在UEFI上啟動Linux
首先,需要在UEFI上啟動Linux.因為除了Mac,很少有PC使用UEFI替換BiOS,所以大家都不怎麼關心從UEFI啟動Linux.
現在,很多想在Mac上運行Linux的人使用兼容支持模塊CSM,提供Mac上BiOS的仿真。這種方式很麻煩,運行得不好,在Secure Boot Windows 8 PC上可能會更糟糕。
有其他更好的方式。目前最佳的方式是Rod Smith的EFI-Booting Ubuntu on a Mac指南。其他的,如Linux內核開發者Greg Kroah-Hartman的技巧也值得一試。最大的難題還是在於Secure Boot.
保護啟動與Linux的安全
理想情況是微軟及其合作伙伴會采用Linux Foundation所說的方式去部署Secure Boot,方便Linux的安裝,但這種情況是不會發生的。
所以,我們有三種不同的替換方式。這時候,也不知道哪一種能成功。可能最終都會使用上。這讓人很不爽,不過隨著微軟在該領域繼續占優勢,Linux開發者就不得不在最艱難的情形下努力做好。
首先,Linux開發者需要處理好該問題。Linux基金會技術顧問委員會的James Bottomley發布了Intel Tianocore UEFI啟動代碼和一些Linux程序員能使用的代碼,以便消除Windows 8的 Secure Boot限制。
Intel Tianocore是英特爾UEFI的開源鏡像。直到最近,這個鏡像也沒有微軟用於Secure Boot的驗證碼,現在有這個功能了。將該功能交付給開發者極大擴展了使用UEFI Secure boot的人群。
這能讓無權訪問UEFI安全啟動硬件的程序員擁有一個“虛擬平台,讓他們能體驗自己的解決方案。但這是一個兩難的選擇,做安全啟動的Tianocore固件才出現幾周,簽名工具還未出現,所以還有很長一段路要走。
即使如此,開發者使用自己的安全配件鎖定安全啟動虛擬平台,對於利用自己密匙使用UEFI安全的開發者來說,這是一大進步。
一種方式:為某些版本創建UEFI Secure Boot密匙。這種方法也是Canonical對Ubuntu的做法。有些人,如自由軟件基金會的討厭這種方法。
Fedora、紅帽的社區Linux版本決定使用微軟的密匙簽名服務Verisign.所以在Fedora的計劃中,Fedora將使用微軟的系統創建自己的Windows 8系統,兼容UEFI安全啟動密匙。
當然在許多開源圈子裡,這個方法如浮雲。紅帽開發者Matthew Garrett為其辯護,說:”它比現有的任何方案都便宜。它能與大量硬件兼容,還能讓Fedora避免比其他Linux擁有特權。
坦白說,就如Ubuntu締造者Mark Shuttleworth所講,任何計劃都不可能完美,但“Secure Boot的缺陷在其設計,最終將在每台PC上授權微軟的密匙。Secure Boot對在關鍵元素上支持多個簽名的無能為力意味著這個選項受限,但我們一直在追求一個好的結果。”
當然還有另一種方法:使用開源的軟硬件。當然這也是Linux PC開源廠商樂於想見的結果。
有了UEFI的Secure Boot,那麼Linux版本就不需要與微軟簽名或者使用它們的安全啟動。使用開源引導模式啟動的計算機就好了。確實,UEFI的Secure Boot在原始設備制造商級別實施,所有新購買的PC都帶有Secure Boot.
所以開源廠商肯定不願意禁用或使用Fedora與Ubuntu的方法。禁用可以,但禁用一些能保護安全的功能很傻。長此以往讓人擔憂,運行Linux的2012年後的機器鍵盤起初很簡單,但之後就會愈加復雜。對於OEM也影響重大。讓人擔心桌面Linux對於新用戶來說太難了,會逐漸加重Linux的衰落。
總結,下面幾點就是當今Linux在Windows 8 PC上的情形:
希望OEM在預啟動期間就禁用Secure Boot.如果是這樣,那麼在Windows 8 PC安裝Linux就不會比在Windows 7系統上那樣困難。然而,這在Windows RT ARM系統上沒有這個選項。
使用Linux,如Fedora,可使用微軟自己的Windows 8簽名工具提供一個Secure Boot兼容密匙。
使用Linux版本,如Ubuntu,本身就能提供Secure Boot兼容密匙。
棄用Windows 8系統,使用開源硬件。
某些Linux發行版本,如openSUSE,還不知道他們該如何應對這樣的情況。
目前為止,也不知道如何在Windows 8筆記本或桌面運行Linux.這得取決於OEM廠商如何去處理Secure Boot.