详解 Secure Boot 与 Winows 8 及 UEFI启动 的关系.doc

很多同学都发现了，在安装Windows 8或是带UEFI启动的电脑时要更改BIOS里的Secure Boot值！比如戴尔的INS14R-5420,INS15R-5520,INS14R-5421,INS660,V270,V5460等机型！什么Secure Boot呢！它和Windows 8还有UEFI启动有什么关系呢！BIOS和UEFI所有电脑启动的时候，都会运行BIOS程序，用于初始化硬件。BIOS是英文Basic Input Output System的缩略语，直译过来后中文名称就是基本输入输出系统。其实，它是一组固化到计算机内主板上一个ROM芯片上的程序，它保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。 其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。自从个人电脑诞生后，就一直如此。过去30年我们都在使用类似上图的画面，设置硬件参数。不用说，BIOS已经变得日益不适用了。1998年，Intel牵头，联合AMD、AMI、Apple、Dell、HP、IBM、Lenovo、Microsoft和Phoenix等业界主要厂商，开始制定新一代BIOS。这个项目叫做统一的可扩展固定接口（Unified Extensible Firmware Interface），简称UEFI。2005年推出1.1版，目前是2.3版。新型UEFI，全称“统一的可扩展固件接口”(Unified Extensible Firmware Interface)， 是一种详细描述全新类型接口的标准。这种接口用于操作系统自动从预启动的操作环境，加载到一种操作系统上，从而使开机程序化繁为简，节省时间。从2012年9月以来，电脑运行的已经不是BIOS，而是UEFI BIOS。等它运行结束，再载入操作系统。 - 微软的态度UEFI是一个很先进的、面向未来的规格。但是很长时间内无法推广，原因就是微软公司不积极。Windows操作系统是桌面市场的主流系统，如果它不推广UEFI，就没有硬件厂商会跟进。所以，普通消费者对这个新规格所知甚少。意想不到的变化，出现在2011年9月，微软毫无预兆地突然宣布，Windows 8将启用UEFI。这本来是一件好事。但是，问题是微软感兴趣的不是整个UEFI，而是UEFI的一个子规格Secure Boot。它要强行部署Secure Boot。 Secure BootSecure Boot只是UEFI的一个部分。两者的关系是局部与整体的关系。Secure Boot的目的，是防止恶意软件侵入。它的做法就是采用密钥。UEFI规定，主板出厂的时候，可以内置一些可靠的公钥。然后，任何想要在这块主板上加载的操作系统或者硬件驱动程序，都必须通过这些公钥的认证。也就是说，这些软件必须用对应的私钥签署过，否则主板拒绝加载。由于恶意软件不可能通过认证，因此就没有办法感染Boot。这个设想是好的。但是，UEFI没规定哪些公钥是可靠的，也没规定谁负责颁发这些公钥，都留给硬件厂商自己决定。现在，微软就是要求，主板厂商内置Windows 8的公钥。Windows 8首先明确，在不打开Secure Boot的情况下，Windows 8可以安装。这与安装以前版本的Windows没有差别。但是，微软规定，所有预装Windows 8的厂商（即OEM厂商）都必须打开Secure Boot。因此，消费者购买一台预装Windows 8的台式机或笔记本，想要在上面再安装其他操作系统（包括以前版本的Windows）是不可能的，除非关闭Secure Boot，或者其他操作系统能够通过Windows 8公钥的认证。如果选择关闭Secure Root，那么预装的Windows 8将无法使用，需要重新安装。对Linux的影响Secure Boot规格的本意是，让操作系统厂商自行选择公钥，通过认证。但是实际上，只有微软公司才有能力，让主板厂商内置它的公钥，其他公司都不具备这种能力。根据微软针对OEM厂商的一则规定，Windows 8要求PC电脑采用UEFI（统一可扩展固件接口），这个接口将会替代PC机诞生以来历史悠久的BIOS固件设置。关于UEFI这个标准接口，是支持Windows、Linux 和 OS X 操作系统的，只是微软要求预装Windows 8 的PC电脑需要支持安全性启动机制，启动过程中涉及到的软件/固件都必须打上CA数字签名，这样，对于Linux 这种开源的无签名的系统就会直接阻止。因此，如果要在打开Secure Boot的主板上安装Linux系统，这个系统就必须通过Windows 8的认证。目前，微软公司把Win8的数字签名外包给了Verisign。操作系统厂商想要