關於 SecureBoot 在 Ubuntu 的最新狀況

"Secure Boot" is a new UEFI feature that appeared in 2012, with Windows8 preinstalled computers.
"Secure Boot" 是 在 2012 年 預裝 Windows 8 的電腦上出現的新功能

The support for this feature has started with Ubuntu 12.10 64bit (see this article), but it is not fully reliable yet, so you may need to disable it in order to be able to boot Ubuntu.
Ubuntu 12.10 開始 支援上述新功能,
但是 還沒完全支援
所以 爲了能夠開機進入 Ubuntu 你可能需要 停用它

Here is an example of BIOS showing that "Secure Boot" is enabled:
這是一個在 BIOS 中啓用 "Secure Boot" 的 例子 (補充 每臺電腦的 選項 及 排列 可能不同)



To disable or enable Secure Boot, find a similar option in your BIOS, and use the keyboard to switch it to Enabled/Disabled.
要 啓用/停用 "Secure Boot" 在你的 BIOS 尋找 類似的選項 並且 使用 鍵盤 切換 來 啓用/停用 "Secure Boot"

有關 secure boot 在 Ubuntu 12.10 出品後 的發展方向
請看 下一篇 貼文

SecureBoot in Ubuntu 12.10

在 Ubuntu 12.10 的 Secure Boot

本版作者 就是 SecureBoot in Ubuntu 12.10 的主要負責研發人員
他在本文 說明 Secure Boot 在 Ubuntu 12.10 的 實際機制 及 未來後續的 研發方向

The 12.10 release is the first version of Ubuntu that supports Secure Boot out of the box. In what is largely an accident of release timing, from what I can tell (and please correct me if I'm wrong), this actually makes Ubuntu 12.10 the first general release of any OS to support Secure Boot. (Windows 8 of course is also now available; and I'm sure Matthew Garrett, who has been a welcome collaborator throughout this process, has everything in good order for the upcoming Fedora 18 release.)
Ubuntu 12.10 是第一個出品版本 完成安裝後 就預設 支援 Secure Boot 新功能
從我能辨別的情境 (如果講錯了 請更正) 出品截稿時間 是 一件重大的 變故原因
這一點 (猜測是指 出品截稿時間) 使得 Ubuntu 12.10 是 支援 Secure Boot 的所有 作業系統中的第一個 出品版本
當然 Windows 8 現在已經支援 Secure Boot (註 Windows 8 比 Ubuntu 12.10 稍慢 上市)
我確信 Matthew Garrett (這個 Secure Boot 程序 極受歡迎的 合編作者) 已經爲 即將出品的 Fedora 18 的新版本
安排妥善 (註 支援 Secure Boot 程序)

That's certainly something of a bittersweet achievement. I'm proud of the work we've done to ensure Ubuntu will continue to work out of the box on the consumer hardware of the future; in spite of the predictable accusations on the blogowebs that we've sold out, I sleep well at night knowing that this was the pragmatic decision to make, maximizing users' freedom to use their hardware. All the same, I worry about what the landscape is going to look like in a few years' time. The Ubuntu first-stage EFI bootloader is signed by Microsoft, but the key that is used for signing is one that's recommended by Microsoft, not one that's required by the Windows 8 certification requirements. Will all hardware include this key in practice? The Windows 8 requirements also say that every machine must allow the user to disable Secure Boot. Will manufacturers get this right, and will users be able to make use of it in the event the manufacture didn't include the Microsoft-recommended key? Only time will tell. But I do think the Linux community is going to have to remain engaged on this for some time to come, and possibly hold OEMs' feet to the fire for shipping hardware that will only work with Windows 8.
這確實是一件苦樂參半的成果
我們對於 確保 Ubuntu 在未來 (支援 Secure Boot 的消費者硬體上) 將繼續 一安裝完畢 就預設 能夠 運作很好 這樣的成績 深感滿意
不理會那些部落客網頁對我們所做的讓步可預料到的指責
我在晚上睡得很好
因爲我們知道 讓使用者 能夠 獲取最大的自由度來使用他的硬體 那是多麼實用的決定
盡管如此 我也在擔心幾年後 看起來會變成什麼局面
Ubuntu 第一階段的 EFI 開機導引程式 是由 微軟公司 簽署
但是 用來簽署的 金鑰 是 由微軟公司 (另外)推薦的 與 Windows 8 簽證所需的 金鑰 不同
在實務上 是否所有的硬體都會包含這個 (Ubuntu 所需的) 金鑰呢
Windows 8 的 需求條件 中 也說明 每臺機器 必須 允許 使用者 停用 Secure Boot
如果發生(硬體)製造商未包含 微軟公司 推薦的 (Ubuntu 所需的) 金鑰 在硬體中的情況時
製造商會正確的 安排有 停用 Secure Boot 的安排 而 使用者 也都能 正確的 使用 停用 Secure Boot 的機制 ?
只有時間能回答這些擔心的問題
但是我堅信 Linux 社團 將會 在 即將到來的一段時間內 很忙碌
並且 可能給 只有支援 Windows 8 的 OEM 出貨廠商 施加壓力

