《UEFI、BIOS、Secure Boot地关系》由会员分享,可在线阅读,更多相关《UEFI、BIOS、Secure Boot地关系(9页珍藏版)》请在装配图网上搜索。
1、wordUEFI、BIOS、Secure Boot的关系 从Windows 8操作系统时代开始,安装操作系统的方法也有了很大的改变,Windows 8采用了Secure Boot引导启动的方式,而不是过去Win XP和Win 7的Legacy启动方式,从而导致的问题是所有预装Windows 8/8.1系统的笔记本要安装Win7的话必须修改BIOS,给很多想更换操作系统的用户增加了一点小难度。 那么什么是Secure Boot呢?它和Windows 8还有UEFI启动有什么关系呢!接下来我们就来介绍下Secure Boot、UEFI、BIOS相关知识和各自之间的关系。对于Secure Boot启
2、动方式和egacy启动方式的差异,可以参考这篇文章UEFI启动和Legacy启动的差异BIOS和UEFI所有电脑启动的时候,都会运行BIOS程序,用于初始化硬件。BIOS是英文Basic Input Output System的缩略语,直译过来后中文名称就是根本输入输出系统。其实,它是一组固化到计算机主板上一个ROM芯片上的程序,它保存着计算机最重 要的根本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。 其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。 自从个人电脑诞生后,就一直如此。过去30年我们都在使用类似上图的画面,设置硬件参数。不用说,BIOS已经变得日益不适
3、用了。 1998 年,Intel牵头,联合AMD、AMI、Apple、Dell、HP、IBM、Lenovo、Microsoft和Phoenix等业界主要厂商,开始 制定新一代BIOS。这个项目叫做统一的可扩展固定接口Unified Extensible Firmware Interface,简称UEFI。2005年推出1.1版,目前是2.3版。 新型UEFI,全称“统一的可扩展固件接口(Unified Extensible Firmware Interface), 是一种详细描述全新类型接口的标准。这种接口用于操作系统自动从预启动的操作环境,加载到一种操作系统上,从而使开机程序化繁为简,节省时
4、间。 从2012年9月以来,电脑运行的已经不是BIOS,而是UEFI BIOS。等它运行完毕,再载入操作系统。微软强行部署Secure Boot UEFI是一个很先进的、面向未来的规格。但是很长时间无法推广,原因就是微软公司不积极。 Windows操作系统是桌面市场的主流系统,如果它不推广UEFI,就没有硬件厂商会跟进。所以,普通消费者对这个新规格所知甚少。 意想不到的变化,出现在2011年9月,微软毫无预兆地突然宣布,Windows 8将启用UEFI。 这本来是一件好事。但是,问题是微软感兴趣的不是整个UEFI,而是UEFI的一个子规格Secure Boot。它要强行部署Secure Boo
5、t。Secure Boot Secure Boot只是UEFI的一个局部。两者的关系是局部与整体的关系。 Secure Boot的目的,是防止恶意软件侵入。它的做法就是采用密钥。UEFI规定,主板出厂的时候,可以置一些可靠的公钥。然后,任何想要在这块主板上加载的 操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软件必须用对应的私钥签署过,否如此主板拒绝加载。由于恶意软件不可能通过认证,因此 就没有方法感染Boot。 这个设想是好的。但是,UEFI没规定哪些公钥是可靠的,也没规定谁负责颁发这些公钥,都留给硬件厂商自己决定。现在,微软就是要求,主板厂商置Windows 8的公钥。
6、 首先明确,在不打开Secure Boot的情况下,Windows 8/8.1可以安装。这与安装以前版本的Windows没有差异。 但是,微软规定,所有预装Windows 8的厂商即OEM厂商都必须打开Secure Boot。因此,消费者购置一台预装Windows 8的台式机或笔记本,想要在上面再安装其他操作系统包括以前版本的Windows是不可能的,除非关闭Secure Boot,或者其他操作系统能够通过Windows 8/8.1公钥的认证。 如果选择关闭Secure Root,那么预装的Windows 8/8.1将无法使用,需要重新安装。对Linux的影响 Secure Boot规格的本意
7、是,让操作系统厂商自行选择公钥,通过认证。但是实际上,只有微软公司才有能力,让主板厂商置它的公钥,其他公司都不具备这种能力。 根据微软针对OEM厂商的一如此规定,Windows 8要求PC电脑采用UEFI统一可扩展固件接口,这个接口将会替代PC机诞生以来历史悠久的BIOS固件设置。关于UEFI这个标准接口,是支持 Windows、Linux 和 OS X 操作系统的,只是微软要求预装Windows 8 的PC电脑需要支持安全性启动机制,启动过程中涉与到的软件/固件都必须打上CA数字签名,这样,对于Linux 这种开源的无签名的系统就会直接阻止。 因此,如果要在打开Secure Boot的主板上
8、安装Linux系统,这个系统就必须通过Windows 8的认证。 目前,微软公司把Win8的数字签名外包给了Verisign。操作系统厂商想要通过认证,就必须花99美元,向Verisign买一数字证书,嵌入自家的操作系统。 最新动态是,Linux的各个发行版之中,Ubuntu已经购置了数字证书,Fedora和SUSE计划购置,其他发行版还没做出决定。 因此,在预装Windows 8的电脑上安装Linux或其他操作系统的最优做法,就是进入BIOS,关闭Secure Boot。但是,这意味着你花钱买来的Windows 8将无法使用。 目前看上去,Linux购置Windows8的数字证书,是眼下唯一
9、可行的相对容易的解决方法。但是,这种做法不可承受。首先,系统的公钥被微软控制,后果难以预料。如果微软决定更换和废除这个公钥,Linux就要被迫跟进。其次,Linux的启动管理器Grub是GPL许可证,该许可证第三版明文禁止软件使用密钥配合硬件阻止一局部用户的使用,因此要改用非GPL许可证的启动管理器。再次,只有几个较大的Linux发行版才有能力购置数字证书,较小的发行版和用户自己定制的版本最终还是需要有自己的公钥。总结 Secure Boot的用意是保证系统安全,但现在似乎成了厂商保护市场垄断、阻碍竞争一种手段。 除了微软公司,苹果公司也有这种倾向。在新一代的iPhone和iPad上面安装其他操作系统,似乎是不可能的。(不过一旦iPhone和iPad上面安能装其他操作系统,估计苹果就不是今天这个样子了,苹果玩的就是封闭!其实垄断也是有好处的!) 自由软件基金会呼吁反Secure Boot垄断,就是基于这种考虑:用户应该拥有硬件和软件的使用自由,操作系统应该是开放的,而不是封闭的。 作为一种规格,自由软件基金会并不反对Secure Boot,它只是要求硬件厂商提供便利,使得用户可以更容易地安装和管理公钥,从而使用硬件平台对所有操作系统以与设备驱动保持开放9 / 9一、
UEFI、BIOS、Secure Boot地关系
