Windows 8 的安全启动功能是何原理,对 Linux 来说意味着什么

无论你是否在使用 Windows 8,以后大家购买的新电脑默认都会启用微软正在推行的安全启动(Secure Boot)功能。安全启动功能可以防止在电脑启动过程中加载“未经授权”的操作系统和软件。

“安全启动”是 UEFI 提供的功能,UEFI 主要是为了取代传统的计算机 BIOS – 但微软针对 x86(Intel)与 ARM PC 实施了不同的规范。任何带有 Windows 8 徽标贴纸的计算机都已经启用了安全启动功能。

安全收益

传统的 BIOS 可以引导任何软件。通常,BIOS 可以引导到 Windows 启动加载器,或者 Linux 启动加载器,例如 GRUB。然而某些恶意软件,例如 Rootkit 有可能替换你的启动加载器。Rootkit 可以照常加载操作系统,完全不会表现出任何异常,保持彻底的隐形,并且在操作系统中根本无法察觉。BIOS 并不知道恶意软件和可信赖的启动加载器之间有何区别,因此会直接引导不加干涉。

Windows 8 PC 在出厂时在 UEFI 中包含了微软的证书(此外还可能包括其他证书,这主要取决于具体制造商)。UEFI 会在开始加载之前对启动加载器进行检查,确保加载器具备微软的签名 – 如果 Rootkit 或其他恶意程序替代了启动加载器,UEFI 将拒绝启动。这样即可预防恶意软件劫持系统的启动过程,并将自己隐藏在操作系统底层。

有关安全启动功能工作原理的更多技术信息,请参阅微软针对该功能的介绍

你可以控制什么

如果安全启动功能这样工作,你将无法在计算机上运行任何非微软操作系统。好在你可以在 UEFI 中对安全启动功能进行设置(就像以往设置 BIOS 选项一样)。你可以彻底禁用安全启动功能,或者添加额外的证书。甚至还可以删除微软的证书 – 删除微软的证书,添加自己的证书,随后你的计算机就只能引导你自己签名过的启动加载器。

在 UEFI 配置程序中对安全启动功能进行设置

安装 Linux

其实计算机在出厂时还可以包含 Ubuntu 的证书。各种 Linux 发行版也可以发布自己的证书,并建议用户安装 – 或者建议用户彻底禁用安全启动功能。Fedora 愿意花费 99 美元购买微软的签名服务,因此 Fedora 无需任何额外配置即可安装到任何通过 Windows 8 认证的计算机上。其他 Linux 发行版也可以这样做。

有关不同 Linux 发行版具体情况的详情,请参阅 Fedora 开发人员的这篇文章

【译注:原文引用了 Fedora 开发人员的文章,但在原文发布后,引用的这篇文章有更新,澄清了一些问题:99 美元是支付给 Verisign 的,用于购买证书使用,并且一次付款无限制使用】

x86 vs. ARM

坏消息来了:上文介绍的有关对安全启动功能进行控制,以及安装自己的操作系统的所有信息都只适用于运行了标准 Windows 8 操作系统的 x86(Intel)Windows PC 和平板。

还有很多运行 Windows RT 的 ARM 架构计算机 – 这类设备最初只有少量平板,但很快我们将看到 ARM 架构的 Windows 笔记本甚至台式机。除了在传统 Windows 桌面无法支持第三方应用,并且 Metro 应用也非常有限外,ARM 架构的 Windows RT 计算机启动加载器还会被锁定。你将无法禁用安全启动功能并安装自己的操作系统 – 微软强制要求所有预装 Windows RT 的 ARM 设备不能禁用安全启动功能。微软希望你将 ARM 架构的 Windows RT 系统看作一种“设备”,而非计算机。Microsoft 告诉 Mozilla 说 Windows RT “已经不再是 Windows 了”。

好消息是,安全启动功能可以让每个人在 Intel 架构的计算机上获得更安全的环境 – 就算 Linux 用户也是如此。坏消息是安全启动功能会将 ARM 设备彻底锁定。

这是一篇翻译文章,原文在这里

分享:

发表评论

电子邮件地址不会被公开。 必填项已用*标注

发表评论前,先做个简单的数学题吧: * Time limit is exhausted. Please reload CAPTCHA.