反Secure Boot垄断:兼谈如何在Windows 8电脑上安装Linux

作者: 阮一峰

日期: 2013年1月 2日

珠峰培训

一、自由软件基金会的呼吁

上周,2012年将近结束的时候,自由软件基金会(FSF)发出呼吁,要求人们继续支持反Secure Boot垄断,希望签名者能达到5万人(目前是4万)。

我觉得,这个呼吁很重要。如果我们不支持,未来就无法自由地使用硬件、安装自己想要的软件。

这绝非危言耸听。而且,由于这个事件直接与Windows 8操作系统有关,因此意味着一切已经迫在眉睫了。

下面,我根据自己的理解,谈谈这到底怎么回事。如果你是一个Linux爱好者,或者喜欢自己安装操作系统,下面的内容与你直接相关。

二、BIOS和UEFI

所有电脑启动的时候,都会运行BIOS程序,用于初始化硬件。

自从个人电脑诞生后,就一直如此。过去30年我们都在使用类似上图的画面,设置硬件参数。不用说,BIOS已经变得日益不适用了。

1998年,Intel牵头,联合AMD、AMI、Apple、Dell、HP、IBM、Lenovo、Microsoft和Phoenix等业界主要厂商,开始制定新一代BIOS。这个项目叫做"统一的可扩展固定接口"(Unified Extensible Firmware Interface),简称UEFI。2005年推出1.1版,目前是2.3版。

将来一开机,电脑运行的将不是BIOS,而是UEFI BIOS。等它运行结束,再载入操作系统。

三、微软的态度

UEFI是一个很先进的、面向未来的规格。但是很长时间内无法推广,原因就是微软公司不积极。

Windows操作系统是桌面市场的主流系统,如果它不推广UEFI,就没有硬件厂商会跟进。所以,普通消费者对这个新规格所知甚少。

意想不到的变化,出现在2011年9月,微软毫无预兆地突然宣布,Windows 8将启用UEFI。

这本来是一件好事。但是,问题是微软感兴趣的不是整个UEFI,而是UEFI的一个子规格Secure Boot。它要强行部署Secure Boot。

四、Secure Boot

Secure Boot只是UEFI的一个部分。两者的关系是局部与整体的关系。

Secure Boot的目的,是防止恶意软件侵入。它的做法就是采用密钥。UEFI规定,主板出厂的时候,可以内置一些可靠的公钥。然后,任何想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软件必须用对应的私钥签署过,否则主板拒绝加载。由于恶意软件不可能通过认证,因此就没有办法感染Boot。

这个设想是好的。但是,UEFI没规定哪些公钥是可靠的,也没规定谁负责颁发这些公钥,都留给硬件厂商自己决定。

现在,微软就是要求,主板厂商内置Windows 8的公钥。

五、Windows 8

首先明确,在不打开Secure Boot的情况下,Windows 8可以安装。这与安装以前版本的Windows没有差别。

但是,微软规定,所有预装Windows 8的厂商(即OEM厂商)都必须打开Secure Boot。因此,消费者购买一台预装Windows 8的台式机或笔记本,想要在上面再安装其他操作系统(包括以前版本的Windows)是不可能的,除非关闭Secure Boot,或者其他操作系统能够通过Windows 8公钥的认证。

如果选择关闭Secure Root,那么预装的Windows 8将无法使用,需要重新安装。

六、实例:微星主板

ITwire的记者Sam Varghese,做了一个实验,想了解在打开Secure Boot的主板上,如何安装操作系统。

实验对象是微星公司Z77A-G41主板。它带有Secure Boot功能,默认是关闭的。

第一步,开机后按Delete键,进入BIOS,选择Windows 8 Configuration选项。

第二步,选择最后一个Secure Boot选项。

第三步,打开(Enabled)Secure Boot功能,然后选择最后一个Key Management(密钥管理)选项。

第四步,输入厂商提供的公钥,也就是Windows 8的公钥(目前,任何其他操作系统都没有这类公钥。)

第五类,安装Windows 8之后,在命令行界面输入confirm-securebootuefi命令,结果为true,表示secureboot功能打开。

根据Sam Varghese测试,打开Secure Boot之后,再安装其他操作系统(包括以前版本的Windows),全部被主板拒绝。

七、对Linux的影响

Secure Boot规格的本意是,让操作系统厂商自行选择公钥,通过认证。但是实际上,只有微软公司才有能力,让主板厂商内置它的公钥,其他公司都不具备这种能力。

因此,如果要在打开Secure Boot的主板上安装Linux系统,这个系统就必须通过Windows 8的认证。

目前,微软公司把Windows 8的数字签名外包给了Verisign。操作系统厂商想要通过认证,就必须花99美元,向Verisign买一张数字证书,嵌入自家的操作系统。

最新动态是,Linux的各个发行版之中,Ubuntu已经购买了数字证书,Fedora和SUSE计划购买,其他发行版还没做出决定。

因此,在预装Windows 8的电脑上安装Linux(或其他操作系统)的最佳做法,就是进入BIOS,关闭Secure Boot。但是,这意味着你花钱买来的Windows 8将无法使用。

八、为什么Windows 8的公钥不可接受?

