UEFI、BIOS、SecureBoot的关系

1、uefi、bios secure boot 的关系从windows 8操作系统时代开始，安装操作系统的方法也有了很大的改变）windows 8采用了 secure boot引导启动的方式）而不是过去win xf和win 7的legacy启动方式）从而导致的问题是所有预装 windows 8/8.1系统的笔记本要安装 win7的话必须修改bios给很多想更换操 作系统 的用户增加了一点小难度。那么什么是 secure boot呢？它和 windows 8还有uefi启动有 什 么关系呢！接下来我们就来介绍下 secure boot、uefi、bios相关知识和 各自之间的关系。（对于 secur

2、e boot启动方式和egacy启动方式 的差别， 可以参考这篇文章uefi启动和legacy启动的差别）load legacyboot list 01 opt ion rompt ioneimngii disabled! ijeft1欢迎下载enterj enter _.bootbios 禾口 uefi所有电脑启动的时候，都会运行bios程序，用于初始化硬件bios是英文basic in put output system的缩略语）直译过来后 中文名称就是“基本输入输出系统o其实，它是一组固化到计算机内主 板上一个rom芯片上的程序，它保存着计算机最重 要的基本输入输出 的程序、系统设置信息

3、、开机后自检程序和系统自启动程序。其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。自从个人电脑诞生后，就一直如此。过去 30年我们都在使用类 似上图的画面，设置硬件参数。不用说，bios已经变得日益不适用了。1998 年，in tel 牵头,联合 amd ami、apple、dell、hp ibm lenovo、microsoft禾口 phoenix等业界主要厂商)开始制定新一代bios这个项目叫做统一的可扩展固定接口 ”( unified extensible firmware in terface ),简称uefi。2005年推出1.1版，目前是2.3版。新型uefi,全称“统一

4、的可扩展固件接口”( unified extensiblefirmware in terface),是一种详细描述全新类型接口的标准。这种接 口用于操作系统自动从预启动的操作环境，加载到一种操作系统上，从 而使开机程 序化繁为简，节省时间。从2012年9月以来，电脑运行的已经不是bios,而是uefi bios等它运行结束，再载入操作系统。微软强行部署 secure bootuefi 是一个很先进的、面向未来的规格。但是很长时间内无法推广，原因就是微软公司不积极。windows 操作系统是桌面市场的主流系统，如果它不推广 uefi ， 就 没有硬件厂商会跟进。所以，普通消费者对这个新规格所知甚

5、少。意想不到的变化，出现在2011 年 9 月，微软毫无预兆地突然宣 布，windows 8 将启用 uefi 。这本来是一件好事。但是，问题是微软感兴趣的不是整个 uefi ，而是 uefi 的一个子规格secure boot 。它要强行部署secure boot 。device jdrloothanauarboot:kd i sab ic-d 1enob led(leucylsecure bootsecure boot只是uefi的一个部分。两者的关系是局部与整体的关系。secure boot的目的，是防止恶意软件侵入。它的做法就是采用密钥。uefi规定，主板出厂的时候，可以内置一些可靠的

6、公钥。然后， 任何 想要在这块主板上加载的 操作系统或者硬件驱动程序，都必须通过这些公钥的认证。也就是说，这些软件必须用对应的私钥签署过，否则主板拒绝加载。由于恶意软件不可能通过认证，因此就没有办法感染 boot。这个设想是好的。但是，uefi没规定哪些公钥是可靠的，也没规定谁负责颁发这些公钥，都留给硬件厂商自己决定。现在，微软就是要求，主板厂商内置 windows 8的公钥。 win dows 8/win dows8.1首先明确）在不打开 secure boot的情况下）windows 8/8.1可以安装。这与安装以前版本的 win dows没有差别但是，微软规定，所有预装 windows8

7、的厂商（即oem厂商）都必须打开secure boot。因此，消费者购买一台预装 windows 8的台式机或笔记本，想要在上面再安装其他操作系统（包括以前版本的windows是不可能的）除非关闭secure boot）或者其他操作系统能够通过 windows 8/8.1公钥的认证如果选择关闭 secure root ,那么预装的 windows 8/8.1将无法使用，需要重新安装。对linux的影响secure boot规格的本意是，让操作系统厂商自行选择公钥，通 过认 证。但是实际上，只有微软公司才有能力，让主板厂商内置它的公钥，其他公司都不具备这种能力。根据微软针对oemt商的一则规定，

8、windows8要求pc电脑采用uefi （统一可扩展固件接口），这个接口将会替代pc机诞生以来历史悠久的bios固件设置。关于uefi这个标准接口，是支持 windows、linux和os x操作系统的，只是微软要求预装 windows 8的pc电脑需要 支持安全性启动机制，启动过程中涉及到的软件 /固件都必须打上ca数字 签名，这样，对于linux这种开源的无签名的系统就会直接阻止。因此，如果要在打开 secure boot的主板上安装linux系统，这个 系统就必须通过windows 8的认证。弓前，微软公司把 win8的数字签名外包给了 verisign。操作系 统厂商想要通过认证，就

9、必须花99 美元，向 verisign 买一张数字证书， 嵌入自家的操作系统。最新动态是， linux 的各个发行版之中， ubuntu 已经购买了数字证书， fedora 和 suse 十划购买，其他发行版还没做出决定。因此，在预装 windows8 的电脑上安装 linux （或其他操作系统）的最佳做法，就是进入bios,关闭secure boot。但是，这意味着你花钱买来的 windows 8 将无法使用。目前看上去， linux 购买 windows8 的数字证书，是眼下唯一可行的相对容易的解决方法。但是，这种做法不可接受。首先，系统的公钥被微软控制，后果难以预料。如果微软决定更换和废

10、 除这个公钥， linux 就要被迫跟进。其次， linux 的启动管理器grub 是 gpl 许可证，该许可证（第三版）明 文禁止软件使用密钥配合硬件阻止一部分用户的使用，因此要改用非gpl 许可证的启动管理器。再次，只有几个较大的 linux 发行版才有能力购买数字证书， 较小的发行版和用户自己定制的版本最终还是需要有自己的公钥。总结secure boot 的用意是保证系统安全，但现在似乎成了厂商保护 市场垄断、阻碍竞争一种手段。除了微软公司，苹果公司也有这种倾向。在新一代的 iphone 和ipad 上面安装其他操作系统，似乎是不可能的。 （ 不过一旦 iphone 和ipad 上面安能装其他操作系统，估计苹果就不是今天这个样子了， 苹果 玩的就是封闭！其实垄断也是有好处的！ ）自由软件基金会呼