反Secure Boot垄断:兼谈如何在Windows 8电脑上安装Linux

标签: IT | 发表时间:2013-01-02 22:47 | 作者:阮一峰
出处:http://www.ruanyifeng.com/blog/

一、自由软件基金会的呼吁

上周,2012年将近结束的时候, 自由软件基金会(FSF)发出呼吁,要求人们继续支持反Secure Boot垄断,希望签名者能达到5万人(目前是4万)。

我觉得,这个呼吁很重要。如果我们不支持,未来就无法自由地使用硬件、安装自己想要的软件。

这绝非危言耸听。而且,由于这个事件直接与Windows 8操作系统有关,因此意味着一切已经迫在眉睫了。

下面,我根据自己的理解,谈谈这到底怎么回事。如果你是一个Linux爱好者,或者喜欢自己安装操作系统,下面的内容与你直接相关。

二、BIOS和UEFI

所有电脑启动的时候,都会运行 BIOS程序,用于初始化硬件。

自从个人电脑诞生后,就一直如此。过去30年我们都在使用类似上图的画面,设置硬件参数。不用说,BIOS已经变得日益不适用了。

1998年,Intel牵头,联合AMD、AMI、Apple、Dell、HP、IBM、Lenovo、Microsoft和Phoenix等业界主要厂商,开始制定新一代BIOS。这个项目叫做"统一的可扩展固定接口"(Unified Extensible Firmware Interface),简称 UEFI。2005年推出1.1版,目前是2.3版。

将来一开机,电脑运行的将不是BIOS,而是UEFI BIOS。等它运行结束,再载入操作系统。

三、微软的态度

UEFI是一个很先进的、面向未来的规格。但是很长时间内无法推广,原因就是微软公司不支持。

Windows操作系统是桌面市场的主流系统,如果它不部署UEFI代码,就没有硬件厂商会跟进。所以,普通消费者对这个新规格所知甚少。

意想不到的变化,出现在2011年9月,微软毫无预兆地突然 宣布,Windows 8将支持UEFI。

这本来是一件好事。但是,问题是微软感兴趣的不是整个UEFI,而是UEFI的一个子规格Secure Boot。它要强行部署Secure Boot。

四、Secure Boot

Secure Boot只是UEFI的一个部分。两者的关系是局部与整体的关系。

Secure Boot的目的,是防止恶意软件侵入。它的做法就是采用密钥。UEFI规定,主板出厂的时候,可以内置一些可靠的公钥。然后,任何想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软件必须用对应的私钥签署过,否则主板拒绝加载。由于恶意软件不可能通过认证,因此就没有办法感染Boot。

这个设想是好的。但是,UEFI没规定哪些公钥是可靠的,也没规定谁负责颁发这些公钥,都留给硬件厂商自己决定。

现在,微软就是要求,主板厂商内置Windows 8的公钥。

五、Windows 8

首先明确,在不打开Secure Boot的情况下,Windows 8可以安装。这与安装以前版本的Windows没有差别。

但是,微软规定,所有预装Windows 8的厂商(即OEM厂商)都必须打开Secure Boot。因此,消费者购买一台预装Windows 8的台式机或笔记本,想要在上面再安装其他操作系统(包括以前版本的Windows)是不可能的,除非关闭Secure Boot,或者其他操作系统能够通过Windows 8公钥的认证。

如果选择关闭Secure Root,那么预装的Windows 8将无法使用,需要重新安装。

六、实例:微星主板

ITwire的记者Sam Varghese,做了一个 实验,想了解在打开Secure Boot的主板上,如何安装操作系统。

实验对象是微星公司 Z77A-G41主板。它带有Secure Boot功能,默认是关闭的。

第一步,开机后按Delete键,进入BIOS,选择Windows 8 Configration选项。

第二步,选择最后一个Secure Boot选项。

第三步,打开(Enabled)Secure Boot功能,然后选择最后一个Key Management(密钥管理)选项。

第四步,输入厂商提供的公钥,也就是Windows 8的公钥(目前,任何其他操作系统都没有这类公钥。)