目前看上去,Linux购买Windows 8的数字证书,是眼下唯一可行的相对容易的解决方法。但是,这种做法不可接受。

首先,系统的公钥被微软控制,后果难以预料。如果微软决定更换和废除这个公钥,Linux就要被迫跟进。

其次,Linux的启动管理器Grub是GPL许可证,该许可证(第三版)明文禁止软件使用密钥配合硬件阻止一部分用户的使用,因此要改用非GPL许可证的启动管理器。

再次,只有几个较大的Linux发行版才有能力购买数字证书,较小的发行版和用户自己定制的版本最终还是需要有自己的公钥。

九、关于移动设备

Secure Boot对移动设备的影响,比PC还要严重。

微软明确规定,所有PC主板必须带有关闭Secure Boot的选项。这不是因为微软的善意,而是因为如果不这样做,它一定会遭到反垄断起诉。

但是,在移动设备领域,微软不占优势,所以它就没有顾虑,规定所有安装Windows的移动设备的Secure Boot必须打开,而且没有关闭选项。

微软的平板电脑Surface RT就是一个最好的例子。它的Secure Boot是打开的,没法关闭,而且微软用了一个不同于桌面电脑Windows 8操作系统的公钥,且不提供获得数字证书的途径。因此理论上,用户不可能在Surface RT上安装其他操作系统。

还有报道称,使用Windows Phone 8操作系统的智能手机也将采用这种做法。那么,用户也就不可能在Windows Phone上安装其他操作系统了。

十、结束语

Secure Boot的本来用意是保证系统安全,但现在似乎成了厂商保护市场垄断、阻碍竞争一种手段。

除了微软公司,苹果公司也有这种倾向。在新一代的iPhone和iPad上面安装其他操作系统,似乎是不可能的。

自由软件基金会呼吁反Secure Boot垄断,就是基于这种考虑:用户应该拥有硬件和软件的使用自由,操作系统应该是开放的,而不是封闭的。

作为一种规格,自由软件基金会并不反对Secure Boot,它只是要求硬件厂商提供便利,使得用户可以更容易地安装和管理公钥,从而使用硬件平台对所有操作系统(以及设备驱动)保持开放。

我认为,这是完全合理的要求,对于保证用户的自由和业界的健康生态极为重要。让我们一起支持这个行动(签名捐助),密切关注事态下一步的发展。

(完)

一灯学堂

优达学城

留言(97条)

好像很多人在大谈特谈UEFI的Secure Boot对Linux安装的影响。但,拜托,不会关的是小白好不好。连这个都不会关的小白,我真的很怀疑他即使装上Linux桌面,又能坚持用几天?所以这担心在目前乃至较长时期都是杞人忧天好不好!

有趣的是,微软是为开源社区贡献最多代码的公司,我想这个 Windows 8 伤害自由软件权益应纯属误伤,不会是微软有意为之的。

引用想当年的发言:

有趣的是,微软是为开源社区贡献最多代码的公司,我想这个 Windows 8 伤害自由软件权益应纯属误伤,不会是微软有意为之的。

“微软是为开源社区贡献最多代码的公司”,很有趣的意淫

引用想当年的发言:

有趣的是,微软是为开源社区贡献最多代码的公司,我想这个 Windows 8 伤害自由软件权益应纯属误伤,不会是微软有意为之的。

CSDN上曾经提到过,我记得绝对不是萎软

引用ayanamist的发言:

好像很多人在大谈特谈UEFI的Secure Boot对Linux安装的影响。但,拜托,不会关的是小白好不好。连这个都不会关的小白,我真的很怀疑他即使装上Linux桌面,又能坚持用几天?所以这担心在目前乃至较长时期都是杞人忧天好不好!

因此,在预装Windows 8的电脑上安装Linux(或其他操作系统)的最佳做法,就是进入BIOS,关闭Secure Boot。但是,这意味着你花钱买来的Windows 8将无法使用。

在中国有盗版无所谓

几个疑问:1.windows 7就支持uefi,只是支持的版本号和8不一样。2.secure boot是uefi的组成部分,并不是微软逼着大家造出来的东西,它是种安全特性。微软也只是要求预装win8的电脑上必须打开它。其它主板上有这个功能并不是因为微软要求,而是它是uefi的组成部分。3.应该不存在微软把私钥委托给verisign这种事,verisign作为全球公认的根证书颁发机构,是互联网的基石,不是微软的代理商。verisign作为第三方,应该是微软向verisign申请证书,上面有verisign的签名。其它操作系统只要能有证书链完整的证书就可以了。另外,貌似redhat已经搞定这个问题了。4.gplv3貌似没有禁止什么非gpl许可证的密钥,因为不存在gpl许可密钥的问题,你把私钥开源看看。密钥作为一种数据,本身就不受gpl限制。5.由于公钥和私钥一一对应,所以应该不存在微软决定更换密钥,大家一起倒霉的事。6.wp上不能安装其他系统是很正常的事,能安装ubuntu的android机也没几台。以上的事,我没有完全考究,尤其是第三点。个人认为,只要oem厂商在uefi上留下给geek输入公钥的口子(就像文中演示的那样),那就尽到义务了。不是geek也没必要用linux。secure boot并不是微软一家的东西,而uefi是未来的主流,linux应该去主动支持uefi的每项功能。虽然大部分发行版都没钱去买证书。不能在随便哪台机子上装arch还是比较痛的。

引用想当年的发言:

有趣的是,微软是为开源社区贡献最多代码的公司,我想这个 Windows 8 伤害自由软件权益应纯属误伤,不会是微软有意为之的。

你说的是这篇报道吧:谁正在提供Linux内核代码?

报道里面已经写的很清楚,微软是因为自己的 Hyper-V 虚拟化架构迫不得已才提供的内核驱动。

嗯,Linux 是著名的大内核。

目前来说,Red Hat 和 Intel 才是 Linux 内核的最主要贡献者。

至于开源社区,FSF 的地位始终在那里。BSD 学院派和 Apache 基金会维持着开源生态圈的多样性。

iPad 和 Nexus 7 没开放 Linux 安装,Surface 同样是 ARM 架构的平板,不开放也正常啊。

引用wakey的发言:

个人认为,只要oem厂商在uefi上留下给geek输入公钥的口子(就像文中演示的那样),那就尽到义务了。不是geek也没必要用linux。secure boot并不是微软一家的东西,而uefi是未来的主流,linux应该去主动支持uefi的每项功能。虽然大部分发行版都没钱去买证书。不能在随便哪台机子上装arch还是比较痛的。

目前最恶心的是这一点,假如你购买的新笔记本或者台式机如果已经搭载了Windows 8,那么将无法安装其它系统,它并没有所说的留一个口子。

关闭secure boot将使Windows 8不能工作,需要重新安装一个新的Windows 8.

