UEFI、BIOS、Secure Boot的關(guān)系

1、-作者xxxx-日期xxxxUEFI、BIOS、Secure Boot的關(guān)系【精品文檔】UEFI、BIOS、Secure Boot的關(guān)系 從Windows 8操作系統(tǒng)時代開始，安裝操作系統(tǒng)的方法也有了很大的改變，Windows 8采用了Secure Boot引導(dǎo)啟動的方式，而不是過去Win XP和Win 7的Legacy啟動方式，從而導(dǎo)致的問題是所有預(yù)裝Windows 8/8.1系統(tǒng)的筆記本要安裝Win7的話必須修改BIOS，給很多想更換操作系統(tǒng)的用戶增加了一點小難度。 那么什么是Secure Boot呢？它和Windows 8還有UEFI啟動有什么關(guān)系呢！接下來我們就來介紹下Secure B

2、oot、UEFI、BIOS相關(guān)知識和各自之間的關(guān)系。（對于Secure Boot啟動方式和egacy啟動方式的差別，可以參考這篇文章UEFI啟動和Legacy啟動的差別）BIOS和UEFI 所有電腦啟動的時候，都會運行BIOS程序，用于初始化硬件。 BIOS是英文Basic Input Output System的縮略語，直譯過來后中文名稱就是基本輸入輸出系統(tǒng)。其實，它是一組固化到計算機內(nèi)主板上一個ROM芯片上的程序，它保存著計算機最重 要的基本輸入輸出的程序、系統(tǒng)設(shè)置信息、開機后自檢程序和系統(tǒng)自啟動程序。 其主要功能是為計算機提供最底層的、最直接的硬件設(shè)置和控制。 自從個人電腦誕生后，就一直

3、如此。過去30年我們都在使用類似上圖的畫面，設(shè)置硬件參數(shù)。不用說，BIOS已經(jīng)變得日益不適用了。 1998 年，Intel牽頭，聯(lián)合AMD、AMI、Apple、Dell、HP、IBM、Lenovo、Microsoft和Phoenix等業(yè)界主要廠商，開始 制定新一代BIOS。這個項目叫做統(tǒng)一的可擴展固定接口（Unified Extensible Firmware Interface），簡稱UEFI。2005年推出1.1版，目前是2.3版。 新型UEFI，全稱“統(tǒng)一的可擴展固件接口”(Unified Extensible Firmware Interface)， 是一種詳細(xì)描述全新類型接口的標(biāo)準(zhǔn)。

4、這種接口用于操作系統(tǒng)自動從預(yù)啟動的操作環(huán)境，加載到一種操作系統(tǒng)上，從而使開機程序化繁為簡，節(jié)省時間。 從2012年9月以來，電腦運行的已經(jīng)不是BIOS，而是UEFI BIOS。等它運行結(jié)束，再載入操作系統(tǒng)。微軟強行部署Secure Boot UEFI是一個很先進的、面向未來的規(guī)格。但是很長時間內(nèi)無法推廣，原因就是微軟公司不積極。 Windows操作系統(tǒng)是桌面市場的主流系統(tǒng)，如果它不推廣UEFI，就沒有硬件廠商會跟進。所以，普通消費者對這個新規(guī)格所知甚少。 意想不到的變化，出現(xiàn)在2011年9月，微軟毫無預(yù)兆地突然宣布，Windows 8將啟用UEFI。 這本來是一件好事。但是，問題是微軟感興趣的

5、不是整個UEFI，而是UEFI的一個子規(guī)格Secure Boot。它要強行部署Secure Boot。Secure Boot Secure Boot只是UEFI的一個部分。兩者的關(guān)系是局部與整體的關(guān)系。 Secure Boot的目的，是防止惡意軟件侵入。它的做法就是采用密鑰。UEFI規(guī)定，主板出廠的時候，可以內(nèi)置一些可靠的公鑰。然后，任何想要在這塊主板上加載的 操作系統(tǒng)或者硬件驅(qū)動程序，都必須通過這些公鑰的認(rèn)證。也就是說，這些軟件必須用對應(yīng)的私鑰簽署過，否則主板拒絕加載。由于惡意軟件不可能通過認(rèn)證，因此 就沒有辦法感染Boot。 這個設(shè)想是好的。但是，UEFI沒規(guī)定哪些公鑰是可靠的，也沒規(guī)定誰

