是否有 UEFI 安全启动的开源替代方案？

最接近 UEFI 替代方案的是核心引导。

实际上，验证安全启动签名的部分是打开。它是英特尔 TianoCore 的一部分。问题是，当您购买现成的硬件时，无法检查硬件供应商实际放入的内容。但这是 PC 固件的普遍问题，而不是安全启动本身的问题。

开源操作系统本身（例如 Linux 或 FreeBSD）中安全启动的系统端也是完全开源的。

安全启动确实有其问题 - 签名方案非常糟糕 - 但“缺乏开放性”并不是其中之一。

这并不是真正的直接替代方案，也可能不是您正在寻找的，但需要 TPM（可信平台模块）的类似解决方案称为“可信启动”或 tboot。它在一些关键方面有所不同，但其最终目标是相同的 - 在引导链和系统状态中建立一定程度的信任。

Tboot 本身实际上是一个称为 MLE（或测量启动环境）概念的开源实现。简而言之，它是一团二进制代码，执行并利用 Intel TXT 将机器置于特权和可信状态，然后可以对操作系统和相关组件进行测量（TPM 1.2 中的 SHA-1 哈希值），以及将它们推送到 TPM 以安全存储。例如，在 Linux 中，tboot 可以设置为在内核加载之前立即执行，它将生成内核二进制文件、内核参数和 initramfs 映像的哈希值，并将它们分别发送到 TPM。

此外，TPM 和兼容的主板/BIOS 还允许在启动过程的早期对系统中的各种组件进行测量，例如 BIOS 映像本身、自定义 BIOS 设置、PCI 卡固件（GPU、NIC 等） ）、引导加载程序（例如 grub）等等。您可能想知道这些测量有什么用处？好吧，他们自己并不多。相反，当且仅当这些测量值是特定值时，TPM 可用于执行许多操作，例如读取/写入 TPM NVRAM，或解密只有 TPM 可以解密的密钥。这些测量结果还可以安全地（如果需要的话可以匿名）传送给另一方，以便该方可以远程建立信任。随后，如果 TPM 在其 PCR 中有一些特定的测量，系统可以被设计为仅启动或执行某些软件，这意味着它启动了一组特定的软件 - 即它提供了完整性。

从根本上讲，TPM 和 tboot 相结合提供了广泛的系统覆盖范围，至少在纸面上据我所知，可以通过使用 API 将哈希值发送到 TPM 进行存储来扩展以测量/哈希几乎任何您想要的内容。需要注意的一件重要事情是，哈希值不会简单地直接加载到 TPM 中。相反，当哈希值要存储在 TPM（PCR 或平台配置寄存器）的内部寄存器中时，它会与寄存器的先前值连接，并对 blob 进行哈希处理，并将结果存储在寄存器中。结果是每个寄存器都会累积状态，并且一路上的任何差异都会导致最终值发生变化。这称为 tpm“扩展”。

从根本上讲，我认为 TPM 和 tboot 提供的功能比安全启动多得多。 TPM 是一种通用加密协处理器，可用于安全存储、RNG、向其他主机报告系统状态（证明）等。

与安全启动不同的是，安全启动利用签名并在签名未签出时停止启动过程，而 TPM/tboot 不使用签名，也不会直接停止启动序列。相反，系统必须设计为通过要求 TPM 执行某些操作来防止启动失败，只有当系统处于某种定义的状态（如果需要）时，它才会执行这些操作。

至于您对开源位及其透明度的担忧，即使是 tboot/TPM 也会深入到隐式信任的层次，实际上，这在我看来是不可避免的信仰飞跃，除非实际上每个软件都是开源的，以及硬件，以及硬件原理图都被理解了。对于 tboot 和 TPM，这种隐式信任一直延伸到芯片组和处理器本身。据称，公钥校验和被嵌入到芯片组中，处理器微代码使用该校验和来启动信任链。我所拥有的文本中并未完全解释此校验和，但所解释的是签名是由驻留在 BIOS 映像中的代码块上的处理器微代码验证的，该代码块对于 SRTM 称为 BIOS ACM，对于 DRTM 称为 SINIT ACM。当然，为了验证签名，必须使用公钥，我的猜测是，由于空间原因，公钥嵌入到 ACM 中，并根据前面提到的硬件驻留校验和进行验证。