“微软明确规定,所有PC主板必须带有关闭Secure Boot的选项。”这样就没有违背那个签名了(manufacturers must either allow computer owners to disable the boot restrictions, or provide a sure-fire way for them to install and run a free software operating system of their choice)。我们不能要求微软:预装windows 8的机器在关闭Secure Boot的选项后还能使用win8。签名效果不大啊。。。

引用wakey的发言:

3.应该不存在微软把私钥委托给verisign这种事,verisign作为全球公认的根证书颁发机构,是互联网的基石,不是微软的代理商。verisign作为第三方,应该是微软向verisign申请证书,上面有verisign的签名。

我看到的报道原文是outsource,是我理解不确切,应该译成“外包”,已经改过来了。

引用wakey的发言:

4.gplv3貌似没有禁止什么非gpl许可证的密钥,因为不存在gpl许可密钥的问题,你把私钥开源看看。密钥作为一种数据,本身就不受gpl限制。

GPLv3禁止的是,硬件用密钥认证软件来阻止用户的使用,参见官方文档 http://www.gnu.org/licenses/gpl-faq.html#GiveUpKeys

我已经改过来了。


问题在 UEFI,如果硬性规定所有主板厂商必须内置导入公钥的选项,那么即使是一个普通的操作系统爱好者,都可以按照规范生成自己的密匙对,然后导入主板,那么也就没有必须和微软买签名的事了,别的厂商自然可以名正言顺的自己给自己签名,甚至不需要根证书机构。

不过 UEFI 论坛都是些硬件巨头加微软,设计时怕是就下了一盘大棋。

Secure Boot的问题听说很久了,一直不知道是什么回事。看了阮兄的介绍有了初步了解。

我覺得這對linux桌面distro長期發展是件好事。
而且覺得還是大好事。

因為OEM廠商此時應該會認真考慮推出不預裝windows的機器
而且微軟搞surface這樣傷感情的事,這對於各個OEM絕對是個驚醒。

對於小白用戶來說,安裝操作系統本身就是一件嚇人的工作了。而如果有預裝絕對會吸引一部分的人
現在linux各種distro很多都是因為硬件的不完全支持而讓用戶體驗下降

其實從長線來看我很支持UEFI Secure Boot。正所謂要戰就真正的拼,而不做二奶系統

引用寒霭的发言:

因此,在预装Windows 8的电脑上安装Linux(或其他操作系统)的最佳做法,就是进入BIOS,关闭Secure Boot。但是,这意味着你花钱买来的Windows 8将无法使用。

这里我没太懂。我没理解错的话:
【用Linux】==【关闭Secure Boot】==【不能用Windows 8】
【用Windows 8】==【打开Secure Boot】==【不能用Linux】
这有什么问题?虽然是花钱买来的Windows 8,不能用这也没啥关系吧,都用Linux做操作系统,为啥还需要Windows 8,这两个软件功能不是重叠的么?就算没有Secure Boot,你还是不可能同时开Linux和Windows 8吧。
难道有人想用双系统?只有极少数人用双系统吧,本来Linux系统就够难学了,为何还要学Windows 8。我们公司需要用Windows做测试的时候向来都是在虚拟机里面捣鼓,没人有闲情装个双系统。

引用ytj的发言:

难道有人想用双系统?只有极少数人用双系统吧,本来Linux系统就够难学了,为何还要学Windows 8。我们公司需要用Windows做测试的时候向来都是在虚拟机里面捣鼓,没人有闲情装个双系统。

我觉得有这么个小原因在里面,新上市的硬件对虚拟机的支持已经非常完善了,而且也不会有什么大的体验问题,所以微软觉得大家可以有第二种选择,对开启Secure Boot不会那么抗议。

@阮一峰,能否介绍一下Linux在微软引入Secure Boot之前对UEFI和Secure Boot的态度呢?这部分的缺失让大家对Linux的态度琢磨不透呀。

关键问题是自由的原则,而非具体的应对措施。

微软那个东西就是告诉大家,你买了我的硬件,就必须用我的软件。

我想说,在没有 secureboot 的主板上,也是可以装 win8 的。在有 secureboot 的主板(且打开了该功能的)也不是装不了 linux 。
现在 sabayon 已经可以通过安装新密钥的方式装在开启了 secureboot 的 uefi 主板上了,这个是不需要向微软购买证书的。只要这种方法推广开,很快,主流的 linux 发行版就都可以支持 secureboot 了。
具体可以参照这篇文章:
http://lxnay.wordpress.com/2013/01/02/uefi-and-uefi-secureboot-linux-is-the-nightmare-over/

引用ayanamist的发言:

好像很多人在大谈特谈UEFI的Secure Boot对Linux安装的影响。但,拜托,不会关的是小白好不好。连这个都不会关的小白,我真的很怀疑他即使装上Linux桌面,又能坚持用几天?所以这担心在目前乃至较长时期都是杞人忧天好不好!

这样的想法是不对的。
1. Linux 需要非技术用户。
2. 向微软够买证书是在助长闭源软件。

只有预装了win8的新笔记本并且装双系统才会有这个问题吧...何苦呢...现阶段关掉secure boot装linux一样没问题
所以其实不论有没有这个secure boot,买这本子的linux用户都得白白为预装的win8买单

写一篇关于win7开始就强制要求驱动程序签名吧

xp还能忽略警告,win7只能手工进入安全模式加载,微软变巨硬了

果然 raspberry 是对 linux 系统最友好的硬件,你想装 windows 都装不上了。。。
我觉得关键的问题还是产生在预装的系统几乎都是 windows 这一点上,应该推动法规让硬件出厂时可以有不装配套软件的自由。

博主也提到了苹果的iphone ipad不能安装其他操作系统,微软只不过是照葫芦画瓢罢了,为什么我们不谴责苹果,而只盯着微软呢?

