UEFI、BIOS、SecureBoot的关系

1、UEFI、BIOS Secure Boot 的关系从Windows 8操作系统时代开始，安装操作系统的方法也有了很大的改变）Windows 8采用了 Secure Boot引导启动的方式）而不是过去Win XF和Win 7的Legacy启动方式）从而导致的问题是所有预装 Windows 8/8.1系统的笔记本要安装 Win7的话必须修改BIOS给很多想更换操 作系统 的用户增加了一点小难度。那么什么是 Secure Boot呢？它和 Windows 8还有UEFI启动有 什 么关系呢！接下来我们就来介绍下 Secure Boot、UEFI、BIOS相关知识和 各自之间的关系。（对于 Secur

2、e Boot启动方式和egacy启动方式 的差别， 可以参考这篇文章UEFI启动和Legacy启动的差别）Load LegacyBoot List 01 Opt ion Rompt ionEimngii Disabled! IJEFT1欢迎下载EnterJ Enter »_.Bootbios 禾口 UEFI所有电脑启动的时候，都会运行BIOS程序，用于初始化硬件BIOS是英文"Basic In put Output System"的缩略语）直译过来后 中文名称就是“基本输入输出系统"o其实，它是一组固化到计算机内主 板上一个ROM芯片上的程序，它保存着计

3、算机最重 要的基本输入输出 的程序、系统设置信息、开机后自检程序和系统自启动程序。其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。自从个人电脑诞生后，就一直如此。过去 30年我们都在使用类 似上图的画面，设置硬件参数。不用说，BIOS已经变得日益不适用了。1998 年，In tel 牵头,联合 AMD AMI、Apple、Dell、HP IBM > Lenovo、Microsoft禾口 Phoenix等业界主要厂商)开始制定新一代BIOS这个项目叫做"统一的可扩展固定接口 ”( Unified Extensible Firmware In terface ),简称UE

4、FI。2005年推出1.1版，目前是2.3版。新型UEFI,全称“统一的可扩展固件接口”( Unified ExtensibleFirmware In terface),是一种详细描述全新类型接口的标准。这种接 口用于操作系统自动从预启动的操作环境，加载到一种操作系统上，从 而使开机程 序化繁为简，节省时间。从2012年9月以来，电脑运行的已经不是BIOS,而是UEFI BIOS等它运行结束，再载入操作系统。微软强行部署 Secure BootUEFI 是一个很先进的、面向未来的规格。但是很长时间内无法推广，原因就是微软公司不积极。Windows 操作系统是桌面市场的主流系统，如果它不推广 U

5、EFI ， 就 没有硬件厂商会跟进。所以，普通消费者对这个新规格所知甚少。意想不到的变化，出现在2011 年 9 月，微软毫无预兆地突然宣 布，Windows 8 将启用 UEFI 。这本来是一件好事。但是，问题是微软感兴趣的不是整个 UEFI ，而是 UEFI 的一个子规格Secure Boot 。它要强行部署Secure Boot 。Device JDrlootHanauArBoot:KD i sab Ic-d 1Enob Led(LeucylSecure BootSecure Boot只是UEFI的一个部分。两者的关系是局部与整体的关系。Secure Boot的目的，是防止恶意软件侵入。

6、它的做法就是采用密钥。UEFI规定，主板出厂的时候，可以内置一些可靠的公钥。然后， 任何 想要在这块主板上加载的 操作系统或者硬件驱动程序，都必须通过这些公钥的认证。也就是说，这些软件必须用对应的私钥签署过，否则主板拒绝加载。由于恶意软件不可能通过认证，因此就没有办法感染 Boot。这个设想是好的。但是，UEFI没规定哪些公钥是可靠的，也没规定谁负责颁发这些公钥，都留给硬件厂商自己决定。现在，微软就是要求，主板厂商内置 Windows 8的公钥。 Win dows 8/Win dows8.1首先明确）在不打开 Secure Boot的情况下）Windows 8/8.1可以安装。这与安装以前版本

7、的 Win dows没有差别但是，微软规定，所有预装 Windows8的厂商（即OEM厂商）都必须打开Secure Boot。因此，消费者购买一台预装 Windows 8的台式机或笔记本，想要在上面再安装其他操作系统（包括以前版本的Windows是不可能的）除非关闭Secure Boot）或者其他操作系统能够通过 Windows 8/8.1公钥的认证如果选择关闭 Secure Root ,那么预装的 Windows 8/8.1将无法使用，需要重新安装。对Linux的影响Secure Boot规格的本意是，让操作系统厂商自行选择公钥，通 过认 证。但是实际上，只有微软公司才有能力，让主板厂商内置

8、它的公钥，其他公司都不具备这种能力。根据微软针对OEMT商的一则规定，Windows8要求PC电脑采用UEFI （统一可扩展固件接口），这个接口将会替代PC机诞生以来历史悠久的BIOS固件设置。关于UEFI这个标准接口，是支持 Windows、Linux和OS X操作系统的，只是微软要求预装 Windows 8的PC电脑需要 支持安全性启动机制，启动过程中涉及到的软件 /固件都必须打上CA数字 签名，这样，对于Linux这种开源的无签名的系统就会直接阻止。因此，如果要在打开 Secure Boot的主板上安装Linux系统，这个 系统就必须通过Windows 8的认证。弓前，微软公司把 Win

9、8的数字签名外包给了 Verisign。操作系 统厂商想要通过认证，就必须花99 美元，向 Verisign 买一张数字证书， 嵌入自家的操作系统。最新动态是， Linux 的各个发行版之中， Ubuntu 已经购买了数字证书， Fedora 和 SUSE 十划购买，其他发行版还没做出决定。因此，在预装 Windows8 的电脑上安装 Linux （或其他操作系统）的最佳做法，就是进入BIOS,关闭Secure Boot。但是，这意味着你花钱买来的 Windows 8 将无法使用。目前看上去， Linux 购买 Windows8 的数字证书，是眼下唯一可行的相对容易的解决方法。但是，这种做法不

10、可接受。首先，系统的公钥被微软控制，后果难以预料。如果微软决定更换和废 除这个公钥， Linux 就要被迫跟进。其次， Linux 的启动管理器Grub 是 GPL 许可证，该许可证（第三版）明 文禁止软件使用密钥配合硬件阻止一部分用户的使用，因此要改用非GPL 许可证的启动管理器。再次，只有几个较大的 Linux 发行版才有能力购买数字证书， 较小的发行版和用户自己定制的版本最终还是需要有自己的公钥。总结Secure Boot 的用意是保证系统安全，但现在似乎成了厂商保护 市场垄断、阻碍竞争一种手段。除了微软公司，苹果公司也有这种倾向。在新一代的 iPhone 和iPad 上面安装其他操作系统，似乎是不可能的。 （ 不过一旦 iPhone 和iPad 上面安能装其他操作系统，估计苹果就不是今天这个样子了， 苹果 玩的就是封闭！其实垄断也是有好处的！ ）自由软件基金