UEFI、BIOS、SecureBoot的關(guān)系

1、UEFI、BIOS 、 Secure Boot的關(guān)系從 Windows 8 操作系統(tǒng)時代開始 ，安裝操作系統(tǒng)的方法也有了很大的改變 ，Windows 8 采用了 Secure Boot 引導(dǎo)啟動的方式 ，而不是過去 Win XP 和 Win 7 的 Legacy 啟動方式 ，從而導(dǎo)致的問題是所有預(yù)裝 Windows 8/8.1 系統(tǒng)的筆記本要安裝 Win7 的話必須修改 BIOS，給很多想更換操作系統(tǒng)的用戶增加了一點小難度 。那么什么是 Secure Boot 呢？它和 Windows 8 還有 UEFI 啟動有什么關(guān)系呢 ！接下來我們就來介紹下 Secure Boot 、UEFI、 BIOS

2、 相關(guān)知識和各自之間的關(guān)系 。（ 對于 Secure Boot 啟動方式和 egacy 啟動方式的差別，可以參考這篇文章 UEFI 啟動和 Legacy 啟動的差別 ）BIOS 和 UEFI所有電腦啟動的時候 ，都會運行 BIOS 程序，用于初始化硬件 。BIOS 是英文 Basic Input Output System 的縮略語 ，直譯過來后中文名稱就是 基本輸入輸出系統(tǒng) 。其實 ，它是一組固化到計算機內(nèi)主板上一個 ROM 芯片上的程序 ，它保存著計算機最重 要的基本輸入輸出的程序 、系統(tǒng)設(shè)置信息 、開機后自檢程序和系統(tǒng)自啟動程序 。 其主要功能是為計算機提供最底層的 、最直接的硬件設(shè)置和

3、控制 。自從個人電腦誕生后 ，就一直如此 。過去 30 年我們都在使用類似上圖的畫面 ，設(shè)置硬件參數(shù) 。不用說 ，BIOS 已經(jīng)變得日益不適用了 。1998 年，Intel 牽頭，聯(lián)合 AMD 、AMI 、Apple 、Dell 、HP、 IBM 、Lenovo 、Microsoft 和 Phoenix 等業(yè)界主要廠商 ，開始 制定新一代 BIOS。這個項目叫做 統(tǒng)一的可擴展固定接口 （ UnifiedExtensible Firmware Interface ），簡稱 UEFI。 2005 年推出 1.1 版，目前是 2.3 版。新型 UEFI，全稱 “統(tǒng)一的可擴展固件接口 ”(Unifie

4、d Extensible Firmware Interface) ， 是一種詳細(xì)描述全新類型接口的標(biāo)準(zhǔn) 。這種接口用于操作系統(tǒng)自動從預(yù)啟動的操作環(huán)境 ，加載到一種操作系統(tǒng)上 ，從而使開機程序化繁為簡 ，節(jié)省時間 。從 2012 年 9 月以來，電腦運行的已經(jīng)不是BIOS，而是UEFIBIOS。等它運行結(jié)束 ，再載入操作系統(tǒng) 。微軟強行部署Secure BootUEFI 是一個很先進(jìn)的 、面向未來的規(guī)格 。 但是很長時間內(nèi)無法推廣，原因就是微軟公司不積極 。Windows 操作系統(tǒng)是桌面市場的主流系統(tǒng) ，如果它不推廣 UEFI，就沒有硬件廠商會跟進(jìn) 。 所以，普通消費者對這個新規(guī)格所知甚少 。意

5、想不到的變化 ，出現(xiàn)在 2011 年 9 月，微軟毫無預(yù)兆地突然宣布，Windows 8 將啟用 UEFI。這本來是一件好事 。但是 ，問題是微軟感興趣的不是整個 UEFI，而是 UEFI 的一個子規(guī)格 Secure Boot 。 它要強行部署 Secure Boot 。Secure BootSecure Boot 只是 UEFI 的一個部分 。兩者的關(guān)系是局部與整體的關(guān)系。Secure Boot 的目的，是防止惡意軟件侵入 。它的做法就是采用密鑰。UEFI 規(guī)定，主板出廠的時候 ，可以內(nèi)置一些可靠的公鑰 。然后 ，任何想要在這塊主板上加載的 操作系統(tǒng)或者硬件驅(qū)動程序 ，都必須通過這些公鑰的認(rèn)