所以 Linux 系是希望微软和苹果推广 UEFI 来享受好处的同时又希望关掉 Secure Boot ?
如果微软出于安全性考虑(哪怕只有一部分的原因)这样做没有什么不对吧?刚看到 Windows 8 被美国国防部采购的报道 , 那么微软这个所谓增强安全性的举动并非毫无道理可言.

微软只是要求打开 Secure Boot ,没说只能内置 Windows 的密钥吧?不去找 OEM 厂商,指责微软有意义么?
另外指责微软在 PC 上的垄断可以理解,指责 Surface 就有点说不过去了吧? 微软从软到硬都是自家的东西都必须要为 Linux 考虑?开源道德帝们是不是对他人要求过高了?

事实上解决办法不是没有,但是开源界坚守所谓的原则不去寻求解决方案而坐等微软大发善心么?最后受伤的还是用户.当 Windows 和 Linux 放在初学者面前,显然 Linux 更有可能被放弃.

引用pockry的发言:

博主也提到了苹果的iphone ipad不能安装其他操作系统,微软只不过是照葫芦画瓢罢了,为什么我们不谴责苹果,而只盯着微软呢?

移动平台不适合折腾,没那么多人关心是否能装其他系统。

引用Shiina Luce的发言:

所以其实不论有没有这个secure boot,买这本子的linux用户都得白白为预装的win8买单

最大的影响在于抑制 Linux 新用户的产生,而不是说对老用户有多大影响。

其实手机/苹果产品相当于都是锁了.
linux的主要问题是windows形成的惯性/缺少有竞争力的桌面环境/没有好用的程序.

linux不缺少桌面软件, 但是缺少精品, 往往是选择很多,但没有精品..

引用YangZhixuan的发言:

CSDN上曾经提到过,我记得绝对不是萎软

的确不是微软,是RedHat,微软确实贡献了不少代码,但是主要是用于兼容自家虚拟机,不如Azure上可能就没法跑Linux虚拟机了,所以我认为微软并没有对Linux进行实质性的帮助。PS:微软贡献的代码里某常量被故意取为0xB16B00B5,即BigBoobs。

引用ayanamist的发言:

好像很多人在大谈特谈UEFI的Secure Boot对Linux安装的影响。但,拜托,不会关的是小白好不好。连这个都不会关的小白,我真的很怀疑他即使装上Linux桌面,又能坚持用几天?所以这担心在目前乃至较长时期都是杞人忧天好不好!

它可能拒绝了一个想第一次尝试Linux的人。记得我第一次装的是ubuntu 7.04,默认无法解码mp3,山区又无网络,急死我了。

哎..linux总是装了又卸,卸了又装,总感觉不够用!

我觉得问题是,win8会不会火都是问题。

引用Cat Chen的发言:

iPad 和 Nexus 7 没开放 Linux 安装,Surface 同样是 ARM 架构的平板,不开放也正常啊。

Nexus 系列的Bootloader都是可以自己解锁的,解锁之后你刷什么都没人拦你
iPad就别指望了,苹果这种封闭的公司必然是不会开放的

引用ytj的发言:

难道有人想用双系统?只有极少数人用双系统吧,本来Linux系统就够难学了,为何还要学Windows 8。我们公司需要用Windows做测试的时候向来都是在虚拟机里面捣鼓,没人有闲情装个双系统。

哪怕是只有极少数人用双系统,微软也没有任何的资格剥夺这些人使用双系统的权利
而现在微软在做的事情就是在剥夺这种权利

Linus认为,Secure Boot的认证签名只是一种工具,并不能解决所有的security problems,很多人有一点担心过头了,虽然它确实会被误用。
Linus相信,一些hacker会绕过Secure Boot的认证,或者生成一个自己的key。
个人认为,只要硬件厂商能提供关闭Secure Boot功能,我们就可以安装其它的操作系统了。

对Linus Torvalds 的一个采访:
http://www.zdnet.com/blog/open-source/linus-torvalds-on-windows-8-uefi-and-fedora/11187

支持LINUX,抵制Win8

“第一步,开机后按Delete键,进入BIOS,选择Windows 8 Configration选项。”
configuration的拼写有误。

@幻梦:

谢谢指出,已更正。

引用想当年的发言:

有趣的是,微软是为开源社区贡献最多代码的公司,我想这个 Windows 8 伤害自由软件权益应纯属误伤,不会是微软有意为之的。

我一直很好奇,多有什么用?就算是最多又有什么用。
是最高效的代码么?是最简洁的代码么?
说实话,多一点屁用都没有,只能说明微软设置的障碍多而已。需要贡献这么多没用的接口。

微软在VC++等IDE软件方面不支持一些ISO ANSI标准的做法我就忍了,没想到敛财的微软又出新招,实在叫人不淡定!

引用ayanamist的发言:

好像很多人在大谈特谈UEFI的Secure Boot对Linux安装的影响。但,拜托,不会关的是小白好不好。连这个都不会关的小白,我真的很怀疑他即使装上Linux桌面,又能坚持用几天?所以这担心在目前乃至较长时期都是杞人忧天好不好!

做软件不是大部分给小白用的,哪个流行起来的应用是复杂的,你这么说是不是间接的给小白一个很高的门槛,谁一开始接触电脑的时候 不是小白,连安装都成问题,还谈什么,你厉害了,当然不用担心啦。

但是,在移动设备领域,微软不占优势,所以它就没有顾虑,规定所有安装Windows的移动设备的Secure Boot必须打开,而且没有关闭选项。

这可如何是好呀?

