上周，2012年將近結(jié)束的時(shí)候，自由軟件基金會(huì)（FSF）發(fā)出呼吁，要求人們繼續(xù)支持反Secure Boot壟斷，希望簽名者能達(dá)到5萬(wàn)人（目前是4萬(wàn)）。我覺(jué)得，這個(gè)呼吁很重要。如果我們不支持，未來(lái)就無(wú)法自由地使用硬件、安裝自己想要的軟件。

　　這絕非危言聳聽(tīng)。而且，由于這個(gè)事件直接與Windows 8操作系統(tǒng)有關(guān)，因此意味著一切已經(jīng)迫在眉睫了。

　　下面，我根據(jù)自己的理解，談?wù)勥@到底怎么回事。如果你是一個(gè)Linux愛(ài)好者，或者喜歡自己安裝操作系統(tǒng)，下面的內(nèi)容與你直接相關(guān)。

1、BIOS和UEFI

　　所有電腦啟動(dòng)的時(shí)候，都會(huì)運(yùn)行BIOS程序，用于初始化硬件。

　　自從個(gè)人電腦誕生后，就一直如此。過(guò)去30年我們都在使用類似上圖的畫(huà)面，設(shè)置硬件參數(shù)。不用說(shuō)，BIOS已經(jīng)變得日益不適用了。

　　1998年，Intel牽頭，聯(lián)合AMD、AMI、Apple、Dell、HP、IBM、Lenovo、Microsoft和Phoenix等業(yè)界主要廠商，開(kāi)始制定新一代BIOS。這個(gè)項(xiàng)目叫做"統(tǒng)一的可擴(kuò)展固定接口"（Unified Extensible Firmware Interface），簡(jiǎn)稱UEFI。2005年推出1.1版，目前是2.3版。

　　將來(lái)一開(kāi)機(jī)，電腦運(yùn)行的將不是BIOS，而是UEFI BIOS。等它運(yùn)行結(jié)束，再載入操作系統(tǒng)。

　　2、微軟的態(tài)度

　　UEFI是一個(gè)很先進(jìn)的、面向未來(lái)的規(guī)格。但是很長(zhǎng)時(shí)間內(nèi)無(wú)法推廣，原因就是微軟公司不支持。

　　Windows操作系統(tǒng)是桌面市場(chǎng)的主流系統(tǒng)，如果它不部署UEFI代碼，就沒(méi)有硬件廠商會(huì)跟進(jìn)。所以，普通消費(fèi)者對(duì)這個(gè)新規(guī)格所知甚少。

　　意想不到的變化，出現(xiàn)在2011年9月，微軟毫無(wú)預(yù)兆地突然宣布，Windows 8將支持UEFI。

　　這本來(lái)是一件好事。但是，問(wèn)題是微軟感興趣的不是整個(gè)UEFI，而是UEFI的一個(gè)子規(guī)格Secure Boot。它要強(qiáng)行部署Secure Boot。

　　3、Secure Boot

　　Secure Boot只是UEFI的一個(gè)部分。兩者的關(guān)系是局部與整體的關(guān)系。

　　Secure Boot的目的，是防止惡意軟件侵入。它的做法就是采用密鑰。UEFI規(guī)定，主板出廠的時(shí)候，可以內(nèi)置一些可靠的公鑰。然后，任何想要在這塊主板上加載的操作系統(tǒng)或者硬件驅(qū)動(dòng)程序，都必須通過(guò)這些公鑰的認(rèn)證。也就是說(shuō)，這些軟件必須用對(duì)應(yīng)的私鑰簽署過(guò)，否則主板拒絕加載。由于惡意軟件不可能通過(guò)認(rèn)證，因此就沒(méi)有辦法感染Boot。

　　這個(gè)設(shè)想是好的。但是，UEFI沒(méi)規(guī)定哪些公鑰是可靠的，也沒(méi)規(guī)定誰(shuí)負(fù)責(zé)頒發(fā)這些公鑰，都留給硬件廠商自己決定。

　　現(xiàn)在，微軟就是要求，主板廠商內(nèi)置Windows 8的公鑰。

　　4、Windows 8

　　首先明確，在不打開(kāi)Secure Boot的情況下，Windows 8可以安裝。這與安裝以前版本的Windows沒(méi)有差別。

　　但是，微軟規(guī)定，所有預(yù)裝Windows 8的廠商（即OEM廠商）都必須打開(kāi)Secure Boot。因此，消費(fèi)者購(gòu)買一臺(tái)預(yù)裝Windows 8的臺(tái)式機(jī)或筆記本，想要在上面再安裝其他操作系統(tǒng)（包括以前版本的Windows）是不可能的，除非關(guān)閉Secure Boot，或者其他操作系統(tǒng)能夠通過(guò)Windows 8公鑰的認(rèn)證。

　　如果選擇關(guān)閉Secure Root，那么預(yù)裝的Windows 8將無(wú)法使用，需要重新安裝。#p#

　　5、實(shí)例：微星主板

　　ITwire的記者Sam Varghese，做了一個(gè)實(shí)驗(yàn)，想了解在打開(kāi)Secure Boot的主板上，如何安裝操作系統(tǒng)。

　　實(shí)驗(yàn)對(duì)象是微星公司Z77A-G41主板。它帶有Secure Boot功能，默認(rèn)是關(guān)閉的。

　　第一步，開(kāi)機(jī)后按Delete鍵，進(jìn)入BIOS，選擇Windows 8 Configration選項(xiàng)。

　　第二步，選擇最后一個(gè)Secure Boot選項(xiàng)。

　　第三步，打開(kāi)（Enabled）Secure Boot功能，然后選擇最后一個(gè)Key Management（密鑰管理）選項(xiàng)。

　　第四步，輸入廠商提供的公鑰，也就是Windows 8的公鑰（目前，任何其他操作系統(tǒng)都沒(méi)有這類公鑰。）

　　第五類，安裝Windows 8之后，在命令行界面輸入confirm-securebootuefi命令，結(jié)果為true，表示secureboot功能打開(kāi)。

