Windows 8：要想安装Linux保护费99美元

[leni]

真的假的？没有裸机卖吗？

[lainme]

这个证书, 系统厂商支付一次, 所有用户永久免费使用, 怎么就敛财了

重点是, 1, 强制开, 2, arm架构上不能关, 3, 开启时,用户自己编译的内核无法启动, 4, 和GPLv3冲突

第三条悲剧啊。gentoo什么的悲剧了。喜欢自己编译的可以洗洗睡了

[ubt-fans]

Win8是什么呀？用不起的路过

[pengqian]

这个设置真蛋疼

[jtshs256]

这个证书, 系统厂商支付一次, 所有用户永久免费使用, 怎么就敛财了

重点是, 1, 强制开, 2, arm架构上不能关, 3, 开启时,用户自己编译的内核无法启动, 4, 和GPLv3冲突

这玩意如何判断内核是否是用户自己编译的？…

[YeLee]

那样的话不是每个内核都要一个证书？会不会在grub这些地方啊？

[paozhuanyinyu]

LinuxTOY 是一个致力于提供 Linux 相关资讯的专题站点。如果您发现了好用好玩的 Linux 东东并愿意发扬自由、分享的精神，可以点击顶部导航 Contact 按钮进行投稿。

Fedora 18 可能支持 UEFI Secure Boot
2012-06-06 黑日白月 Posted in Featured, ReviewsRSS
Matthew Garrett 在博客上阐述了最近关于 Fedora 18 在 UEFI 支持方面的一些动向，表示 Fedora 有可能会采取支付 $99 的方式获得 M$ 签名的第一阶段引导器，从而允许最终用户在不关闭 Secure Boot 的情况下引导。
今年下半年发布的 Win8 将要求 UEFI 中启用 Secure Boot 模式，届时所有带有的 Win8 认证徽标的硬件也将包含一组 M$ 公钥，不局限于 OEM。这将给包括 Fedora 在内的所有 Linux 发行版的安装带来不小的麻烦。怎么办呢？
一个直接的解决方法是和厂商合作在硬件中添加特定 Linux 发行版的公钥。这对于有 Red Hat 支持的 Fedora 来说并不是件难事，但是这样子做的话对其他没有长期硬件合作关系的发行版诸如 Arch、Gentoo、Mint 等是不公平的。同时由于难以让所有的硬件厂商都包含该公钥，又会无形的增加消费者选购 Linux 兼容硬件产品时的麻烦。
另一个方法是创建一个通用的 Linux 公钥。这意味着需要有一个可靠的组织掌管所有的 Linux 发行版密钥石，并且对签名请求进行必要的审核工作。这花费巨大，在短期内也是不现实的。
第三个方案，尽管不理想，但在目前看来是可行的。M$ 将在它的 Sysdev Portal 上提供付费的签名服务。在支付给 Verisign $99 并审核通过之后，将使用 M$ 的密钥进行签名，不限次数，使得其可以在具备 M$ 公钥的设备上运行。Fedora 打算将利用此对一个特制的初始阶段引导器进行签名，从而使得最终用户无需进入 UEFI 做任何更改即可顺利引导并安装 Fedora 18。
这种便利，除了那 $99 以外，还有其他代价的。
会被用来签名的初始阶段引导器将设计的十分简单，仅仅用来链式引导真正的 GRBU2 引导器，从而避免每次引导器升级的都要找 M$ 机器签名的麻烦。不过由于 UEFI Secure Boot 的要求，GRUB2 的动态加载和部分内核参数编辑功能将被禁用。
同样是由于 UEFI Secure Boot 的要求，所有可能会用到内核模块也需要签名。对于 Fedora 分发的内核树中模块自然是没有问题的，但是对于像 AMD 和 NVIDIA 之类安装时动态编译内核模块的闭源显卡驱动来说则极为麻烦。
需要自己编译内核的用户，则不得不使用 Fedora 提供的工具和文档，生成自己的公钥并将其添加到 UEFI 固件中，然后对编译的内核和引导器重新签名。若希望他人也能使用自定义的内核，则不得不像 Fedora 一样花费 $99 使用 M$ 的签名服务。
另一方面，M$ 对于在 ARM 平台上 UEFI Secure Boot 策略没有改变，意味着预装 Win8 ARM 的设备将不能关闭 Secure Boot 模式，也不能自己添加公钥。虽然理论上 Fedora 也可以像 X86 一样付费获得 ARM 版本的 M$ 签名认证，但是这样一个丝毫不允许内核级别自定义的 Fedora ARM 意义甚微，故放弃。
受不了这些限制和麻烦？
没问题，只要关闭 UEFI 的 Secure Boot 模式一切就和当下一样了，但这将意味着无法启动 Win8 系统，包括已经安装的，双启动成为过去时。
无论有没有世界末日，M$ 都会在 2012 年底逼迫最终用户在 Win8 和全功能的 Linux 系统之间“做一个艰难的决定”。
值得注意的是，Fedora 的这项方案目前处于讨论阶段，尚不清楚 M$ 方面对此会有什么样的反应。
名为安全，实为垄断
UEFI Secure Boot 带来这么多麻烦，那么它到底能起到什么作用呢？
它无法让您正在运行的系统更健壮，也无法抵御病毒对引导器的修改。它唯一能做的就是当机器的引导器已经被病毒修改之后，给出提醒并拒绝启动，避免可能带来的进一步损失。
没错，只有这些。没有办法恢复原先的引导器，没有办法动态加载任何杀毒或者数据挽救模块。或许届时您可以选择拨打 M$ 或厂商的客服获得解决方案，或者也可以选择购买必然会出现的某些经过 M$ 认证的特制修复引导盘。介于 $99 的存在，这些恐怕都不会是免费的。
难道这是 M$ 想要的效果？
场景：当 UEFI 提示引导器被修改，拒绝引导系统时，机器停滞在错误屏幕上，面对一切尝试修复的举动毫无反应……
用户：“我都不知道该用什么表情来面对了……”
M$：“微笑就可以了。”
文明用语!!!!
或许，是时候考虑加入 Free Software 基金会发起的反对 Secure Boot 的签名活动了。
补充说明
根据 M$ 的规定，Win8 仅能在 UEFI Secure Boot 开启时引导。已经安装好的 Win8 系统在关闭 UEFI Secure Boot 之后也不能引导。
Secure Boot 要求所有需要访问 PCI 地址的行为都要经过签名，而它的格式限制了一个程序或设备仅能被具有单一签名。这对于硬件厂商意味着什么？
若是板卡和驱动所用签名并未包含在主板的 UEFI Secure Boot 公钥库中，用户将无法使用该板卡。
唯一能保证板卡和驱动被广泛使用的方法就是像 Fedora 一样使用 M$ 的付费签名服务，因为预期只有 M$ 的公钥会被包含在绝大多数主板中。
从目前公布的内容来看，并不清楚 UEFI 中的 SB 是否是一个可以任意开关的选项：
It shall be possible for a physically present user to use the Custom Mode firmware setup option to modify the contents of the Secure Boot signature databases and the PK. If the user ends up deleting the PK then, upon exiting the Custom Mode firmware setup, the system will be operating in Setup Mode with Secure Boot turned off. The firmware setup shall indicate if Secure Boot is turned on, and if it is operated in Standard or Custom Mode. The firmware setup must provide an option to return from Custom to Standard Mode which restores the factory defaults.
“仅能通过删除 PK 的方式关闭 Secure Boot”，“仅能通过恢复出厂设置的方式开启 Secure Boot”，这种操作也是符合 M$ 规范的。过往的经验表明厂商倾向于给固件中最精简的功能，这很可能是他们会选择的方式。
“破解 ROM ”拯救世界？醒醒吧，亲……
是 M$ 限制了 Win8 不可以在 Secure Boot 关闭情况下启动，不是主板厂商。
主板固件的开发难度可不一般，从 OpenBIOS 的缓慢发展可见一斑。
小贴士：尽管常常混用，实际上固件和 ROM 可是两个完全不同的东西哦～固件负责的是最底层的硬件沟通，常见的 Android 自定义 ROM 中也仅仅是重用了从厂商官方 ROM 提取的固件而已。
消息来源：Ars Technica