引用deyu260的发言:

在中国有盗版无所谓

你认为自己可以一辈子用盗版软件?

我表示反对微软的这种做法,这更不利于Linux的推广,反而会让微软以后更可以为所欲为。

"操作系统厂商想要通过认证,就必须花99美元,向Verisign买一张数字证书,嵌入自家的操作系统。"

不好意思,我不太懂:是每台机器一个证书还是每个操作系统一套证书,如果每个操作系统一套,可以通用,那99美元也没多少钱啊?

整件事看起来像是一个人做了一个很安全的东西,然后就被微软拿去用了。。。
不过微软也挺不厚道的了。。。

不然。
http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface
Secure boot并非是UEFI的硬性标准,只是可选规范。
apple用UEFI多年已久,linux在mac上跑得也甚欢。
M$已经沦为二流,还胆敢挟天子以令诸侯,绑架PC厂商,
我就不信这帮孙子有种敢扛得住水果君——PC换到mac,跟换到iOS那样。

谁怕谁啊卧槽。。。简直就是自打脸加速溃败。。。

引用ytj的发言:


难道有人想用双系统?只有极少数人用双系统吧,本来Linux系统就够难学了,为何还要学Windows 8。我们公司需要用Windows做测试的时候向来都是在虚拟机里面捣鼓,没人有闲情装个双系统。

家里的机子就是双系统,爹妈用Windows,我用Linux,有时候好奇心旺盛的爹还会试水Linux,要是闭装了那就没这样好玩的事了。

引用Aenon的发言:

Linux 需要非技术用户。

Linux 从来“就”没考虑过“非技术用户”
如果它真的考虑过“非技术用户”,就不会在桌面系统占用率上永远徘徊在1%

引用pockry的发言:

博主也提到了苹果的iphone ipad不能安装其他操作系统,微软只不过是照葫芦画瓢罢了,为什么我们不谴责苹果,而只盯着微软呢?

因为M$市场份额最大吧...大概

让我想起,以前大家痛批M$不遵循W3C标准什么的
结果呢,现在大家争着为W3C标准添加“新功能”呢(webkit-,moz-笑而不语)
这难道就是所谓的“路西法效应”??

引用Ray的发言:

它可能拒绝了一个想第一次尝试Linux的人。记得我第一次装的是ubuntu 7.04,默认无法解码mp3,山区又无网络,急死我了。

这难道也要怪M$!!!
大人啊~~~冤枉啊~~~~~
好吧,其实我第一次放弃Linux桌面是因为它在我的老电脑上,运行得比XP还慢...
软件什么的没有就算了,宣传说对老硬件支持比WIN好,结果...刚装完系统的电脑,跑得比我运行2、3个月的XP还慢...我还瞎折腾个啥呢...

Ubuntu 已经买了,我有什么好担心的? 除了几大linux发行版,谁要去关心那些数不过来说不定明天就死掉的发行版?

引用storm的发言:

Ubuntu 已经买了,我有什么好担心的? 除了几大linux发行版,谁要去关心那些数不过来说不定明天就死掉的发行版?

你让自己动手写操作系统的人情何以堪= =

引用想当年的发言:

有趣的是,微软是为开源社区贡献最多代码的公司,我想这个 Windows 8 伤害自由软件权益应纯属误伤,不会是微软有意为之的。

我记得微软很多部门是不允许接触开源代码的,因为担心出现程序员在写代码的时候不小心引入开源的思想或代码,从而导致不必要的法律纠纷。

引用Ryan的发言:

我记得微软很多部门是不允许接触开源代码的,因为担心出现程序员在写代码的时候不小心引入开源的思想或代码,从而导致不必要的法律纠纷。

这是传说吧

引用wakey的发言:

3.应该不存在微软把私钥委托给verisign这种事,verisign作为全球公认的根证书颁发机构,是互联网的基石,不是微软的代理商。verisign作为第三方,应该是微软向verisign申请证书,上面有verisign的签名。其它操作系统只要能有证书链完整的证书就可以了。

同意wakey的,没看出微软强迫的地方在哪里。verisign是中立的,大家向它买证书,跟微软无关。

『第五类』应该为『第五步』。

1.向verisign买key应该不等于就受MS控制了,这个逻辑关系不对.
2.Apple,MS或其他厂商不让你在其设备上安装其他系统,这是否有问题不好说,最近美国法院好象
判解锁手机非法,按这个思路,Apple,MS的做法至少在法律上是没问题的.

天朝人的逻辑真让人崩溃.所以天朝人就该让人家奴役,活该.

一早win8要出的时候,我就对这个设定非常不满.虽然对我没什么影响,但是我绝对持反对态度.

像上面某些人,不上G+,不上推特,不上非死不可,所以防火墙在那也无所谓了?你们就适合圈养,你们不懂啥叫自由,你们有得吃就行了.你们就活该一辈子呆在中华人民共和国.

自由不是非要选择什么,而是要有选择的权利.你们从最开始就放弃了这种权利,你们也就不配拥有这种权利.

引用诸神黄昏的发言:

天朝人的逻辑真让人崩溃.所以天朝人就该让人家奴役,活该.

一早win8要出的时候,我就对这个设定非常不满.虽然对我没什么影响,但是我绝对持反对态度.

像上面某些人,不上G+,不上推特,不上非死不可,所以防火墙在那也无所谓了?你们就适合圈养,你们不懂啥叫自由,你们有得吃就行了.你们就活该一辈子呆在中华人民共和国.

自由不是非要选择什么,而是要有选择的权利.你们从最开始就放弃了这种权利,你们也就不配拥有这种权利.

讲的很好,这样本来就不合理,只看自己眼前的利益,没有看到别人,中国人可以用盗版,那国外的人呢?那以后呢? 还有那个大公司买了key,但是撑起Linux、BSD的都不是大公司!而是基金会,是社区。你能让Debian买key吗?

