1、UEFI、BIOS 、 Secure Boot的關(guān)系從 Windows 8 操作系統(tǒng)時(shí)代開始 ，安裝操作系統(tǒng)的方法也有了很大的改變 ，Windows 8 采用了 Secure Boot 引導(dǎo)啟動(dòng)的方式 ，而不是過去 Win XP 和 Win 7 的 Legacy 啟動(dòng)方式 ，從而導(dǎo)致的問題是所有預(yù)裝 Windows 8/8.1 系統(tǒng)的筆記本要安裝 Win7 的話必須修改 BIOS，給很多想更換操作系統(tǒng)的用戶增加了一點(diǎn)小難度 。那么什么是 Secure Boot 呢？它和 Windows 8 還有 UEFI 啟動(dòng)有什么關(guān)系呢 ！接下來我們就來介紹下 Secure Boot 、UEFI、 BIOS

2、 相關(guān)知識(shí)和各自之間的關(guān)系 。（ 對(duì)于 Secure Boot 啟動(dòng)方式和 egacy 啟動(dòng)方式的差別，可以參考這篇文章 UEFI 啟動(dòng)和 Legacy 啟動(dòng)的差別 ）BIOS 和 UEFI所有電腦啟動(dòng)的時(shí)候 ，都會(huì)運(yùn)行 BIOS 程序，用于初始化硬件 。BIOS 是英文 Basic Input Output System 的縮略語(yǔ) ，直譯過來后中文名稱就是 基本輸入輸出系統(tǒng) 。其實(shí) ，它是一組固化到計(jì)算機(jī)內(nèi)主板上一個(gè) ROM 芯片上的程序 ，它保存著計(jì)算機(jī)最重 要的基本輸入輸出的程序 、系統(tǒng)設(shè)置信息 、開機(jī)后自檢程序和系統(tǒng)自啟動(dòng)程序 。 其主要功能是為計(jì)算機(jī)提供最底層的 、最直接的硬件設(shè)置和

3、控制 。自從個(gè)人電腦誕生后 ，就一直如此 。過去 30 年我們都在使用類似上圖的畫面 ，設(shè)置硬件參數(shù) 。不用說 ，BIOS 已經(jīng)變得日益不適用了 。1998 年，Intel 牽頭，聯(lián)合 AMD 、AMI 、Apple 、Dell 、HP、 IBM 、Lenovo 、Microsoft 和 Phoenix 等業(yè)界主要廠商 ，開始 制定新一代 BIOS。這個(gè)項(xiàng)目叫做 統(tǒng)一的可擴(kuò)展固定接口 （ UnifiedExtensible Firmware Interface ），簡(jiǎn)稱 UEFI。 2005 年推出 1.1 版，目前是 2.3 版。新型 UEFI，全稱 “統(tǒng)一的可擴(kuò)展固件接口 ”(Unifie

4、d Extensible Firmware Interface) ， 是一種詳細(xì)描述全新類型接口的標(biāo)準(zhǔn) 。這種接口用于操作系統(tǒng)自動(dòng)從預(yù)啟動(dòng)的操作環(huán)境 ，加載到一種操作系統(tǒng)上 ，從而使開機(jī)程序化繁為簡(jiǎn) ，節(jié)省時(shí)間 。從 2012 年 9 月以來，電腦運(yùn)行的已經(jīng)不是BIOS，而是UEFIBIOS。等它運(yùn)行結(jié)束 ，再載入操作系統(tǒng) 。微軟強(qiáng)行部署Secure BootUEFI 是一個(gè)很先進(jìn)的 、面向未來的規(guī)格 。 但是很長(zhǎng)時(shí)間內(nèi)無(wú)法推廣，原因就是微軟公司不積極 。Windows 操作系統(tǒng)是桌面市場(chǎng)的主流系統(tǒng) ，如果它不推廣 UEFI，就沒有硬件廠商會(huì)跟進(jìn) 。 所以，普通消費(fèi)者對(duì)這個(gè)新規(guī)格所知甚少 。意

5、想不到的變化 ，出現(xiàn)在 2011 年 9 月，微軟毫無(wú)預(yù)兆地突然宣布，Windows 8 將啟用 UEFI。這本來是一件好事 。但是 ，問題是微軟感興趣的不是整個(gè) UEFI，而是 UEFI 的一個(gè)子規(guī)格 Secure Boot 。 它要強(qiáng)行部署 Secure Boot 。Secure BootSecure Boot 只是 UEFI 的一個(gè)部分 。兩者的關(guān)系是局部與整體的關(guān)系。Secure Boot 的目的，是防止惡意軟件侵入 。它的做法就是采用密鑰。UEFI 規(guī)定，主板出廠的時(shí)候 ，可以內(nèi)置一些可靠的公鑰 。然后 ，任何想要在這塊主板上加載的 操作系統(tǒng)或者硬件驅(qū)動(dòng)程序 ，都必須通過這些公鑰的認(rèn)

