收藏
下载资源

关于secure boot

上传人:第*** 文档编号:32749894 上传时间:2018-02-12 格式:DOCX 页数:15 大小:206.80KB
返回 下载 相关 举报
关于secure boot_第1页
第1页 / 共15页
关于secure boot_第2页
第2页 / 共15页
关于secure boot_第3页
第3页 / 共15页
关于secure boot_第4页
第4页 / 共15页
关于secure boot_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《关于secure boot》由会员分享,可在线阅读,更多相关《关于secure boot(15页珍藏版)》请在金锄头文库上搜索。

1、关于 secure boot反 Secure Boot 垄断:兼谈如何在 Windows 8 电脑上安装 Linux一、自由软件基金会的呼吁上周,2012 年将近结束的时候,自由软件基金会(FSF )发出呼吁,要求人们继续支持反Secure Boot 垄断,希望签名者能达到 5 万人(目前是 4 万) 。我觉得,这个呼吁很重要。如果我们不支持,未来就无法自由地使用硬件、安装自己想要的软件。这绝非危言耸听。而且,由于这个事件直接与 Windows 8 操作系统有关,因此意味着一切已经迫在眉睫了。下面,我根据自己的理解,谈谈这到底怎么回事。如果你是一个 Linux 爱好者,或者喜欢自己安装操作系统

2、,下面的内容与你直接相关。二、BIOS 和 UEFI所有电脑启动的时候,都会运行 BIOS 程序,用于初始化硬件。自从个人电脑诞生后,就一直如此。过去 30 年我们都在使用类似上图的画面,设置硬件参数。不用说,BIOS 已经变得日益不适用了。1998 年, Intel 牵头,联合 AMD、AMI、Apple、Dell、HP、IBM 、Lenovo 、Microsoft 和Phoenix 等业界主要厂商,开始制定新一代 BIOS。这个项目叫做统一的可扩展固定接口(Unified Extensible Firmware Interface) ,简称 UEFI。2005 年推出 1.1 版,目前是

3、2.3 版。将来一开机,电脑运行的将不是 BIOS,而是 UEFI BIOS。等它运行结束,再载入操作系统。三、微软的态度UEFI 是一个很先进的、面向未来的规格。但是很长时间内无法推广,原因就是微软公司不积极。Windows 操作系统是桌面市场的主流系统,如果它不推广 UEFI,就没有硬件厂商会跟进。所以,普通消费者对这个新规格所知甚少。意想不到的变化,出现在 2011 年 9 月,微软毫无预兆地突然宣布,Windows 8 将启用UEFI。这本来是一件好事。但是,问题是微软感兴趣的不是整个 UEFI,而是 UEFI 的一个子规格Secure Boot。它要强行部署 Secure Boot。

4、四、Secure BootSecure Boot 只是 UEFI 的一个部分。两者的关系是局部与整体的关系。Secure Boot 的目的,是防止恶意软件侵入。它的做法就是采用密钥。UEFI 规定,主板出厂的时候,可以内置一些可靠的公钥。然后,任何想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软件必须用对应的私钥签署过,否则主板拒绝加载。由于恶意软件不可能通过认证,因此就没有办法感染 Boot。这个设想是好的。但是,UEFI 没规定哪些公钥是可靠的,也没规定谁负责颁发这些公钥,都留给硬件厂商自己决定。现在,微软就是要求,主板厂商内置 Windows 8

5、 的公钥。五、Windows 8首先明确,在不打开 Secure Boot 的情况下,Windows 8 可以安装。这与安装以前版本的Windows 没有差别。但是,微软规定,所有预装 Windows 8 的厂商(即 OEM 厂商)都必须打开 Secure Boot。因此,消费者购买一台预装 Windows 8 的台式机或笔记本,想要在上面再安装其他操作系统(包括以前版本的 Windows)是不可能的,除非关闭 Secure Boot,或者其他操作系统能够通过 Windows 8 公钥的认证。如果选择关闭 Secure Root,那么预装的 Windows 8 将无法使用,需要重新安装。六、实