文中有很多关键的错误。看起来楼主只是在通篇的引用媒体的报道,根本真正的去了解过Win8和secure boot的故事。

比如:如果选择关闭Secure Root,那么预装的Windows 8将无法使用,需要重新安装。
而实际情况是关闭Secure Boot后,预装的Win8可以正常启动,只不过不是secure boot(安全启动)而已,完全可以正常使用。

再比如文中说微软公司把Windows 8的数字签名外包给了Verisign。操作系统厂商想要通过认证,就必须花99美元,向Verisign买一张数字证书,嵌入自家的操作系统。
实际是,微软在要求UEFI必须打开secure boot,并且支持关闭secure boot的同时,还要求UEFI主板必须支持删除出厂预置的所有证书和密钥,并且导入任意新的密钥。其它操作系统厂商完全可以自己创建自己的密钥和证书,替换掉原有的密钥,以secure boot的方式来启动。

再比如,文字说在移动设备领域,微软不占优势,所以它就没有顾虑,规定所有安装Windows的移动设备的Secure Boot必须打开,而且没有关闭选项。
而实际上呢,所有的移动设备基本都是这样,安卓的设备刷写系统需要root,ios需要越狱,这些都是厂商所禁止的,因为手机不像PC一样有通用的操作系统,移动设备的固件和硬件是紧密相关的,随意安装其他操作系统有很大的安全隐患。

引用诸神黄昏的发言:

自由不是非要选择什么,而是要有选择的权利.你们从最开始就放弃了这种权利,你们也就不配拥有这种权利.

讲得很好。

引用YangZhixuan的发言:

CSDN上曾经提到过,我记得绝对不是萎软

貌似是IBM吧

引用Cat Chen的发言:

iPad 和 Nexus 7 没开放 Linux 安装,Surface 同样是 ARM 架构的平板,不开放也正常啊。

外国网友早就吧 linux 移植到 Nexus 7 上了...
苹果主要是卖硬件的,一直就比微软封闭很多,没有可比性。

我觉得微软还是有垄断的嫌疑,第一,他要求预装win8的机器必须打开secure boot;第二,你虽然可以在BIOS里面关闭secure boot,但是那样的话花钱买来的win8就无法使用,这如果仅仅说是为了安全性考虑,未免有点说不过去.

不管你们说的是真是假,有何影响,实际情况是,我预装win8的机器,装了centos之后不能启动centos,secure boot已经关掉了,legacy first已经设好了(这都是在装centos之前设好的,不设的话,根本无法装),这个就是影响装双系统的用户,每个系统只能管自己的部分,哪能干涉其它系统,没人规定一台机器就只能装一个系统啊,以前无压力装,现在是看着win8束手无策,如果是win8的系统限制了我启动centos,这就是微软大大的不对,因为BIOS上,我已经看到了说可以允许unauthorized system安装在这台机器上。网上看到有人装ubuntu也不行,情况和我类似。Linux就是linux,都是大家身边不可或缺的系统工具,不要没用过linux就在那无视它,跟程序打交道的人懂得。

引用诸神黄昏的发言:

天朝人的逻辑真让人崩溃.所以天朝人就该让人家奴役,活该.

一早win8要出的时候,我就对这个设定非常不满.虽然对我没什么影响,但是我绝对持反对态度.

像上面某些人,不上G+,不上推特,不上非死不可,所以防火墙在那也无所谓了?你们就适合圈养,你们不懂啥叫自由,你们有得吃就行了.你们就活该一辈子呆在中华人民共和国.

自由不是非要选择什么,而是要有选择的权利.你们从最开始就放弃了这种权利,你们也就不配拥有这种权利.

我去你妹的,自以为在国外呆久了自己就TM成自由神仙了是吧,你上了G+,推特,非死不可,那又怎么样,难道你就为这个产生了一种优越感?你思想自由了难道我没思想自由吗,你人身自由了难道我没人生自由吗,自己没勇气去追求内心所向往的东西,给你什么都是扯淡。别TM动不动就扯整个民族,管好你那吃过屎的嘴,别糟蹋了国外对你的教育。记住,你在国外能做的,我们一样可以做,你不能做的,我们也可以做。美国是个移民国家,这样的历史背景注定它要领先现代文明,但是我认为好景不长,因为这世界上还有一条在慢慢苏醒的龙。

我想请教一下,secure boot 关掉后再打开,原来到win8 还能用么?

试过了,关掉之后依然可以正常进入win8。只是会有一次性确认信息之类。

有么有什么办法即可以装linux,又可以装windows8?不知道怎么回事,我的台式机上装了盗版的win7,win8,ubuntu,都活得好好的。但在笔记本上,正版预装的win8和ubuntu非的争个你死我活。我不想用U装。我该bios也不行,甚至有时win8和ubuntu都不能跑。所以也没再动。

引用Ax0ne的发言:

我去你妹的,自以为在国外呆久了自己就TM成自由神仙了是吧,你上了G+,推特,非死不可,那又怎么样,难道你就为这个产生了一种优越感?你思想自由了难道我没思想自由吗,你人身自由了难道我没人生自由吗,自己没勇气去追求内心所向往的东西,给你什么都是扯淡。别TM动不动就扯整个民族,管好你那吃过屎的嘴,别糟蹋了国外对你的教育。记住,你在国外能做的,我们一样可以做,你不能做的,我们也可以做。美国是个移民国家,这样的历史背景注定它要领先现代文明,但是我认为好景不长,因为这世界上还有一条在慢慢苏醒的龙。

