反Secure Boot垄断：兼谈如何在Windows 8电脑上安装

一、自由软件基金会的呼吁

上周，2012年将近结束的时候，自由软件基金会（FSF）发出呼吁，要求人们继续支持反Secure Boot垄断，希望签名者能达到5万人（目前是4万）。

我觉得，这个呼吁很重要。如果我们不支持，未来就无法自由地使用硬件、安装自己想要的软件。

这绝非危言耸听。而且，由于这个事件直接与Windows 8操作系统有关，因此意味着一切已经迫在眉睫了。

下面，我根据自己的理解，谈谈这到底怎么回事。如果你是一个Linux爱好者，或者喜欢自己安装操作系统，下面的内容与你直接相关。

二、BIOS和UEFI

所有电脑启动的时候，都会运行BIOS程序，用于初始化硬件。

将来一开机，电脑运行的将不是BIOS，而是UEFI BIOS。等它运行结束，再载入操作系统。

三、微软的态度

UEFI是一个很先进的、面向未来的规格。但是很长时间内无法推广，原因就是微软公司不积极。

Windows操作系统是桌面市场的主流系统，如果它不推广UEFI，就没有硬件厂商会跟进。所以，普通消费者对这个新规格所知甚少。

意想不到的变化，出现在2011年9月，微软毫无预兆地突然宣布，Windows 8将启用UEFI。

第二步，选择最后一个Secure Boot选项。

第四步，输入厂商提供的公钥，也就是Windows 8的公钥（目前，任何其他操作系统都没有这类公钥。）

根据Sam Varghese测试，打开Secure Boot之后，再安装其他操作系统（包括以前版本的Windows），全部被主板拒绝。

七、对Linux的影响

Secure Boot规格的本意是，让操作系统厂商自行选择公钥，通过认证。但是实际上，只有微软公司才有能力，让主板厂商内置它的公钥，其他公司都不具备这种能力。

因此，如果要在打开Secure Boot的主板上安装Linux系统，这个系统就必须通过Windows 8的认证。

目前，微软公司把Windows 8的数字签名外包给了Verisign。操作系统厂商想要通过认证，就必须花99美元，向Verisign买一张数字证书，嵌入自家的操作系统。

最新动态是，Linux的各个发行版之中，Ubuntu已经购买了数字证书，Fedora和SUSE计划购买，其他发行版还没做出决定。

因此，在预装Windows 8的电脑上安装Linux（或其他操作系统）的最佳做法，就是进入BIOS，关闭Secure Boot。但是，这意味着你花钱买来的Windows 8将无法使用。

八、为什么Windows 8的公钥不可接受strong>

目前看上去，Linux购买Windows 8的数字证书，是眼下唯一可行的相对容易的解决方法。但是，这种做法不可接受。

首先，系统的公钥被微软控制，后果难以预料。如果微软决定更换和废除这个公钥，Linux就要被迫跟进。

其次，Linux的启动管理器Grub是GPL许可证，该许可证（第三版）明文禁止软件使用密钥配合硬件阻止一部分用户的使用，因此要改用非GPL许可证的启动管理器。

再次，只有几个较大的Linux发行版才有能力购买数字证书，较小的发行版和用户自己定制的版本最终还是需要有自己的公钥。

九、关于移动设备

Secure Boot对移动设备的影响，比PC还要严重。

微软明确规定，所有PC主板必须带有关闭Secure Boot的选项。这不是因为微软的善意，而是因为如果不这样做，它一定会遭到反垄断起诉。

但是，在移动设备领域，微软不占优势，所以它就没有顾虑，规定所有安装Windows的移动设备的Secure Boot必须打开，而且没有关闭选项。

微软的平板电脑Surface RT就是一个最好的例子。它的Secure Boot是打开的，没法关闭，而且微软用了一个不同于桌面电脑Windows 8操作系统的公钥，且不提供获得数字证书的途径。因此理论上，用户不可能在Surface RT上安装其他操作系统。