[paozhuanyinyu]

M$ 将在 ARM 设备上禁止关闭 UEFI 安全引导
2012-01-14 黑日白月 Posted in Embedded, NewsRSS
根据各方面情况的报道，M$ 将不允许在 ARM 设备上关闭 UEFI 安全引导，意味着预装 Win8 的 ARM 设备将无法引导其他任何系统。
不久前 Red Hat 联合 Linux 基金会对 X86 设备上 UEFI 对于 Linux 系统影响做了初步评估，结果显示影响不如先前公众预期的那么大。但是在 ARM 领域的情况却丝毫不乐观。
在最近公布的 Win8 硬件认证需求文档第 116 页中明确写到：不允许任何在 ARM 系统上禁用安全引导的操作。
这意味着任何预装有 Win8 系统的 ARM 设备将只能引导 M$ 签名的系统镜像，用户将完全无法自行安装包括 Linux 在内的其他任何操作系统。
SoftwareFreedom 博客上列举了 M$ 决定施行该策略的三点可能原因：
在 ARM 领域 M$ 有着和 X86 PC 领域不同的硬件合作商，所以无需在意 Intel 在 UEFI 论坛上提出的“允许用户关闭安全引导”的建议。
在 ARM 领域 M$ 并没有老版本的 Win 系统需要支持，于是将用户锁死在 Win8 对于既有客户群体毫无影响。
在 ARM 领域 M$ 并没有取得足够的市场占有率引起反垄断制裁。
在过去的 2011 年里，已经有不少 Android ARM 手机厂商允许用户解锁手机及安装第三方系统，比如 Sony Ericsson 和 HTC。然而 M$ 在 2012 年伊始的举动显然是为所有非 Win 系统在 ARM 领域的发展蒙上了一层阴影。
本站将持续追踪此事件的发展。
资料来源：ReadWriteWeb

[paozhuanyinyu]

Linus Torvalds表示：“我当然不是UEFI粉丝，但是我理解为什么你想要签名启动等等。”Torvalds认为微软拿出Windows 8 UEFI安全启动并不能真正地让系统安全起来。
“我认为，真正的问题是聪明的黑客将绕过整个密钥问题。签名是一个很有用的工具，但是它并不能解决所有的安全问题，而且我认为一些人有点太在意它了。”

[ooinzaghi]

win8的机器本来就买不起，还在乎什么99美元

[leeaman]

那以后不是非官方源的内核,不买的发行版都不能安装?

[lightcrystal]

大约Win8发行没几个月出破解，顺带着这个瞎扯蛋机制也被删干净的事情少不了……

[lovelyzlf]

可以选择不买~~希望有更多的和linux合作的机器出来，这蛋疼的启动机制真的就安全么？？直接无视算了

[adam8157]

这个证书, 系统厂商支付一次, 所有用户永久免费使用, 怎么就敛财了

重点是, 1, 强制开, 2, arm架构上不能关, 3, 开启时,用户自己编译的内核无法启动, 4, 和GPLv3冲突

这玩意如何判断内核是否是用户自己编译的？…

没被签名

当然, 你自己买个证书, 每次都给自己签名也可以...

[ho121]

大约Win8发行没几个月出破解，顺带着这个瞎扯蛋机制也被删干净的事情少不了……