6、證 。也就是說 ，這些軟件必須用對(duì)應(yīng)的私鑰簽署過 ，否則主板拒絕加載 。由于惡意軟件不可能通過認(rèn)證 ，因此 就沒有辦法感染 Boot 。這個(gè)設(shè)想是好的 。但是，UEFI 沒規(guī)定哪些公鑰是可靠的 ，也沒規(guī)定誰(shuí)負(fù)責(zé)頒發(fā)這些公鑰 ，都留給硬件廠商自己決定 ?，F(xiàn)在，微軟就是要求，主板廠商內(nèi)置 Windows 8 的公鑰 。Windows 8/Windows8.1首先明確 ，在不打開 Secure Boot 的情況下 ，Windows 8/8.1可以安裝 。這與安裝以前版本的Windows 沒有差別 。但是，微軟規(guī)定 ，所有預(yù)裝 Windows 8 的廠商（即 OEM 廠商）都必須打開 Secure B

7、oot 。因此 ，消費(fèi)者購(gòu)買一臺(tái)預(yù)裝 Windows 8 的臺(tái)式機(jī)或筆記本 ，想要在上面再安裝其他操作系統(tǒng) （包括以前版本的 Windows ）是不可能的 ，除非關(guān)閉 Secure Boot ，或者其他操作系統(tǒng)能夠通過 Windows 8/8.1 公鑰的認(rèn)證 。如果選擇關(guān)閉 Secure Root ，那么預(yù)裝的 Windows 8/8.1 將無(wú)法使用，需要重新安裝 。對(duì) Linux 的影響Secure Boot 規(guī)格的本意是 ，讓操作系統(tǒng)廠商自行選擇公鑰 ，通過認(rèn)證。但是實(shí)際上 ，只有微軟公司才有能力 ，讓主板廠商內(nèi)置它的公鑰，其他公司都不具備這種能力 。根據(jù)微軟針對(duì)OEM 廠商的一則規(guī)定 ，

8、Windows 8要求 PC 電腦采用 UEFI（統(tǒng)一可擴(kuò)展固件接口 ），這個(gè)接口將會(huì)替代 PC 機(jī)誕生以來歷史悠久的 BIOS 固件設(shè)置 。關(guān)于 UEFI 這個(gè)標(biāo)準(zhǔn)接口 ，是支持Windows 、Linux 和 OS X 操作系統(tǒng)的 ，只是微軟要求預(yù)裝 Windows 8 的 PC 電腦需要支持安全性啟動(dòng)機(jī)制 ，啟動(dòng)過程中涉及到的軟件 / 固件都必須打上 CA 數(shù)字簽名 ，這樣，對(duì)于 Linux 這種開源的無(wú)簽名的系統(tǒng)就會(huì)直接阻止 。因此，如果要在打開Secure Boot 的主板上安裝Linux 系統(tǒng)，這個(gè)系統(tǒng)就必須通過Windows 8的認(rèn)證。目前，微軟公司把 Win8 的數(shù)字簽名外包給

9、了 Verisign 。操作系統(tǒng)廠商想要通過認(rèn)證 ，就必須花 99 美元，向 Verisign 買一張數(shù)字證書 ，嵌入自家的操作系統(tǒng) 。最新動(dòng)態(tài)是 ， Linux 的各個(gè)發(fā)行版之中 ， Ubuntu 已經(jīng)購(gòu)買了數(shù)字證書，F(xiàn)edora 和 SUSE計(jì)劃購(gòu)買 ，其他發(fā)行版還沒做出決定 。因此，在預(yù)裝 Windows 8 的電腦上安裝 Linux （或其他操作系統(tǒng) ）的最佳做法 ，就是進(jìn)入 BIOS，關(guān)閉 Secure Boot 。 但是，這意味著你花錢買來的 Windows 8 將無(wú)法使用 。目前看上去 ， Linux 購(gòu)買 Windows8 的數(shù)字證書 ，是眼下唯一可行的相對(duì)容易的解決方法 。

10、但是，這種做法不可接受 。首先，系統(tǒng)的公鑰被微軟控制 ，后果難以預(yù)料 。如果微軟決定更換和廢除這個(gè)公鑰 ， Linux 就要被迫跟進(jìn) 。其次， Linux 的啟動(dòng)管理器Grub 是 GPL 許可證，該許可證 （第三版 ）明文禁止軟件使用密鑰配合硬件阻止一部分用戶的使用 ，因此要改用非 GPL 許可證的啟動(dòng)管理器 。再次，只有幾個(gè)較大的Linux 發(fā)行版才有能力購(gòu)買數(shù)字證書，較小的發(fā)行版和用戶自己定制的版本最終還是需要有自己的公鑰?？偨Y(jié)Secure Boot 的用意是保證系統(tǒng)安全，但現(xiàn)在似乎成了廠商保護(hù)市場(chǎng)壟斷、阻礙競(jìng)爭(zhēng)一種手段 。除了微軟公司 ，蘋果公司也有這種傾向 。在新一代的 iPhone 和 iPad 上面安裝其他操作系統(tǒng) ，似乎是不可能的 。(不過一旦 iPhone 和 iPad 上面安能裝其他操作系統(tǒng) ，估計(jì)蘋果就不是今天這個(gè)樣子了 ，蘋果玩的就是封閉 ！其實(shí)壟斷也是有好處的 ！)自由軟件基金會(huì)呼