But that's for the future. For now, we have a technical solution in 12.10 that solves the parts of the problem that we can solve.
但是那是將來的事
目前 在 Ubuntu 12.10 我們有一個 技術解決方法 解決了 我們能夠解決的部分

The first-stage UEFI bootloader on 12.10 install media is a build of Matthew Garrett's shim code, embedding a Canonical UEFI CA and signed by Microsoft. This is pretty much the same as the Fedora solution, just with a different key and a binary built on the Ubuntu build infrastructure rather than Fedora's.
在 Ubuntu 12.10 安裝媒介 (指 Live CD/DVD 或 Live USB) 的 第一階段 UEFI 開機載入程式 是用 Matthew Garrett's shim 編碼 所構成
除了 使用一個不同的 金鑰 及 一個 基於 Ubuntu 而非基於 Fedora 的建構基礎 所築成的 二位元程式 以外
Ubuntu 的 解決方案 與 Fedora 的 解決方案 幾乎 完全一樣

If Secure Boot is not enabled, the second-stage bootloader is booted without applying any checks. If Secure Boot is enabled, the signature is checked on the second stage before passing control, as expected.
如果 Secure Boot 未被啓動 第二階段的 開機載入程式 幾乎 沒有被套用任何檢查 就繼續開機
如果 Secure Boot 已被啓動 在第二階段的控制權 轉遞出去以前 數字簽證 會一如預期 先被檢視

The second-stage bootloader is GRUB 2. Readers may remember that there were earlier concerns about GPLv3 in the mix for some Ubuntu use cases, but these have been ironed out now in discussion with the FSF. This enables us to continue to provide a consistent boot experience across the different ways Ubuntu may be booted.
第二階段的 開機載入程式就是 Grub 2
讀者可能還記得 在 早期某些牽涉 Ubuntu 的應用案例 對於 GPLv3 有一些 疑慮
但是經過 與 自由軟體協會 的討論 這些擔心 現在已經完全消除
這使得我們能夠 在各式各樣 讓 Ubuntu 開機的方法中 繼續提供一個一貫的開機經驗

We are providing signed kernel images in the Ubuntu archive and using them by default. When a signed kernel is present, this allows the bootloader to pass control to the kernel without first calling ExitBootServices(), letting the kernel apply any EFI quirks it might need to (such as for bug #1065263).
我們在 Ubuntu 檔案庫 提供一個 已經 簽證的 核心 映像檔 並且 預設 使用這個映像檔
一旦這個 映像檔 存在 它將允許 開機載入程式 轉遞 控制權 給 這個 核心
讓這個核心 來處理 任何 EFI 可能的調皮搗亂行爲 而不必先呼叫 ExitBootServices() 來離開 開機程序

Unlike Fedora, however, we are not enforcing kernel signature checking. If the kernel is unsigned and the system has Secure Boot turned on, the Ubuntu grub will fall back to calling ExitBootServices() first, and then booting the kernel. This way, users still have the freedom to boot their own kernels on Secure Boot-enabled hardware, possibly with a slightly degraded boot experience, while the firmware remains protected from untrusted code.
然而 與 Fedora 不同的是 我們不強制要求 檢驗 核心 認證
如果 核心未經認證 而且 硬體 Secure Boot 已經啓動 Ubuntu Grub 2 將會 退回 呼叫 ExitBootServices()
然後 開機 進入 這個未經簽證的 核心
使用這個方法 在 已經啓用 Secure Boot 的硬體上 使用者 仍然 有自由 開機 載入它們自己的核心
雖然可能獲得一點點降級的開機經驗 但是 韌體 能夠受保護 避免受到 未信任的程式碼 的威脅