6、證 。也就是說 ，這些軟件必須用對應(yīng)的私鑰簽署過 ，否則主板拒絕加載 。由于惡意軟件不可能通過認(rèn)證 ，因此 就沒有辦法感染 Boot 。這個設(shè)想是好的 。但是，UEFI 沒規(guī)定哪些公鑰是可靠的 ，也沒規(guī)定誰負(fù)責(zé)頒發(fā)這些公鑰 ，都留給硬件廠商自己決定 ?，F(xiàn)在，微軟就是要求，主板廠商內(nèi)置 Windows 8 的公鑰 。Windows 8/Windows8.1首先明確 ，在不打開 Secure Boot 的情況下 ，Windows 8/8.1可以安裝 。這與安裝以前版本的Windows 沒有差別 。但是，微軟規(guī)定 ，所有預(yù)裝 Windows 8 的廠商（即 OEM 廠商）都必須打開 Secure B

7、oot 。因此 ，消費者購買一臺預(yù)裝 Windows 8 的臺式機或筆記本 ，想要在上面再安裝其他操作系統(tǒng) （包括以前版本的 Windows ）是不可能的 ，除非關(guān)閉 Secure Boot ，或者其他操作系統(tǒng)能夠通過 Windows 8/8.1 公鑰的認(rèn)證 。如果選擇關(guān)閉 Secure Root ，那么預(yù)裝的 Windows 8/8.1 將無法使用，需要重新安裝 。對 Linux 的影響Secure Boot 規(guī)格的本意是 ，讓操作系統(tǒng)廠商自行選擇公鑰 ，通過認(rèn)證。但是實際上 ，只有微軟公司才有能力 ，讓主板廠商內(nèi)置它的公鑰，其他公司都不具備這種能力 。根據(jù)微軟針對OEM 廠商的一則規(guī)定 ，

8、Windows 8要求 PC 電腦采用 UEFI（統(tǒng)一可擴展固件接口 ），這個接口將會替代 PC 機誕生以來歷史悠久的 BIOS 固件設(shè)置 。關(guān)于 UEFI 這個標(biāo)準(zhǔn)接口 ，是支持Windows 、Linux 和 OS X 操作系統(tǒng)的 ，只是微軟要求預(yù)裝 Windows 8 的 PC 電腦需要支持安全性啟動機制 ，啟動過程中涉及到的軟件 / 固件都必須打上 CA 數(shù)字簽名 ，這樣，對于 Linux 這種開源的無簽名的系統(tǒng)就會直接阻止 。因此，如果要在打開Secure Boot 的主板上安裝Linux 系統(tǒng)，這個系統(tǒng)就必須通過Windows 8的認(rèn)證。目前，微軟公司把 Win8 的數(shù)字簽名外包給

9、了 Verisign 。操作系統(tǒng)廠商想要通過認(rèn)證 ，就必須花 99 美元，向 Verisign 買一張數(shù)字證書 ，嵌入自家的操作系統(tǒng) 。最新動態(tài)是 ， Linux 的各個發(fā)行版之中 ， Ubuntu 已經(jīng)購買了數(shù)字證書，F(xiàn)edora 和 SUSE計劃購買 ，其他發(fā)行版還沒做出決定 。因此，在預(yù)裝 Windows 8 的電腦上安裝 Linux （或其他操作系統(tǒng) ）的最佳做法 ，就是進(jìn)入 BIOS，關(guān)閉 Secure Boot 。 但是，這意味著你花錢買來的 Windows 8 將無法使用 。目前看上去 ， Linux 購買 Windows8 的數(shù)字證書 ，是眼下唯一可行的相對容易的解決方法 。

10、但是，這種做法不可接受 。首先，系統(tǒng)的公鑰被微軟控制 ，后果難以預(yù)料 。如果微軟決定更換和廢除這個公鑰 ， Linux 就要被迫跟進(jìn) 。其次， Linux 的啟動管理器Grub 是 GPL 許可證，該許可證 （第三版 ）明文禁止軟件使用密鑰配合硬件阻止一部分用戶的使用 ，因此要改用非 GPL 許可證的啟動管理器 。再次，只有幾個較大的Linux 發(fā)行版才有能力購買數(shù)字證書，較小的發(fā)行版和用戶自己定制的版本最終還是需要有自己的公鑰?？偨Y(jié)Secure Boot 的用意是保證系統(tǒng)安全，但現(xiàn)在似乎成了廠商保護市場壟斷、阻礙競爭一種手段 。除了微軟公司 ，蘋果公司也有這種傾向 。在新一代的 iPhone 和 iPad 上面安裝其他操作系統(tǒng) ，似乎是不可能的 。(不過一旦 iPhone 和 iPad 上面安能裝其他操作系統(tǒng) ，估計蘋果就不是今天這個樣子了 ，蘋果玩的就是封閉 ！其實壟斷也是有好處的 ！)自由軟件基金會呼