6、例:微星主板ITwire 的记者 Sam Varghese,做了一个实验,想了解在打开 Secure Boot 的主板上,如何安装操作系统。实验对象是微星公司 Z77A-G41 主板。它带有 Secure Boot 功能,默认是关闭的。第一步,开机后按 Delete 键,进入 BIOS,选择 Windows 8 Configuration 选项。第二步,选择最后一个 Secure Boot 选项。第三步,打开(Enabled)Secure Boot 功能,然后选择最后一个 Key Management(密钥管理)选项。第四步,输入厂商提供的公钥,也就是 Windows 8 的公钥(目前,任何其

7、他操作系统都没有这类公钥。 )第五类,安装 Windows 8 之后,在命令行界面输入 confirm-securebootuefi 命令,结果为true,表示 secureboot 功能打开。根据 Sam Varghese 测试,打开 Secure Boot 之后,再安装其他操作系统(包括以前版本的Windows) ,全部被主板拒绝。七、对 Linux 的影响Secure Boot 规格的本意是,让操作系统厂商自行选择公钥,通过认证。但是实际上,只有微软公司才有能力,让主板厂商内置它的公钥,其他公司都不具备这种能力。因此,如果要在打开 Secure Boot 的主板上安装 Linux 系统,

8、这个系统就必须通过 Windows 8 的认证。目前,微软公司把 Windows 8 的数字签名外包给了 Verisign。操作系统厂商想要通过认证,就必须花 99 美元,向 Verisign 买一张数字证书,嵌入自家的操作系统。最新动态是,Linux 的各个发行版之中,Ubuntu 已经购买了数字证书,Fedora 和 SUSE 计划购买,其他发行版还没做出决定。因此,在预装 Windows 8 的电脑上安装 Linux(或其他操作系统)的最佳做法,就是进入BIOS,关闭 Secure Boot。但是,这意味着你花钱买来的 Windows 8 将无法使用。八、为什么 Windows 8 的公

9、钥不可接受?目前看上去,Linux 购买 Windows 8 的数字证书,是眼下唯一可行的相对容易的解决方法。但是,这种做法不可接受。首先,系统的公钥被微软控制,后果难以预料。如果微软决定更换和废除这个公钥,Linux就要被迫跟进。其次,Linux 的启动管理器 Grub 是 GPL 许可证,该许可证(第三版)明文禁止软件使用密钥配合硬件阻止一部分用户的使用,因此要改用非 GPL 许可证的启动管理器。再次,只有几个较大的 Linux 发行版才有能力购买数字证书,较小的发行版和用户自己定制的版本最终还是需要有自己的公钥。九、关于移动设备Secure Boot 对移动设备的影响,比 PC 还要严重

10、。微软明确规定,所有 PC 主板必须带有关闭 Secure Boot 的选项。这不是因为微软的善意,而是因为如果不这样做,它一定会遭到反垄断起诉。但是,在移动设备领域,微软不占优势,所以它就没有顾虑,规定所有安装 Windows 的移动设备的 Secure Boot 必须打开,而且没有关闭选项。微软的平板电脑 Surface RT 就是一个最好的例子。它的 Secure Boot 是打开的,没法关闭,而且微软用了一个不同于桌面电脑 Windows 8 操作系统的公钥,且不提供获得数字证书的途径。因此理论上,用户不可能在 Surface RT 上安装其他操作系统。还有报道称,使用 Windows

11、 Phone 8 操作系统的智能手机也将采用这种做法。那么,用户也就不可能在 Windows Phone 上安装其他操作系统了。十、结束语Secure Boot 的本来用意是保证系统安全,但现在似乎成了厂商保护市场垄断、阻碍竞争一种手段。除了微软公司,苹果公司也有这种倾向。在新一代的 iPhone 和 iPad 上面安装其他操作系统,似乎是不可能的。自由软件基金会呼吁反 Secure Boot 垄断,就是基于这种考虑:用户应该拥有硬件和软件的使用自由,操作系统应该是开放的,而不是封闭的。作为一种规格,自由软件基金会并不反对 Secure Boot,它只是要求硬件厂商提供便利,使得用户可以更容易