第五类,安装Windows 8之后,在命令行界面输入confirm-securebootuefi命令,结果为true,表示secureboot功能打开。

根据Sam Varghese测试,打开Secure Boot之后,再安装其他操作系统(包括以前版本的Windows),全部被主板拒绝。

七、对Linux的影响

Secure Boot规格的本意是,让操作系统厂商自行选择公钥,通过认证。但是实际上,只有微软公司才有能力,让主板厂商内置它的公钥,其他公司都不具备这种能力。

因此,如果要在打开Secure Boot的主板上安装Linux系统,这个系统就必须通过Windows 8的认证。

目前,微软公司把Windows 8的数字签名外包给了Verisign。操作系统厂商想要通过认证,就必须花99美元,向Verisign买一张数字证书,嵌入自家的操作系统。

最新动态是,Linux的各个发行版之中,Ubuntu已经购买了数字证书,Fedora和SUSE计划购买,其他发行版还没做出决定。

因此,在预装Windows 8的电脑上安装Linux(或其他操作系统)的最佳做法,就是进入BIOS,关闭Secure Boot。但是,这意味着你花钱买来的Windows 8将无法使用。

八、为什么Windows 8的公钥不可接受?

目前看上去,Linux购买Windows 8的数字证书,是眼下唯一可行的相对容易的解决方法。但是,这种做法不可接受。

首先,系统的公钥被微软控制,后果难以预料。如果微软决定更换和废除这个公钥,Linux就要被迫跟进。

其次,Linux的启动管理器Grub是GPL许可证,该许可证(第三版) 明文禁止软件使用密钥配合硬件阻止一部分用户的使用,因此要改用非GPL许可证的启动管理器。

再次,只有几个较大的Linux发行版才有能力购买数字证书,较小的发行版和用户自己定制的版本最终还是需要有自己的公钥。

九、关于移动设备

Secure Boot对移动设备的影响,比PC还要严重。

微软明确规定,所有PC主板必须带有关闭Secure Boot的选项。这不是因为微软的善意,而是因为如果不这样做,它一定会遭到反垄断起诉。

但是,在移动设备领域,微软不占优势,所以它就没有顾虑,规定所有安装Windows的移动设备的Secure Boot必须打开,而且没有关闭选项。

微软的平板电脑Surface RT就是一个最好的例子。它的Secure Boot是打开的,没法关闭,而且微软用了一个不同于桌面电脑Windows 8操作系统的公钥,且不提供获得数字证书的途径。因此理论上,用户 不可能在Surface RT上安装其他操作系统。

还有报道称,使用Windows Phone 8操作系统的智能手机也将采用这种做法。那么,用户也就不可能在Windows Phone上安装其他操作系统了。

十、结束语

Secure Boot的本来用意是保证系统安全,但现在似乎成了厂商保护市场垄断、阻碍竞争一种手段。

除了微软公司,苹果公司也有这种倾向。在新一代的iPhone和iPad上面安装其他操作系统,似乎是不可能的。

自由软件基金会呼吁反Secure Boot垄断,就是基于这种考虑:用户应该拥有硬件和软件的使用自由,操作系统应该是开放的,而不是封闭的。

作为一种规格,自由软件基金会并不反对Secure Boot,它只是要求硬件厂商提供便利,使得用户可以更容易地安装和管理公钥,从而使用硬件平台对所有操作系统(以及设备驱动)保持开放。

我认为,这是完全合理的要求,对于保证用户的自由和业界的健康生态极为重要。让我们一起支持这个行动( 签名捐助),密切关注事态下一步的发展。

(完)

文档信息

相关 [secure boot 垄断] 推荐:

反Secure Boot垄断:兼谈如何在Windows 8电脑上安装Linux

- - 阮一峰的网络日志
上周,2012年将近结束的时候, 自由软件基金会(FSF)发出呼吁,要求人们继续支持反Secure Boot垄断,希望签名者能达到5万人(目前是4万). 如果我们不支持,未来就无法自由地使用硬件、安装自己想要的软件. 而且,由于这个事件直接与Windows 8操作系统有关,因此意味着一切已经迫在眉睫了.

