原帖地址:
http://linuxtoy.org/archives/fedora-18-might-supports-uefi-secure-boot.htmlFedora 18 可能支持 UEFI Secure BootMatthew Garrett 在博客上阐述了最近关于 Fedora 18 在 UEFI 支持方面的一些动向,表示 Fedora
有可能会采取支付 $99 的方式获得 UEFI Secure Boot 签名的第一阶段引导器,从而允许最终用户在不关闭 Secure Boot 的情况下引导。
今年下半年发布的 Win8 将要求 UEFI 中启用 Secure Boot 模式,届时带有的 Win8 认证徽标的硬件也将包含一组 M$ 密钥。这将给包括 Fedora 在内的所有
Linux 发行版的安装带来不小的麻烦。怎么办呢?
一个直接的解决方法是和硬件厂商协作在硬件中添加特定 Linux 发行版的密钥。这对于有 Red Hat 支持的 Fedora 来说并不是件难事,但是这样子做的话对其他没有长期硬件合作关系的发行版诸如 Arch、Gentoo、Mint 等是不公平的。同时由于难以让所有的硬件厂商都包含该密钥,又会无形的增加消费者选购 Linux 兼容硬件产品时的麻烦。
另一个方法是创建一个通用的 Linux 密钥。这意味着需要有一个可靠的组织掌管所有的 Linux 发行版密钥,并且对签名请求进行必要的审核工作。这花费巨大,在短期内也是不现实的。
第三个方案,尽管不理想,但在目前看来是可行的。M$ 将在它的
Sysdev Portal 上提供付费的签名服务。在支付给 Verisign $99 并审核通过之后,将使用 M$ 的公钥进行签名,不限次数,使得其可以在具备 M$ 密钥的设备上运行。Fedora 打算将利用此对一个
特制的初始阶段引导器进行签名,从而使得
最终用户无需进入 UEFI 做任何更改即可顺利引导并安装 Fedora 18。
这种便利,除了那 $99 以外,
还有其他代价的。
会被用来签名的
初始阶段引导器将设计的十分简单,仅仅用来链式引导真正的 GRBU2 引导器,从而避免每次引导器升级的都要找 M$ 机器签名的麻烦。不过由于 UEFI Secure Boot 的要求,
GRUB2 的动态加载和部分内核参数编辑功能将被禁用。
同样是由于 UEFI Secure Boot 的要求,所有可能会用到内核模块也需要签名。对于 Fedora 分发的内核树中模块自然是没有问题的,但是
对于像 AMD 和 NVIDIA 之类安装时动态编译内核模块的闭源显卡驱动来说则极为麻烦。
需要自己编译内核的用户,则不得不使用 Fedora 提供的工具和文档,生成自己的密钥并将其添加到 UEFI 固件中,然后
对编译的内核和引导器重新签名。若希望他人也能使用自定义的内核,则不得不像 Fedora 一样
花费 $99 使用 M$ 的签名服务。
另一方面,M$ 对于在 ARM 平台上 UEFI Secure Boot 策略没有改变,意味着
预装 Win8 ARM 的设备将不能关闭 Secure Boot 模式,也不能自己添加密钥。虽然理论上 Fedora 也可以像 X86 一样付费获得 ARM 版本的 M$ 签名认证,但是这样一个丝毫不允许内核级别自定义的 Fedora ARM 意义甚微,故放弃。
受不了这些限制和麻烦?没问题,
只要关闭 UEFI 的 Secure Boot 模式一切就和当下一样了,但这将意味着无法引导 Win8 系统,双启动成为过去时。
无论有没有世界末日,M$ 都会在 2012 年底逼迫最终用户在 Win8 和全功能的 Linux 系统之间“做一个艰难的决定”。
值得注意的是,
Fedora 的这项方案目前处于讨论阶段,尚不清楚 M$ 方面对此会有什么样的反应。
名为安全,实为垄断UEFI Secure Boot 带来这么多麻烦,那么它到底能起到什么作用呢?
它无法让您正在运行的系统更健壮,也无法抵御病毒对引导器的修改。它唯一能做的就是当机器的引导器已经被病毒修改之后,给出提醒并拒绝启动,避免可能带来的进一步损失。
没错,只有这些。没有办法恢复原先的引导器,没有办法动态加载任何杀毒或者数据挽救模块。或许届时您可以选择拨打 M$ 或厂商的客服获得解决方案,或者也可以选择购买必然会出现的某些经过 M$ 认证的特制修复引导盘。介于 $99 的存在,这些恐怕都不会是免费的。
难道这是 M$ 想要的效果?
- 场景:当 UEFI 提示引导器被修改,拒绝引导系统时,机器停滞在错误屏幕上,面对一切尝试修复的举动毫无反应……
- 用户:“我都不知道该用什么表情来面对了……”
- M$:“微笑就可以了。”
文明用语!!!!
或许,是时候考虑加入
Free Software 基金会发起的反对 Secure Boot 的签名活动了。