无聊的争论...思想自不自由跟是不是翻过墙去上Google plus,twitter,跟Facebook有关系吗?你从墙里翻到了墙外你就真的获得了自由吗?再说的稍极端一点,你肉身翻墙了你就真的获得自由了吗?你翻道哪去都不会自由的。合理合法的权利必须争取,但是合理合法的权利都让你获取了,政府如何维稳?墙外言论自由吗?你跑到墙外尽可能宣扬马列试试看?宣扬恐怖主义试试看?只要有统治阶级,言论自由永远只是相对自由,你在国内尽可以在度娘贴吧里留言说要炸毁白宫,全国人都看到你也没事,还会有一些愤青跟着一起起哄。你在美国给朋友多发几封说要炸毁白宫的电邮试试,隔天美帝爪牙就去请你喝咖啡。君不见米国某一女记者只因为在波士顿爆炸案前夕上网搜索了高压锅,警察上门啊有木有!!!反过来也一样,如果你扬言要去某广场自坟,看警察蜀黍不请你喝茶才怪。政府会抑制对其统治不利的言论,四海皆是。绝对的言论自由只是镜花水月,即使没有政府,绝对言论自由也需要高度的公民自觉,一个叫兽一个砖家一个搏人眼球的造谣者甚至是一群喷子,只要一点点怀疑的萌芽这个言论自由的乌托邦也会瞬间自动崩塌,因为自由但不再可信的传媒毫无价值,形同不存。像上面某些张嘴就侮辱别人吃*的,你也别怪人家一扯就是一个民族,知道什么叫做民族劣根性吗亲?你自己不加思索po上来的这些垃圾恰恰作为一个国骂的缩影证明了你逻辑和素质的低下。爱国不是挡箭牌,不是说你歌颂民族歌颂天朝表现出一个发展中大国小民特有的民族自豪感你就可以对其他人进行肆意的侮辱,请注意控制用词尽量优雅,这是别人的Blog不是你自己的垃圾场。观点不同就动辄以粗俗言语打压之,素质低下如此,民族又何以自豪?凭别族人骂不过我们吗? 还有,亲,是“人身自由”,你的人生不自由,你的人生跟我们广大天朝p民一样生下来默认就是HARD模式的,你连生人都不自由。现在你在墙内对墙外人士横加侮辱,我倒是很好奇给你一个免费拿米国绿卡的机会,你会不会立马卷上铺盖搭上飞机立刻翻出墙去。我不会,反正走到哪都有老大哥看着,一个黄脸一个白脸,都一样。 真不知你们争些什么。

引用诸神黄昏的发言:

天朝人的逻辑真让人崩溃.所以天朝人就该让人家奴役,活该.
一早win8要出的时候,我就对这个设定非常不满.虽然对我没什么影响,但是我绝对持反对态度.
像上面某些人,不上G+,不上推特,不上非死不可,所以防火墙在那也无所谓了?你们就适合圈养,你们不懂啥叫自由,你们有得吃就行了.你们就活该一辈子呆在中华人民共和国.
自由不是非要选择什么,而是要有选择的权利.你们从最开始就放弃了这种权利,你们也就不配拥有这种权利.


他们不是不懂啥叫自由,而是自甘于做无恶意的闲人。更何况翻墙可不是人人都会的,不要一棒子都打死。
天朝人不是从最开始就放弃了这种权利,而是从最开始就没有这种权利,只能自己去争取看到外面还并不是言论绝对自由的世界。GFW不是吃素的,别把自己的意淫当作实情。

引用Colin的发言:

其实手机/苹果产品相当于都是锁了.
linux的主要问题是windows形成的惯性/缺少有竞争力的桌面环境/没有好用的程序.

linux不缺少桌面软件, 但是缺少精品, 往往是选择很多,但没有精品..

也不是完全沒有精品吧,只是LINUX代表的開源派,既不像BSD學院派那樣完全不關心桌面(人家貌似就是自己走自己的路線和規劃伺服器發展方案),又不像MS,APPLE那樣務實,LINUX桌面環境方面其實個人覺得不乏精品,有些做得也相當有特色(這方面個人比較喜歡GNOME,除了厚重了一點點。。。),只是其自由本質讓各家力量分散,而且也很喜歡設計一些短期無成效的東西(就GNUSTEP套件,光繪圖和字體方面的設計層次就開發了數個BACKGROUND,結果一個都沒有發展到足以大規模實用的地步,專心搞一個就那麼難麼。。。明明時間和預算肯定也不多)。

個人覺得吧,桌面環境這個這麼功利的環境,真心不適合心氣太高的開源社區來跟商業公司來搶,因為你更想讓用戶按照你的哲學來使用,然而用戶可不是那麼好糊弄的。。。。不知道為什麼突然想起了LLVM。。。

引用hilojack的发言:

但是,在移动设备领域,微软不占优势,所以它就没有顾虑,规定所有安装Windows的移动设备的Secure Boot必须打开,而且没有关闭选项。

这可如何是好呀?

还是先考虑让APPLE开放IPAD的bootloader吧。。。

说回来,Win8好用的话,谁肯安装别的系统。要出钱买的。买到不好用的Win8,已经半条气了。有苦自己才知道的。。您试过吗??

我觉得很好啊,既然自由软件者那么注重“自由、分享”,鄙视强调“利润”,大家各玩个的,有什么好吐槽的呢?

引用hilojack的发言:

但是,在移动设备领域,微软不占优势,所以它就没有顾虑,规定所有安装Windows的移动设备的Secure Boot必须打开,而且没有关闭选项。

这可如何是好呀?

就是,我的笔记本就不能改,安装不了双系统,话说win8.1玩不了腾讯游戏。。。。。。

文章真好。
纠正下文中有两个地方好像把Boot写成了Root。

在微软强制要求不提供关闭Secure Boot之前,微软所做的一切从法律上都讲得通,谈不上垄断。再者,重装系统这种事情,小白基本上不会自己操作。稍微有点电脑基础的基佬都知道如何设置uefi。
不得不说,这是一篇好文章,不可能有人比我读的次数还要多。我很期待微软此后的行为,是否真的会像surface和wp一样不提供关闭secure boot。

引用想当年的发言:

有趣的是,微软是为开源社区贡献最多代码的公司,我想这个 Windows 8 伤害自由软件权益应纯属误伤,不会是微软有意为之的。

不是微软,是红帽。我看过去年对linux内核贡献代码排行前十的公司,没微软的影。

Secure Boot 本来就是多此一举,以前 BIOS 的时候没 Secure Boot 不也照样 Secure ?