6、負(fù)責(zé)頒發(fā)這些公鑰，都留給硬件廠商自己決定?，F(xiàn)在，微軟就是要求，主板廠商內(nèi)置Windows 8的公鑰。 首先明確，在不打開Secure Boot的情況下，Windows 8/8.1可以安裝。這與安裝以前版本的Windows沒有差別。 但是，微軟規(guī)定，所有預(yù)裝Windows 8的廠商（即OEM廠商）都必須打開Secure Boot。因此，消費者購買一臺預(yù)裝Windows 8的臺式機或筆記本，想要在上面再安裝其他操作系統(tǒng)（包括以前版本的Windows）是不可能的，除非關(guān)閉Secure Boot，或者其他操作系統(tǒng)能夠通過Windows 8/8.1公鑰的認(rèn)證。 如果選擇關(guān)閉Secure Root，那么預(yù)

7、裝的Windows 8/8.1將無法使用，需要重新安裝。對Linux的影響 Secure Boot規(guī)格的本意是，讓操作系統(tǒng)廠商自行選擇公鑰，通過認(rèn)證。但是實際上，只有微軟公司才有能力，讓主板廠商內(nèi)置它的公鑰，其他公司都不具備這種能力。 根據(jù)微軟針對OEM廠商的一則規(guī)定，Windows 8要求PC電腦采用UEFI（統(tǒng)一可擴展固件接口），這個接口將會替代PC機誕生以來歷史悠久的BIOS固件設(shè)置。關(guān)于UEFI這個標(biāo)準(zhǔn)接口，是支持 Windows、Linux 和 OS X 操作系統(tǒng)的，只是微軟要求預(yù)裝Windows 8 的PC電腦需要支持安全性啟動機制，啟動過程中涉及到的軟件/固件都必須打上CA數(shù)字簽

8、名，這樣，對于Linux 這種開源的無簽名的系統(tǒng)就會直接阻止。 因此，如果要在打開Secure Boot的主板上安裝Linux系統(tǒng)，這個系統(tǒng)就必須通過Windows 8的認(rèn)證。 目前，微軟公司把Win8的數(shù)字簽名外包給了Verisign。操作系統(tǒng)廠商想要通過認(rèn)證，就必須花99美元，向Verisign買一張數(shù)字證書，嵌入自家的操作系統(tǒng)。 最新動態(tài)是，Linux的各個發(fā)行版之中，Ubuntu已經(jīng)購買了數(shù)字證書，F(xiàn)edora和SUSE計劃購買，其他發(fā)行版還沒做出決定。 因此，在預(yù)裝Windows 8的電腦上安裝Linux（或其他操作系統(tǒng)）的最佳做法，就是進入BIOS，關(guān)閉Secure Boot。但是

9、，這意味著你花錢買來的Windows 8將無法使用。 目前看上去，Linux購買Windows8的數(shù)字證書，是眼下唯一可行的相對容易的解決方法。但是，這種做法不可接受。首先，系統(tǒng)的公鑰被微軟控制，后果難以預(yù)料。如果微軟決定更換和廢除這個公鑰，Linux就要被迫跟進。其次，Linux的啟動管理器Grub是GPL許可證，該許可證（第三版）明文禁止軟件使用密鑰配合硬件阻止一部分用戶的使用，因此要改用非GPL許可證的啟動管理器。再次，只有幾個較大的Linux發(fā)行版才有能力購買數(shù)字證書，較小的發(fā)行版和用戶自己定制的版本最終還是需要有自己的公鑰?？偨Y(jié) Secure Boot的用意是保證系統(tǒng)安全，但現(xiàn)在似乎成了廠商保護市場壟斷、阻礙競爭一種手段。 除了微軟公司，蘋果公司也有這種傾向。在新一代的iPhone和iPad上面安裝其他操作系統(tǒng)，似乎是不可能的。(不過一旦iPhone和iPad上面安能裝其他操作系統(tǒng)，估計蘋果就不是今天這個樣子了，蘋果玩的就是封閉！其實壟斷也是有好處的！) 自由軟件基金會呼吁反Secure