GPU が UEFI GOP 対応ってどういうことなんだろう？

基本的に以下はとりあえずのメモ書きみたいなものなのであんまり信用しないでください。

UEFI というのはPC の OS とデバイスのファームウェアの間の入出力を規定する規格で、従来この用途で使用されていた BIOS の置き換えとして登場したわけですが、今回話題にする GOP (Graphics Output Protocol) というのはその UEFI のグラフィックス出力に関する部分です。

要するに GOP というのは、PC で映像を表示するのに従来使用されていた方式である VGA を置き換える方式として登場したようです。

従来の VGA BIOS は OS が起動してからもそのまま使用されることがありましたが、GOP は OS が起動するまで用だそうです。つまり OS が起動中の画面や、esc や f10 とかを押して入る設定画面、メーカーのロゴなどの表示用ということなんでしょう。

用語について

ウィキペディア英語版によれば UGA (Universal Graphic Adapter) という類似の概念もあるようです。

UEFI 分野では、従来方式の VGA を VGA BIOS、VBIOS いう異称で呼ぶ場合もあるようです（インテルのサイトなど）。

ただし、グラフィックスのファームウェアを VBIOS という場合もある模様。例えば、「GOP 対応版の VBIOS」とか言ったりする。

オプション ROM というのは要するに BIOS に対して、GPU とか HDD とかのファームウェアのこと。

違いは？誰得？

Secure Boot を利用するには、グラフィックスが GOP に対応していることが必要になるそうです。

Secure Boot は UEFI 2.2 から定められていて、起動毎にファームウェアや OS の署名がチェックされ、それらが改変されていないことを検証してくれるそうです。

なお OS も対応している必要があります。Windows では Windows 8 以降が対応しています。

Secure Boot はその名のとおり起動段階のセキュリティです。OS を改ざんしてしまうようなマルウェア対策にはなるかもしれませんが、起動後に実行されるようなマルウェアとかには効果はないでしょう。

副作用として、署名のない OS とかは起動できなくなります。Linux などを起動できなくするための仕様では？という批判もあるぐらいで、一般ユーザーにはあんまりメリットはないような気がします。なおほとんどの PC では無効に設定できます。

マイクロソフトは Windows 10 プレインストールモデルでは Secure Boot を出荷時に必須としているようです。ただし Windows 10 のデスクトップ版（ノートブックとかも含めた普通の PC 用と思われる）では無効に設定できるようにしてもいいが、モバイル版では無効にできるようにしてはならないとしているようです。

http://www.pcworld.com/article/2901262/microsoft-tightens-windows-10s-secure-boot-screws-where-does-that-leave-linux.html

セキュア ブートの概要

https://msdn.microsoft.com/ja-jp/library/hh824987.aspx

セキュア ブートの無効化

https://msdn.microsoft.com/ja-jp/library/dn481258.aspx

Fedora 18 UEFI Secure Boot Guide Edition 18.4

https://docs.fedoraproject.org/en-US/Fedora/18/html/UEFI_Secure_Boot_Guide/index.html

Fast Boot はその名の通り、起動を早くしてくれるオプションで、GOP では従来の VGA に比べて起動時間を短縮できるような工夫がされているためか、GOP に対応していることが必要なようです。

なお、ベンダーによって呼称はまちまちなようで、Fast と Ultra Fast があって、前者は GOP に対応していなくても可能だが、後者は GOP が必須、などといったマザーボードもあるようです。

http://www.tenforums.com/tutorials/21284-fast-boot-enable-uefi-firmware-settings-windows-8-10-a.html

UEFI GOP に対応したグラフィックスを UEFI に対応していないマザーボードで利用できるか？

GOP と 従来の VGA の両方をサポートする実装も想定される。

http://www.uefi.org/sites/default/files/resources/UPFS11_P4_UEFI_GOP_AMD.pdf

ほとんどの場合、GOP に対応したカードは従来の VGA もサポートしているため利用可能。

交換可能なグラフィックスのファームウェアの署名

ちょっと古いですが、UEFI フォーラム公式の資料によると以下のようにあります。

Who should sign the GOP image on add-on graphic cards? 

GOP driver image will need to be signed and authenticated in
order to support secure boot. On mobile platform, signing
is obviously platform vendor’s but not graphic vendor’s
responsibility. However, for add-on graphic cards, who
should be signing remains a question. 

We believe it should be graphic card vendor’s responsibility,
otherwise, it will create a huge business impact if an addon
card needs different platform vendors to sign for
different platforms. Distribution of the public key is a
problem, however.

グラフィックスのファームウェアの署名は、グラフィックスを交換できないモバイル機器の場合では、PC の製造元の署名になるが、あとから追加交換できるようなグラフィックスの場合では、グラフィックス カードのベンダーの署名になるとのことです。