◎ 本篇文章傳達作者意見,不代表自由軟體鑄造場電子報立場,回覆意見請見部落格原文網址:https://ckhung0.blogspot.com/2011/10/windows-8-secure-boot.html
Windows 8 測試版已開放免費下載,不過本文的重點不是要推薦或反推薦 Microsoft 的 Windows 8 產品,而是要警告消費者別購買那些貼有「Designed for Windows 8」標籤的電腦。這種電腦有可能因為 Microsoft 的不公平商業競爭手法,而不能自由安裝其他作業系統。你花錢所買到的硬體將不再屬於你的,因為作業系統開機鑰匙不在你家,而在電腦硬體廠商手裡。電腦硬體廠商會因為與 Microsoft 的合約關係,表面上說是「為了你的安全著想」,最後結果只准許你「信任」Microsoft 所提供的作業系統,造成買回來的電腦只能裝 Windows 8。
貼有「Designed for Windows 8」標籤的電腦,必定支援 UEFI。這是燒在主機板上,即將取代 BIOS 的新軔體。據稱 UEFI 有很多優點,這方面貴哥沒有研究,也就不多談,但其中一個優點,貴哥很確定很有問題。根據 UEFI 官網的說法,「Secure Boot」讓你的電腦更加安全,免於不明安全更新、不明開機程式的入侵。(維基百科的中文頁面不知為什麼把最重要的「criticism」那一節以及談論「Secure Boot」的地方省略了,建議參考英文版。)
簡單地說,每次電腦開機時,Secure Boot 機制會檢查是哪一個作業系統想要開機。如果是「官方認可的作業系統」就可以正常開機;如果是阿貓阿狗拼裝出來的作業系統,例如貴哥從網路上撿來 Slax 或 SimplyMEPIS 改裝出來的百毒不侵救命碟,以及其他 Linux 開機光碟)就禁止開機,因為這些來路不明的可疑份子沒有得到硬體廠商的官方認可,企圖啟動你的電腦,很可能是惡意入侵!Microsoft 大力鼓吹的「信任運算」(Trusted Computing;中國譯為「可信計算」)機制,指定採用 UEFI 的 Secure Booting 功能,意即有了 UEFI 的 secure booting 機制,你就安全了,可以信任你的電腦了嗎?
唯一的小問題是:要信任誰,並不是由你自己決定,而是由電腦廠商替你決定。表面上說的是:消費者沒有能力自行判斷要信任誰(Microsoft 或貴哥?),如果放任資訊不足的消費者隨便用光碟或隨身碟開機,有可能會被 Rootkit 和其他惡意軟體入侵,但真正的用意是:如果允許消費者改用其他作業系統,他可能會自行使用(圖文影音)替代播放軟體來破解遙控數位枷鎖所設下的黃金手銬、鑽石腳鐐,消費者可能會盜版影片音樂。如果讓消費者自己決定要信任誰,那麼資訊大廠將無法信任消費者。所以由硬體廠商來決定誰值得消費者信任比較安全,因為硬體廠商會聽命於資訊大廠。換個方式說:有了 UEFI 的 Secure Booting 機制,資訊大廠終於可以信任消費者─不會「濫用」「你的」電腦來閃躲大廠的監控了。因為「你的」電腦其實已經不再替你服務,而是替資訊大廠服務。「你的」電腦的開機鑰匙不在你家,而在硬體廠商手中;但是那一把錀匙很可能只替 Mirosoft 及其週邊廠商的產品服務。
諷刺的是,歷史告訴我們:用 Rootkit 惡意入侵電腦的,並不是貴哥這類汲汲於「以誠信建立網路聲譽」的無名之輩,而是跟 Microsoft 一樣強大、即使被抓包做了很多壞事也不怕消費者停止購買其產品的資訊大廠─Sony。2005 年,Sony BMG 入侵消費者電腦。消費者買了 Sony BMG 的音樂 CD,如果在 CD 播放器或 DVD 播放器裡播放,是好聽的音樂。但如果不小心放到 Windows 底下播放,那麼這張音樂 CD 就會在消費者的 Windows 裡面暗植 Rootkit 後門程式。Sony 的目的是想在 Windows 裡面種植 DRM 機制。此事在網路上被揭發後,Sony BMG 的全球數位部門總裁說:「唉喲,一般人又不懂 Rootkit 是什麼,幹嘛在乎那麼多?」 但最有趣的還不是 Sony 顢頇的自衛態度,而是 Microsoft 與防毒軟體公司避不過問的態度。如果你是 Microsoft,你的產品被 Sony 入侵,你的客戶權益遭到侵犯,什麼才是合理的反應?如果是我,第一要務當然是推出安全更新,保障客戶的安全。然後,如果客氣一點就警告大家別買這些 CD;強悍一點就對 Sony 提告。但是微軟什麼也沒做。防毒軟體公司也保持沉默。收你的錢、信誓旦旦地說要保護你的安全、值得你信任的公司,在你的權益受到侵犯時,竟然是這樣的態度,未免令人費解,這是默許還是預謀共犯?