We are not enforcing module signing. This allows external modules, such as dkms packages, to continue to work with SB turned on. While there's potential value in being able to verify the source of kernel modules at load time, that's not something implemented for this round, and we would want such enforcement to be optional regardless.
我們不強制 模組簽證
這樣允許像 dkms 等等 外部模組 繼續在 Secure Boot 已啓用 硬體上 運作良好
雖然 讓自己有能力 在模組載入時 檢驗 核心模組的源碼 是有其潛在的價值
但是 在這一回 我們並沒有 讓它 付之實行
我們寧願讓 這樣的強制(檢驗 核心模組的源碼) 維持 可以不選取的選項

This first release gives us preliminary support for booting on Secure Boot, but there's more work to be done to provide a full solution that's sustainable over the long term. We'll be discussing some of that this week at UDS in Copenhagen.
這個第一個發行版本 (12.10) 給我們 在 Secure Boot 硬體上 開機的 初步支援 但是 要提供一個 長期 讓大家滿意的 完全解決方案 一定還有許多工作要努力 我們將在 這個星期舉行的 Ubuntu 研發高峯會 中 討論其中一部分的主題

The 12.10 solution does not include support for SuSE's MOK (machine owner key) approach. Supporting this is important to us, as this helps to ensure users have freedom and control over their machines instead of being forced to choose between disabling Secure Boot and only running vendor-provided kernels. Among other things, we want to make sure people have the freedom to continue doing kernel and bootloader development, without having to muddle their way through impossible firmware menus!
Ubuntu 12.10 解決方法 並未包含 對於 SuSE's MOK (機器主人金鑰) 的支援
上述的支援其實很重要
因爲 唯有這樣的支援 才能確保使用者 對於他們的機器 擁有自由及控制的權力
而不是被強制必須在 停用 Secure Boot 或 只有 廠商提供的核心 可以運行 之間 作選擇
在一大堆事情中 我們還需確保人民有繼續進行核心及開機載入程式研發的自由而不會被很難改變的硬體韌體選單中搞得亂七八糟

We will be enhancing the tooling around db/dbx updates, to ensure that Ubuntu users of Secure Boot receive the same protection against malware that Windows users do. This also addresses the need for publishing revocations in the event of bugs in our grub or kernel implementations that would compromise the security of Secure Boot.
我們將增強 db/dbx 周圍有關的升級 所需的 保護工具 以確保 Ubuntu 的 Secure Boot 使用者 受到 與 Windows 8 使用者 相同等級的保護 來對抗 惡意軟體
這樣 (增強工具) 也能 在 承諾保證使用者 在使用 Secure Boot 的安全上 碰到 Grub 或 kernel 實作 發生 bugs 事件時
妥善將需要公告撤回的窘境 處理得消失無形

Netboot support is currently nonexistent. The major blocker seems to be that unlike in BIOS booting we can't rely on the firmware's PXE stack, and in practice GRUB2's tftp support doesn't seem to be very robust yet. Once we have a working GRUB2 image that successfully reads files over tftp, we can evaluate signing it for Secure Boot as well.
(透過)網路開機的支援 目前是 不存在的
主要的阻礙 好像在於
1. 不像 BIOS 開機, 我們無法 依賴於 韌體的 PXE 層
2. 實務上 Grub 2 的 tftp 支援也還不太足夠
一旦 我們獲得一個有效的 Grub 2 的映像檔 能夠 成功地 透過 tftp 讀取檔案 我們也可以評估 在 Secure Boot 上 簽署 網路開機 的可行性

And as part of our committment to enabling new hardware on the current LTS release, we will be backporting this work for inclusion in 12.04.2.
由於交付給我們的任務之一部分 是 讓現在的 LTS 發行版本 也可以 啓動 新的 (Secure Boot) 硬體
我們將往後支援 將這部分作品 包含進 Ubuntu 12.04.2 發行版中

It remains to be decided how Debian will approach the Secure Boot question. At DebConf 12, many people seemed to consider it a foregone conclusion that Debian would never agree to include binaries in main signed by third-party keys. I don't think that should be a given; I think allowing third-party signatures in main for hardware compatibility is consistent with Debian's principles, and refusing to make Debian compatible with this hardware out of the box does nothing to advance user freedom. I hope to see frank discussion post-wheezy about keeping Debian relevant on consumer hardware of the future.
Debian 將如何切入 Secure Boot 的問題 好像還懸而未決
在 DebConf 12 會議上 許多人 好像認爲 Debian 應該不會同意 在 main 套件庫 包含使用第三方金鑰所簽署的 二位元檔案 的結論 是早就可以預料得到的事了
我倒不認爲結果一定是這樣
我認爲 爲了硬體的相容性 考慮 在 main 套件庫中允許包含經第三方金鑰簽證的檔案 是 與 Debian 的 原則 一致的
拒絕讓 Debian 一完成安裝 就能 相容於 硬體 對於 增進 使用者的 自由 是毫無幫助的
我期望在 wheezy 發行後期 能夠 就 在 未來的消費性硬體上 如何保持 Debian 相關的論題 來個坦白的討論

