEFI，而是UEFI的一個(gè)子規(guī)格Secure

5、Boot。它要強(qiáng)行部署 Secure Boot。Secure BootSecure Boot只是UEFI的一個(gè)部分。兩者的關(guān)系是局部與整體的關(guān)系。Secure Boot的目的，是防止惡意軟件侵入。它的做法就是采用 密鑰。UEFI規(guī)定，主板出廠的時(shí)候，可以內(nèi)置一些可靠的公鑰。然后， 任何想要在這塊主板上加載的操作系統(tǒng)或者硬件驅(qū)動程序，都必須通過這些公鑰的認(rèn)證。也就是說，這些軟件必須用對應(yīng)的私鑰簽署過，否 則主板拒絕加載。由于惡意軟件不可能通過認(rèn)證，因此就沒有辦法感染 Boot。這個(gè)設(shè)想是好的。但是，UEFI沒規(guī)定哪些公鑰是可靠的， 也沒規(guī) 定誰負(fù)責(zé)頒發(fā)這些公鑰，都留給硬件廠商自己決定?，F(xiàn)在，微軟

6、就是要 求，主板廠商內(nèi)置 Windows 8的公鑰。Win dows 8/Win dows8.1首先明確，在不打開 Secure Boot的情況下，Windows 8/8.1可 以安裝。這與安裝以前版本的Win dows沒有差別。但是，微軟規(guī)定，所有預(yù)裝 Windows8的廠商（即OEM廠商）都 必須打開Secure Boot。因此，消費(fèi)者購買一臺預(yù)裝 Windows 8的臺式 機(jī)或筆記本，想要在上面再安裝其他操作系統(tǒng)（包括以前版本的 Windows是不可能的，除非關(guān)閉Secure Boot，或者其他操作系統(tǒng)能夠 通過 Windows 8/8.1公鑰的認(rèn)證。如果選擇關(guān)閉 Secure Root

7、，那么預(yù)裝的 Windows 8/8.1將無法 使用，需要重新安裝。對Linux的影響Secure Boot規(guī)格的本意是，讓操作系統(tǒng)廠商自行選擇公鑰，通過認(rèn)證。但是實(shí)際上，只有微軟公司才有能力，讓主板廠商內(nèi)置它的公 鑰，其他公司都不具備這種能力。根據(jù)微軟針對OEMT商的一則規(guī)定，Windows8要求PC電腦采用 UEFI （統(tǒng)一可擴(kuò)展固件接口），這個(gè)接口將會替代PC機(jī)誕生以來歷史悠久的BIOS固件設(shè)置。關(guān)于UEFI這個(gè)標(biāo)準(zhǔn)接口，是支持 Windows、Linux 和OS X操作系統(tǒng)的，只是微軟要求預(yù)裝 Windows 8的PC電腦需要支 持安全性啟動機(jī)制，啟動過程中涉及到的軟件/固件都必須打上

8、CA數(shù)字 簽名，這樣，對于Linux這種開源的無簽名的系統(tǒng)就會直接阻止。因此，如果要在打開 Secure Boot的主板上安裝Linux系統(tǒng)，這 個(gè)系統(tǒng)就必須通過Windows 8的認(rèn)證。目前，微軟公司把 Win8的數(shù)字簽名外包給了 Verisign。操作系 統(tǒng)廠商想要通過認(rèn)證，就必須花99美元，向Verisign買一張數(shù)字證書， 嵌入自家的操作系統(tǒng)。最新動態(tài)是，Linux的各個(gè)發(fā)行版之中，Ubuntu已經(jīng)購買了數(shù)字 證書，F(xiàn)edora和SUSE計(jì)劃購買，其他發(fā)行版還沒做出決定。因此，在預(yù)裝Windows8的電腦上安裝Linux （或其他操作系統(tǒng)） 的最佳做法，就是進(jìn)入 BIOS,關(guān)閉Secu

9、re Boot。但是，這意味著你花 錢買來的 Windows 8將無法使用。目前看上去，Linux購買Windows8的數(shù)字證書，是眼下唯一可行 的相對容易的解決方法。但是，這種做法不可接受。首先，系統(tǒng)的公鑰被微軟控制，后果難以預(yù)料。如果微軟決定更換和廢 除這個(gè)公鑰，Linux就要被迫跟進(jìn)。其次，Linux的啟動管理器Grub是GPL許可證，該許可證（第三版）明 文禁止軟件使用密鑰配合硬件阻止一部分用戶的使用，因此要改用非GPL許可證的啟動管理器。再次，只有幾個(gè)較大的Linux發(fā)行版才有能力購買數(shù)字證書，較小的發(fā)行版和用戶自己定制的版本最終還是需要有自己的公鑰?？偨Y(jié)Secure Boot的用意是保證系統(tǒng)安全，但現(xiàn)在似乎成了廠商保護(hù)市場壟斷、阻礙競爭一種手段。除了微軟公司，蘋果公司也有這種傾向。在新一代的iPhone和iPad上面安裝其他操作系統(tǒng)，似乎是不可能的。 （不過一旦iPhone和 iPad上面安能裝其他操作系統(tǒng)，估計(jì)蘋果就不是今天這個(gè)樣子了， 蘋果 玩的就是封閉！其實(shí)壟斷也是有好處的?。┳杂绍浖饡粲醴?S