更諷刺的是,在 2006 年 fairuse4wm 事件當中,Mirosoft 一百八十度大反轉,改採非常積極的態度推出安全更新。這次是因為 Microsoft 新推出的 Windows Media Player 突然禁止用戶自行備份(屬於 DRM 機制的一種)。網友 viodentia 於是撰寫 fairuse4wm─將備份資料的合理使用權重新交還給 WiMP 用戶─並上網分享。這次 Microsoft 動作倒是很快,十天內就推出「安全更新」,Windows 用戶升級安全更新之後,就無法使用 fairuse4wm,應當是說,不用擔心再被「不安全」的 fairuse4wm「入侵」。)Viodentia 很快地又推出新版 fairuse4wm 繞過 Microsoft的限制;而 Microsoft 再推出安全更新阻止用戶使用 fairuse4wm,這樣來回過招很多次。如今 Microsoft 如此積極地推出安全更新,到底是在保護誰呢?
歷史告訴我們:某些資訊大廠不僅不信任你,甚至聯手詐騙你,入侵你的電腦。那麼,請問消費者,你,信任誰?唔,對不起,我問錯人了。信任誰不是由你消費者自行決定的。我應該問賣電腦給你的硬體廠商才對。而他們說:「我們很確定每一位消費者都信任微軟。所以消費者買的電腦上面,我們只允許 Microsoft 的作業系統執行這樣才安全。『你信任誰,我們說了算』這就是信任運算的真諦。」若想進一步研究信任運算,請見 EFF 的文章;若想進一步瞭解 DRM、信任運算、DMCA 反規避條款之間的關係,以及老大哥如何串聯這些機制來控制世界,請參考貴哥在 2006 年左右所畫的一張六格圖示和一篇短篇小說「迎接資訊人權貴時代」。(這也是「資訊人權貴」名號的由來)關於 Secure Boot 的新聞以及它所引發的爭議,請搜尋「Windows 8 Linux」。
最困難的部分解釋完了,現在來修正一下標題,補充一點細節。精確地說,並不是每一部支援 Windows 8 的電腦都禁止你用別的作業系統。如果電腦廠商願意替別的作業系統認證,那麼這個幸運的作業系統也可以執行。當然,最終決定權還是在電腦廠商身上,而不在你。另外,據說將來有些電腦會把 UEFI 的 Secure Boot 功能當作一個「消費者可以自行決定要開或要關」的選項。這種電腦把決定權還給消費者,是正常的良心商品,而不是綁架消費者的黃金手銬、鑽石腳鐐。如何分辨良心商品與黑心貨呢?最簡單的方法,就是在購買電腦之前,先測試它是否支援隨身碟開機。不論是「百毒不侵救命碟」、其他類似的開機隨身碟、或是各個版本的 Linux、BSD 開機光碟都好。最好用兩三個不同的冷門版本測試,以確定這部機器真的尊重你的選擇,而非只是湊巧允許你執行這個熱門版本的 Linux。(也順便測試它的音效、顯示等硬體配備是否與一般標準配備相容。)
就算你自己不打算用 Linux,也應該做這個測試。從社會的角度看,採購前有沒有進行「開機自主權」測試,將決定電腦退役之後,可以成為弱勢學習庫,或直接成為電子廢棄物如果您關心環保與數位落差,這個測試非常重要。從個人的角度來看,這也可以讓電腦賣場的銷售員知道你會使用 Linux。更讓硬體廠商知道:你懂得堅持自己保管開機鑰匙;你主張「誰值得信任」這件事情應該由你自己決定,而不是任由被受制 Microsoft 的硬體廠商替你決定。別讓硬體廠商和賣場銷售員把你當傻瓜。