UEFI Secure Boot 对 Linux 的影响

- SotongDJ - LinuxTOY
Red Hat 协同 Linux 基金会以及 Canonical 发布了针对 UEFI 中安全启动对于 Linux 系统影响的评估白皮书. 前段时间某些朝内站点上关于 UEFI 将禁止其他非 Win 系统的谣言总算以 M$ 方面澄清的方式告一段落. 现在来自 Linux 阵营的参与者们作出了自己的回应,对于 Secure Boot 进行了评估.

Canonical和Red Hat呼吁Secure boot选择权

- shan - Solidot
51开源社区 写道 "几个星期前,微软要求win8认证客户机支持安全启动,启动进程内的所有固件和软件都需要可信CA签名,显然微软试图锁定启动进程,阻止安装无签名的第三方系统如Linux. 现在Canonical 和 Red Hat 联手发布白皮书UEFI Secure Boot Impact on Linux(PDF),呼吁所有用户应拥有Secure Boot选择权,系统商应建立一个机制让用户来配置自己认可的软件列表,PC机应包含一个应用界面允许用户轻易启用/禁用Secure boot.

Canonical 和 Red Hat 呼吁 Secure boot 选择权

- ZeeJee - cnBeta.COM
几个星期前微软要求win8认证客户机支持安全启动,启动进程内的所有固件和软件都需要可信CA签名,显然微软试图锁定启动进程,阻止安装无签名的第三方系统如Linux. 前不久,自由软件基金会(FSF)就此发表声明,称限制性的安全启动将会让电脑只能运行微软的操作系统,限制用户安装自由软件GNU/Linux的自由,它呼吁签名抵制.

F-Secure:“做件好事,卸载XP吧。”

- fyits0 - cnBeta.COM
2001年8月24日,微软发布Windows XP,到今天为止,XP依然占据全球电脑操作系统的近45%市场. 直到上个月,它才降到50%以下. 在Windows XP十周岁的今天,安全公司F-Secure首席研发官米科・希伯尼(Mikko Hypponen)说:“做件好事,卸载XP吧.

Spring boot传统部署

- - 企业架构 - ITeye博客
使用spring boot很方便,一个jar包就可以启动了,因为它里面内嵌了tomcat等服务器. 但是spring boot也提供了部署到独立服务器的方法. 如果你看文档的话,从jar转换为war包很简单,pom.xml的配置修改略去不讲. 只看source的修改,很简单,只要一个配置类,继承自SpringBootServletInitializer, 并覆盖configure方法.

值得使用的Spring Boot

- - ImportNew
2013年12月12日,Spring发布了4.0版本. 这个本来只是作为Java平台上的控制反转容器的库,经过将近10年的发展已经成为了一个巨无霸产品. 不过其依靠良好的分层设计,每个功能模块都能保持较好的独立性,是Java平台不可多得的好用的开源应用程序框架. Spring的4.0版本可以说是一个重大的更新,其全面支持Java8,并且对Groovy语言也有良好的支持.

Spring Boot配置多个DataSource

- - 廖雪峰的官方网站
使用Spring Boot时,默认情况下,配置 DataSource非常容易. Spring Boot会自动为我们配置好一个 DataSource. 如果在 application.yml中指定了 spring.datasource的相关配置,Spring Boot就会使用该配置创建一个 DataSource.

Spring boot executable jar/war 原理

- - ImportNew
spring boot里其实不仅可以直接以 Java -jar demo.jar的方式启动,还可以把jar/war变为一个可以执行的脚本来启动,比如./demo.jar. 把这个executable jar/war 链接到/etc/init.d下面,还可以变为Linux下的一个service. 只要在spring boot maven plugin里配置:.

Spring Boot Starter是什么?

- - 技术,永无止境
在工作中我们经常能看到各种各样的springboot starter,如spring-cloud-netflix、spring-cloud-alibaba等等. 这些starter究竟有什么作用呢. 在了解这些starter之前,我们需要先大概知道Spring MVC与Spring Boot的关系.