後記
我儘量 意譯 以增加 可讀性
就難免加上我的猜測與潤飾
如果與原作者 意思差距 太大
歡迎指正

Due to time pressures, only some flavors released with 12.10 will install and boot on Secure Boot hardware:
因爲時間壓力 Ubuntu 12.10 只有在下述衍生版本 可以 在 Secure Boot 硬體上 安裝及開機

Ubuntu desktop
Ubuntu server
Edubuntu

We expect to enable all other flavors in 13.04.
我們希望 可以讓 所有的 Ubuntu 13.04 的衍生版本 都能在 Secure Boot 硬體上 安裝及開機

Secure boot

什麼是 Secure Boot ?

The UEFI 2.2 specification adds a protocol known as Secure boot, which can secure the boot process by preventing the loading of drivers or OS loaders that are not signed with an acceptable digital signature.

UEFI 2.2 規格 增加了 一個 稱爲 Secure Boot 的協定
它可以 保護 開機程序
避免載入 沒有使用 可接受的數字簽證 來簽證過的 驅動程式 或 作業系統載入程式

When secure boot is enabled, it is initially placed in "Setup" mode, which allows a public key known as the "Platform key" (PK) to be written to the firmware.

當 Secure Boot 被啓動之初 是被置於 Setup 模式
允許 公鑰 "Platform key" (簡稱 PK) 寫入 韌體中

Once the key is written, secure boot enters "User" mode, where only drivers and loaders signed with the platform key can be loaded by the firmware.

一旦 公鑰 被寫入 韌體後 Secure Boot 進入 User 模式
只有 使用 "Platform key" (簡稱 PK) 簽署過的 驅動程式 或 載入程式 可以被 韌體載入

Additional "Key Exchange Keys" (KEK) can be added to a database stored in memory to allow other certificates to be used, but they must still have a connection to the private portion of the Platform key.

額外的附加金鑰 "Key Exchange Keys" (KEK) 可以加到 儲存在 記憶體 的 資料庫
以便允許其它簽證證書可以被使用
但是它們 必須與 前面所說的 公鑰 "Platform key" (簡稱 PK) 的 私部分 有個連結

Secure boot can also be placed in "Custom" mode, where additional public keys can be added to the system that do not match the private key.

Secure boot 也可以 處於 Custom 模式
與 私鑰 不吻合 額外公鑰 可以被加進系統裏

Shimming your way to Linux on Windows 8 PCs
December 4, 2012

摘錄

Garrett, formerly a Red Hat programmer and now a security developer at Nebula, an OpenStack private-cloud company, announced on November 30th that he was "pleased to say that a usable version of shim is now available for download. … This is intended for distributions that want to support secure boot but don't want to deal with Microsoft."

Garrett 於 11/30/2012 宣佈 一個可以使用的 shim 版本 已經可以提供下載 :
Index of /~mjg59/shim-signed
這個 shim 版本 可以讓 想要 支援 Secure Boot 但是 不願意 向 微軟 交涉的 Linux 發行版本 如願以償

What Garrett has done with his shim approach is to create a signed boot-loader that can add keys to its own database.

Garrett has added the a user-interface

With this, instead of stopping when a here-to-fore untrusted key appears, the user can navigate the available file-systems, choose a key and indicate that they want to add it to the key database. From that time on, the boot-loader will trust binaries signed with that key.

What this means is that Linux, or other operating systems, can "take an existing signed copy of shim and put it on their install media, along with a file containing their key. If a user attempts to boot then the boot will fail because the second stage boot-loader isn't signed with a trusted key, but the user can then use the navigator and select the distribution's key file. After providing confirmation and rebooting, the second stage boot-loader's signature will now be recognized and the installer will boot."