　　根據(jù)Sam Varghese測(cè)試，打開(kāi)Secure Boot之后，再安裝其他操作系統(tǒng)（包括以前版本的Windows），全部被主板拒絕。

　　6、對(duì)Linux的影響

　　Secure Boot規(guī)格的本意是，讓操作系統(tǒng)廠商自行選擇公鑰，通過(guò)認(rèn)證。但是實(shí)際上，只有微軟公司才有能力，讓主板廠商內(nèi)置它的公鑰，其他公司都不具備這種能力。

　　因此，如果要在打開(kāi)Secure Boot的主板上安裝Linux系統(tǒng)，這個(gè)系統(tǒng)就必須通過(guò)Windows 8的認(rèn)證。

　　目前，微軟公司把Windows 8的私鑰委托給Verisign，頒發(fā)認(rèn)證。操作系統(tǒng)廠商想要通過(guò)認(rèn)證，就必須花99美元，向Verisign買一張數(shù)字證書(shū)，嵌入自家的操作系統(tǒng)。

　　最新動(dòng)態(tài)是，Linux的各個(gè)發(fā)行版之中，Ubuntu已經(jīng)購(gòu)買了數(shù)字證書(shū)，F(xiàn)edora和SUSE計(jì)劃購(gòu)買，其他發(fā)行版還沒(méi)做出決定。

　　因此，在預(yù)裝Windows 8的電腦上安裝Linux（或其他操作系統(tǒng)）的最佳做法，就是進(jìn)入BIOS，關(guān)閉Secure Boot。但是，這意味著你花錢買來(lái)的Windows 8將無(wú)法使用，而且對(duì)于普通用戶，這種操作有一定難度。

　　7、為什么Windows 8的公鑰不可接受？

　　目前看上去，Linux購(gòu)買Windows 8的數(shù)字證書(shū)，是眼下唯一可行的相對(duì)容易的解決方法。但是，這種做法不可接受。

　　首先，系統(tǒng)的公鑰被微軟控制，后果難以預(yù)料。如果微軟決定更換和廢除這個(gè)公鑰，Linux就要被迫跟進(jìn)。

　　其次，Linux的啟動(dòng)管理器Grub是GPL許可證，該許可證（第三版）明文禁止軟件附帶非GPL許可證下的密鑰，因此要改用非GPL許可證的啟動(dòng)管理器。

　　再次，只有幾個(gè)較大的Linux發(fā)行版才有能力購(gòu)買數(shù)字證書(shū)，較小的發(fā)行版和用戶自己定制的版本最終還是需要有自己的公鑰。

　　8、關(guān)于移動(dòng)設(shè)備

　　Secure Boot對(duì)移動(dòng)設(shè)備的影響，比PC還要嚴(yán)重。

　　微軟明確規(guī)定，所有PC主板必須帶有關(guān)閉Secure Boot的選項(xiàng)。這不是因?yàn)槲④浀纳埔猓且驗(yàn)槿绻贿@樣做，它一定會(huì)遭到反壟斷起訴。

　　但是，在移動(dòng)設(shè)備領(lǐng)域，微軟不占優(yōu)勢(shì)，所以它就沒(méi)有顧慮，規(guī)定所有安裝Windows的移動(dòng)設(shè)備的Secure Boot必須打開(kāi)，而且沒(méi)有關(guān)閉選項(xiàng)。

　　微軟的平板電腦Surface RT就是一個(gè)最好的例子。它的Secure Boot是打開(kāi)的，沒(méi)法關(guān)閉，而且微軟用了一個(gè)不同于桌面電腦Windows 8操作系統(tǒng)的公鑰，且不提供獲得數(shù)字證書(shū)的途徑。因此理論上，用戶不可能在Surface RT上安裝其他操作系統(tǒng)。

　　還有報(bào)道稱，使用Windows Phone 8操作系統(tǒng)的智能手機(jī)也將采用這種做法。那么，用戶也就不可能在Windows Phone上安裝其他操作系統(tǒng)了。

　　9、結(jié)語(yǔ)

　　Secure Boot的本來(lái)用意是保證系統(tǒng)安全，但現(xiàn)在似乎成了廠商保護(hù)市場(chǎng)壟斷、阻礙競(jìng)爭(zhēng)一種手段。

　　除了微軟公司，蘋(píng)果公司也有這種傾向。在新一代的iPhone和iPad上面安裝其他操作系統(tǒng)，似乎是不可能的。

　　自由軟件基金會(huì)呼吁反Secure Boot壟斷，就是基于這種考慮：用戶應(yīng)該擁有硬件和軟件的使用自由，操作系統(tǒng)應(yīng)該是開(kāi)放的，而不是封閉的。

　　作為一種規(guī)格，自由軟件基金會(huì)并不反對(duì)Secure Boot，它只是要求硬件廠商提供便利，使得用戶可以更容易地安裝和管理公鑰，從而使用硬件平臺(tái)對(duì)所有操作系統(tǒng)（以及設(shè)備驅(qū)動(dòng)）保持開(kāi)放。

　　我認(rèn)為，這是完全合理的要求，對(duì)于保證用戶的自由和業(yè)界的健康生態(tài)極為重要。讓我們一起支持這個(gè)行動(dòng)（簽名和捐助），密切關(guān)注事態(tài)下一步的發(fā)展。