手机制造商总是会锁定其设备的引导加载程序 - 即阻止您获得设备的 root 访问权限,或卸载默认操作系统并安装其他内容。有多种方法可以解锁引导加载程序,但您必须克服重重困难才能完成(难度因品牌而异,有时甚至无法完成)。
同时,PC 的引导加载程序始终处于解锁状态。您可以将 USB 插入全新设备(无需额外步骤)并安装任何您想要的东西。我没有 Mac 设备,所以我可能错了,但我听说 Mac 引导加载程序也没有锁定;这就是 Asahi Linux 成为可能的原因。
PC 制造商(如果我没记错的话,Mac 也是这样?)像手机制造商一样锁定引导加载程序,即控制哪些软件可以在他们的设备上运行,从而保持市场份额,这完全合情合理。他们为什么不这样做呢?当许多 PC 品牌也生产手机时,他们的 PC 附带的引导加载程序是解锁的,而手机是锁定的,这就更说不通了。为什么会有这种差异?
对于公司来说,是否有经济激励来保持其 PC 的引导加载程序处于解锁状态(例如企业客户)?
是否有法律要求 PC 引导加载程序不得被锁定(例如反垄断法)?
答案1
在使用需要获得安全标准认证的设备时,由于所处理数据的敏感性,有关于如何应用设备安全性(即锁定设备)的指导文件。以及其他回答,您可能还需要考虑 TPM 和 DMA 保护。例如英国 NCSC设备安全指南 - 选择设备包括:
经过现代待机认证的设备必须满足以下所有要求UEFI 安全启动并启用它. 他们不应该允许 DMA 访问的端口并且将会TPM 2.0或更高版本。
A可信平台管理是一个单独的加密协处理器,提供硬件支持的安全功能。这些功能显著提高了设备的物理安全性,并且是使用静态数据加密处于最安全的配置。尽可能优先选择包含 TPM 2.0 的设备。
由于某些设备锁定依赖于操作系统,例如支持 静态数据加密Bitlocker 用于 Windows,而 UKS/dm-crypt 磁盘加密用于 Ubuntu,可以理解为什么 PC 制造商提供解锁的设备。
答案2
“为什么”有很多不同的层次。从实际角度来看,你的手机在你的口袋或钱包里,不太可能获得任何外围设备。换句话说,它的物理安全性很差,启动时不需要为任何新设备供电。由于每个关于安全性的决定也是关于用户便利性的决定,因此对手机的引导加载程序进行严格的安全性非常有意义。
相反,您的电脑很可能被物理锁锁住(在家里或公司),并且有许多“可升级”的部件,在您安装新的视频卡、新的驱动器、更多 RAM 等后可能需要通电……这里的安全权衡是不同的——用户可以自行修改,并且对物理安全的期望更高。