這意味者 Linux 或 其它作業系統 可以取得 一個 已認證的 shim 副本
把它放在 安裝媒介上 (例如 Live CD/DVD 或 Live USB) 的某個檔案內 即可.
如果 使用者 第一次開機 失敗 (原因可能是 第二階段 的 開機導引程式 未經可信任的金鑰簽證)
一個選單領航會導引使用者選擇該發行版的金鑰檔案
當使用者按下確認鍵並且重新開機後
第二階段的開機導引簽證已經可以被辨識出來
然後 安裝程式 就可以 繼續 進行 開機 程序

So, for example, with this shim program in place, a user can choose to trust your distro's key and proceed to boot and install it on their Windows 8 PC. Additional security can also be added to this approach to beat back automated attacks.

The shim method is meant for developers to make it easy for end-users to boot and install Linux. It's not meant for Joe or Jane user at home. That said, it should lead to many more distributions being easier to use on Windows 8 PCs.

進一步 閱讀 Garrett 的 宣告
Secure Boot bootloader for distributions available now

打開 Windows 8 Metro ... 咦 怎麼 蹦出 企鵝 ?



One Linux developer, Matthew Garrett, has managed to get Microsoft to sign a pre-bootloader called Shim. You can download it today and use it to boot Linux on your Windows 8 machine. Shim should soon find its way into SUSE, Fedora, Ubuntu, and other major Linux distros.

一個 Linux 研發人員 Matthew Garrett 已經 想法 取得 微軟 簽署的 預載開機引導程式 稱爲 Shim.
你可以現在立即下載它並且用它來在 Windows 8 電腦上 開機載入 Linux.
Shim 將很快在 SUSE, Fedora, Ubuntu 及其它 主要 Linux 版本 找到 發揮的舞臺

資料來源
Linux (slowly) comes to Windows 8 PCs with UEFI secure boot

補充說明

#2 曾說
Ubuntu 今年 9 月份的新方案
Quetzal is taking flight & update on Ubuntu secure boot plans
Therefore, we have decided that Grub 2 is the best choice for a bootloader, and will use only Grub 2 in Ubuntu 12.10 and 12.04.2 by default.
Ubuntu 12.10 and 12.04.2 決定 採用 Grub 2 爲唯一預設的開機導引程式

但是 這個 Grub 2 的 金鑰 誕生 還有得等 因爲 ... 還在等 微軟 關愛的眼神

The Linux Foundation is developing an “official” workaround, but as of November it still hadn’t received Microsoft’s blessing.

0. 前言

今天 朋友拿來一臺 Toshiba Satellite L850
預裝 Windows 8
但是 他花了 一個星期 還不順手 讓我幫他看看 # 他使用 Windows 7 好幾年了
趁機 測試一下 Ubuntu 如何 在 Toshiba Satellite L850 使用
分段 把 值得 記錄 的 筆記 來與 大家 分享

1. 如何 讓 Ubuntu 12.04 Live USB 開機
1-1. 按住 F12
1-2. 開機 或 重開機
1-3. 選 <Enter Setup>
1-4. 進 Setup Utility
1-5. 選 Security / Secure Boot / [Enable] 改爲 [Disable]
1-6. 選 Advanced / Boot Mode / [UEFI Boot] 改爲 [CSM Boot]
1-7. 設定 USB 優先 開機
1-8. save and reboot
1-9. 成功 使用 Ubuntu 12.04 Live USB 開機 進入 試用 桌面
1-10. 額外注意 如果 嘗試 恢復 出廠值 不可以 按 LOAD DEFAULT

2. 使用 三個 與 硬碟分割 有關的 指令 看看 Windows 8 如何 分割 硬碟

2-1. sudo fdisk -l # 無法 正確 偵測 出 /dev/sda 如何 分割

WARNING: GPT (GUID Partition Table) detected on '/dev/sda'! The util fdisk doesn't support GPT. Use GNU Parted.
Disk /dev/sda: 750.2 GB, 750156374016 bytes
256 heads, 63 sectors/track, 90845 cylinders, total 1465149168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x00000000
Device Boot Start End Blocks Id System
/dev/sda1 1 4294967295 2147483647+ ee GPT
Partition 1 does not start on physical sector boundary.

