Windows 8 的安全启动功能是何原理，对 Linux 来说意味着什么

无论你是否在使用 Windows 8，以后大家购买的新电脑默认都会启用微软正在推行的安全启动（Secure Boot）功能。安全启动功能可以防止在电脑启动过程中加载“未经授权”的操作系统和软件。“安全启动”是 UEFI 提供的功能，UEFI 主要是为了取代传统的计算机 BIOS – 但微软针对 x86（Intel）与 ARM PC 实施了不同的规范。任何带有 Windows 8 徽标贴纸的计算机都已经启用了安全启动功能。传统的 BIOS 可以引导任何软件。通常，BIOS 可以引导到 Windows 启动加载器，或者 Linux 启动加载器，例如 GRUB。然而某些恶意软件，例如 Rootkit 有可能替换你的启动加载器。Rootkit 可以照常加载操作系统，完全不会表现出任何异常，保持彻底的隐形，并且在操作系统中根本无法察觉。BIOS 并不知道恶意软件和可信赖的启动加载器之间有何区别，因此会直接引导不加干涉。Windows 8 PC 在出厂时在 UEFI 中包含了微软的证书（此外还可能包括其他证书，这主要取决于具*造商）。UEFI 会在开始加载之前对启动加载器进行检查，确保加载器具备微软的签名 – 如果 Rootkit 或其他恶意程序替代了启动加载器，UEFI 将拒绝启动。这样即可预防恶意软件劫持系统的启动过程，并将自己隐藏在操作系统底层。有关安全启动功能工作原理的更多技术信息，请参阅微软针对该功能的介绍。如果安全启动功能这样工作，你将无法在计算机上运行任何非微软操作系统。好在你可以在 UEFI 中对安全启动功能进行设置（就像以往设置 BIOS 选项一样）。你可以彻底禁用安全启动功能，或者添加额外的证书。甚至还可以删除微软的证书 – 删除微软的证书，添加自己的证书，随后你的计算机就只能引导你自己签名过的启动加载器。其实计算机在出厂时还可以包含 Ubuntu 的证书。各种 Linux 发行版也可以发布自己的证书，并建议用户安装 – 或者建议用户彻底禁用安全启动功能。Fedora 愿意花费 99 美元购买微软的签名服务，因此 Fedora 无需任何额外配置即可安装到任何通过 Windows 8 认证的计算机上。其他 Linux 发行版也可以这样做。有关不同 Linux 发行版具体情况的详情，请参阅 Fedora 开发人员的这篇文章。【译注：原文引用了 Fedora 开发人员的文章，但在原文发布后，引用的这篇文章有更新，澄清了一些问题：99 美元是支付给 Verisign 的，用于购买证书使用，并且一次付款无限制使用】