12、地安装和管理公钥,从而使用硬件平台对所有操作系统(以及设备驱动)保持开放。我认为,这是完全合理的要求,对于保证用户的自由和业界的健康生态极为重要。让我们一起支持这个行动(签名和捐助) ,密切关注事态下一步的发展。关于这篇文章的几个评论引 用 ayanamist 的 发 言 :好 像 很 多 人 在 大 谈 特 谈 UEFI 的 Secure Boot 对 Linux 安 装 的 影 响 。 但 , 拜 托 , 不会 关 的 是 小 白 好 不 好 。 连 这 个 都 不 会 关 的 小 白 , 我 真 的 很 怀 疑 他 即 使 装 上 Linux桌 面 , 又 能 坚 持 用 几 天 ? 所

13、 以 这 担 心 在 目 前 乃 至 较 长 时 期 都 是 杞 人 忧 天 好 不 好 !寒 霭 说 :因 此 , 在 预 装 Windows 8 的 电 脑 上 安 装 Linux( 或 其 他 操 作 系 统 ) 的 最 佳 做 法 , 就 是 进 入BIOS, 关 闭 Secure Boot。 但 是 , 这 意 味 着 你 花 钱 买 来 的 Windows 8 将 无 法 使 用 。Aenon 说 :1. Linux 需 要 非 技 术 用 户 。2. 向 微 软 够 买 证 书 是 在 助 长 闭 源 软 件 。Anonymous 说 :引 用 wakey 的 发 言 :个 人

14、认 为 , 只 要 oem 厂 商 在 uefi 上 留 下 给 geek 输 入 公 钥 的 口 子 ( 就 像 文 中 演 示的 那 样 ) , 那 就 尽 到 义 务 了 。 不 是 geek 也 没 必 要 用 linux。 secure boot 并 不 是 微软 一 家 的 东 西 , 而 uefi 是 未 来 的 主 流 , linux 应 该 去 主 动 支 持 uefi 的 每 项 功 能 。虽 然 大 部 分 发 行 版 都 没 钱 去 买 证 书 。 不 能 在 随 便 哪 台 机 子 上 装 arch 还 是 比 较 痛 的 。目 前 最 恶 心 的 是 这 一 点 ,

15、 假 如 你 购 买 的 新 笔 记 本 或 者 台 式 机 如 果 已 经 搭 载 了 Windows 8, 那 么 将 无 法 安 装 其 它 系 统 , 它 并 没 有 所 说 的 留 一 个 口 子 。关 闭 secure boot 将 使 Windows 8 不 能 工 作 , 需 要 重 新 安 装 一 个 新 的 Windows 8.autoxbc 说 :问 题 在 UEFI, 如 果 硬 性 规 定 所 有 主 板 厂 商 必 须 内 置 导 入 公 钥 的 选 项 , 那 么 即 使 是 一 个普 通 的 操 作 系 统 爱 好 者 , 都 可 以 按 照 规 范 生 成 自

16、 己 的 密 匙 对 , 然 后 导 入 主 板 , 那 么 也就 没 有 必 须 和 微 软 买 签 名 的 事 了 , 别 的 厂 商 自 然 可 以 名 正 言 顺 的 自 己 给 自 己 签 名 , 甚至 不 需 要 根 证 书 机 构 。不 过 UEFI 论 坛 都 是 些 硬 件 巨 头 加 微 软 , 设 计 时 怕 是 就 下 了 一 盘 大 棋 。JunkFood 说 :引 用 ytj 的 发 言 :难 道 有 人 想 用 双 系 统 ? 只 有 极 少 数 人 用 双 系 统 吧 , 本 来 Linux 系 统 就 够 难 学 了 ,为 何 还 要 学 Windows 8。 我 们 公 司 需 要 用 Windows 做 测 试 的 时 候 向 来 都 是 在 虚拟 机 里 面 捣 鼓 , 没 人 有 闲 情 装 个 双 系 统 。哪 怕 是 只 有 极 少 数 人 用 双 系 统 , 微 软 也 没 有 任 何 的 资 格 剥 夺 这 些 人 使 用 双 系 统 的 权 利而 现 在 微 软

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 工程造价

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号