2-2. sudo parted -l # 這個指令 已內建 最簡單 清楚

Model: ATA Hitachi HTS54757 (scsi)
Disk /dev/sda: 750GB
Sector size (logical/physical): 512B/4096B
Partition Table: gpt
Number Start End Size File system Name Flags
1 1049kB 473MB 472MB ntfs Basic data partition hidden, diag
2 473MB 746MB 273MB fat32 Basic data partition boot
3 746MB 880MB 134MB ntfs Basic data partition msftres
4 880MB 739GB 738GB ntfs Basic data partition
5 739GB 750GB 11.1GB ntfs Basic data partition hidden, diag

2-3. sudo gdisk -l /dev/sda
gdisk 必須額外安裝 安裝前 universe 套件庫 需加入 軟體來源
指令後面 一定要加 裝置名稱 例如 /dev/sda 否則 會出現 錯誤訊息

GPT fdisk (gdisk) version 0.8.1
Partition table scan:
MBR: protective
BSD: not present
APM: not present
GPT: present
Found valid GPT with protective MBR; using GPT.
Disk /dev/sda: 1465149168 sectors, 698.6 GiB
Logical sector size: 512 bytes
Disk identifier (GUID): 9E65797E-2E8F-497B-8063-07D0B8A36F30
Partition table holds up to 128 entries
First usable sector is 34, last usable sector is 1465149134
Partitions will be aligned on 2048-sector boundaries
Total free space is 3757 sectors (1.8 MiB)
Number Start (sector) End (sector) Size Code Name
1 2048 923647 450.0 MiB 2700 Basic data partition
2 923648 1456127 260.0 MiB EF00 Basic data partition
3 1456128 1718271 128.0 MiB 0C01 Basic data partition
4 1718272 1443543039 687.5 GiB 0700 Basic data partition
5 1443543040 1465147391 10.3 GiB 2700 Basic data partition

3. 如何 恢復 Secure Boot 以 利 Windows 8 開機
3-1. 按住 F12
3-2. 開機 或 重開機
3-3. 選 <Enter Setup>
3-4. 進 Setup Utility
3-5. 選 Advanced / Boot Mode / [CSM Boot] 改爲 [UEFI Boot] # 注意 這個先改
3-6. 選 Security / Secure Boot / [Disabled] 改爲 [Enabled] # 這個 才會出現
3-7. 設定 /dev/sda 硬碟 優先 開機
3-8. save and reboot
3-9. 成功 使用 Windows 8 開機 進入 Windows 8 桌面
3-10. 額外注意 如果 嘗試 恢復 出廠值 不可以 按 LOAD DEFAULT

4. 有空 再來研究 每個分割區 的用途

poloshiao 寫到：
1. 如何 讓 Ubuntu 12.04 Live USB 開機
1-1. 按住 F12
1-2. 開機 或 重開機
1-3. 選 <Enter Setup>
1-4. 進 Setup Utility
1-5. 選 Security / Secure Boot / Disabled
1-6. 選 Advanced / Boot Mode / [UEFI Boot] 改爲 [CSM Boot]
1-7. 設定 USB 優先 開機
1-8. save and reboot
1-9. 成功 使用 Ubuntu 12.04 Live USB 開機 進入 試用 桌面
1-10. 額外注意 如果 嘗試 恢復 出廠值 不可以 按 LOAD DEFAULT

根據我們「非常有限」的經驗，目前「好像」只有「64-bit Ubuntu 12.10」才能跟UEFI/Windows 8共存。如果勉強用CSM/MBR來裝Ubuntu 12.04的話，很可能會把GPT的partition table破壞掉，就不能從Windows 8開機了。

因爲這個緣故，我們已計劃逐步將一些機器轉到64-bit Ubuntu 12.10。

補充： 目前裝Ubuntu (12.10, 64-bit）唯一的問題只是必須把secure boot關掉。用UEFI/GPT的好處之一就是它不像MBR，不必分primary 或 logical partitions，用習慣後，會覺得比MBR方便多了。

pwzhangz 寫到：
補充： 目前裝Ubuntu (12.10, 64-bit）唯一的問題只是必須把secure boot關掉。用UEFI/GPT的好處之一就是它不像MBR，不必分primary 或 logical partitions，用習慣後，會覺得比MBR方便多了。

理論上應該有一定機率不用關掉才對...
因為 Ubuntu 12.10 x86 64 位元版本應該已經包含被簽署的開機載入程式了
只要廠商有將 key 匯入機器...

目前「好像」只有「64-bit Ubuntu 12.10」才能跟UEFI/Windows 8共存。

已經確認的 Bug 32 bits Ubuntu 無法辨識 EFI
Ubuntu32bits is incompatible with EFI computers
需要等這個 Bug 解決了 才能安裝 32 bits 的 Ubuntu