"Secure Boot对移动设备的影响,比PC还要严重"
2014年了,这个话就不对了。

关于微软对UEFI的态度,楼主有点失之偏颇,微软一直是UEFI联盟的一员,而且secure boot这个微软贡献到UEFI标准里,成为了UEFI的已不复

引用王亚坤的发言:

"操作系统厂商想要通过认证,就必须花99美元,向Verisign买一张数字证书,嵌入自家的操作系统。"

不好意思,我不太懂:是每台机器一个证书还是每个操作系统一套证书,如果每个操作系统一套,可以通用,那99美元也没多少钱啊?

这是垄断的问题,不是钱的问题好么

@ytj:

我只能对你说呵呵,我花钱向厂商买个电脑,又不是向微软买个电脑,装什么系统,怎样安装要由微软来干涉么?至于linux系统难学、双系统的问题,我就更只能呵呵了

Secure Boot目前也是可以关闭的啊,在启动Windows 8之前开启,启动Linux或者其它系统前关闭,虽然麻烦一点,但是应该是可行的啊。
虽然这也只是我们现在的临时解决方案,最终还是需要UEFI支持用户导入公钥

我的笔记本预装的LINUX 然后BIOS里面居然没有任何有关SECURE BOOT的选项,,,现在是开着的,我想关了,不然不能装黑苹果啊,有什么办法吗

'secure boot' 's abbreviation is 'SB'; -.)

我也买了一块x86平板
打算尝试安装kali linux
我切说些现在的情况
现在大家把这种东西叫做寨板吧......
Secure Boot能关闭.....
可能除了苏菲都能关闭
但是极为廉价的平板512MB 1G 2GRAM的那种平板上
他们依旧放弃了传统的Legacy BIOS
这里有人可能要问了UEFI BIOS不是64bit的吗
这是要强行在32bit设备上64bit系统?
于是丧心病狂的英特尔做了个叫32bit UEFI BIOS的东西
而且在这些平板上UEFI BIOS无法切换到Legacy BIOS
但是绝大多数linux发行版的镜像都没有提供32bit UEFI BIOS的支持...
现状是这样
对于博主的观点我是赞同的
他们既然敢干了Legacy BIOS
那么强制开启Secure Boot也是可以的

再说一下
各大发行版貌似都向微软交了保护费
在镜像里加入了微软的签名(听说花了99刀)
这样Secure Boot即使不关闭也能运行linux
不过这很明显不是好事 但是他很M$

我能发言吗?我可以发言吗?
看了你们的争论,最后的焦点看来不是技术问题,而是自由问题。我觉得这很矛盾,为什么非要把这两者混在一起呢?无论是不是有Secure Boot,用户都可以自己选择关闭Secure Boot安装Linux的,再说虚拟机很好使啊!我同时用多个系统难道不可以吗?为什么要二选一,一次只能启动一个系统呢?难道一次用多个系统不好吗?

引用ytj的发言:

这里我没太懂。我没理解错的话:
【用Linux】==【关闭Secure Boot】==【不能用Windows 8】
【用Windows 8】==【打开Secure Boot】==【不能用Linux】
这有什么问题?虽然是花钱买来的Windows 8,不能用这也没啥关系吧,都用Linux做操作系统,为啥还需要Windows 8,这两个软件功能不是重叠的么?就算没有Secure Boot,你还是不可能同时开Linux和Windows 8吧。
难道有人想用双系统?只有极少数人用双系统吧,本来Linux系统就够难学了,为何还要学Windows 8。我们公司需要用Windows做测试的时候向来都是在虚拟机里面捣鼓,没人有闲情装个双系统。

Linux开发效率比较高,Windows娱乐性比较强。为了性能,装双系统又有什么不可以的呢?

引用怪兽的发言:

我的笔记本预装的LINUX 然后BIOS里面居然没有任何有关SECURE BOOT的选项,,,现在是开着的,我想关了,不然不能装黑苹果啊,有什么办法吗

我的情况就是和这位大兄弟一样。
sony SVF1531AYCW 2013年底的机子,预装linux。
bios估计是阉割的,根本没有SECURE BOOT字眼!
而且powershell输入confirm-securebootuefi后显示TRUE!
呵呵!

我的笔记本关掉SECURE BOOT很简单啊,开机按f2,进入uefi,就关掉了。感觉这篇文章有一些错误。

我的笔记本关掉SECURE BOOT很简单啊,开机按f2,进入uefi,就关掉了。感觉这篇文章有一些错误。

现在看来楼主真他妹英明,事情已经发生了,secure boot已经被去掉了,无法自由开关了,默认是开的

引用consatan的发言:

Linux 从来“就”没考虑过“非技术用户”
如果它真的考虑过“非技术用户”,就不会在桌面系统占用率上永远徘徊在1%


是,一般如果只是“面对非专业用户的”办公和休闲娱乐用途的话,Windows绝对是最佳选择,Linux最近在用户界面上突飞猛进,但因为一般人看别人用的都是Windows,肯定看着Linux的界面不爽而要求重装为Windows,而且很多办公软件根本只能在Windows上用。什么?你说用Wine?什么是Wine,非技术用户肯定会这么说(笑)。
毕竟微软这么多年下来,已经养成了用户的操作习惯了,就算要用Linux的话,恐怕...

我要发表看法

«-必填

«-必填,不公开

«-我信任你,不会填写广告链接