تصادف أن أترجم هذا المقال الذي كتبه جيمس بوتوملي، المستشار الفني لـ مؤسسة لينكس، الذين بدأوا في التجميع محمل ما قبل الإقلاع حتى تتمكن من تشغيل Linux.
كما أوضحت في رسالتي السابقة ، لدينا رمز أداة تحميل التمهيد المسبق لمؤسسة Linux Foundation. ومع ذلك ، كان هناك ملف تأخير بينما كان لدينا حق الوصول إلى نظام توقيع Microsoft.
أول شيء فعله هو دفع 99 دولارًا إلى Verisign (الآن Symantec) وتحقق من مفتاح بواسطة Verisign. لقد فعلنا ذلك لمؤسسة Linux Foundation ، وكل ما يريدون فعله هو الاتصال بالمقر الرئيسي للتحقق. يعود المفتاح إلى عنوان URL مثبت في متصفحك ، ولكن يمكن استخدام أدوات Linux SSL القياسية لاستخراجه وإنشاء شهادة ومفتاح PEM معتاد. لا علاقة له بتوقيع UEFI ، ولكنه يستخدم للتحقق من صحة النظام com.sysdev مايكروسوفت أنك من تقول أنت. قبل أن تتمكن من إنشاء حساب sysdev ، يجب عليك اختباره التوقيع على ملف قابل للتنفيذ يعطونك وتحميله. إنهم يضعون متطلبات صارمة بأن تقوم بالتوقيع عليها على نظام أساسي معين من Windows ، ولكن sbsign نجح على الأقل وتم إنشاء حسابنا البنغو.
بمجرد إنشاء الحساب ، لا يزال يتعذر عليك تحميل ثنائيات UEFI للتوقيع بدون أولاً توقيع عقد ورقي. الاتفاقيات مرهقة للغاية ، بما في ذلك الكثير من التراخيص المستبعدة (بما في ذلك جميع تراخيص GPL للسائقين ، ولكن ليس لمحمل الإقلاع). الجزء الأكثر صعوبة هو أنه يبدو أن الاتفاقات قد وصلت خارج كائنات UEFI التي توقعها. خلص محامو مؤسسة Linux إلى أن هذا غير ضار في الغالب لشركة LF لأننا لا نبيع المنتجات ، ولكن يمكن أن يكون ذلك مثيرًا للاشمئزاز للشركات الأخرى. وفقًا لماثيو جاريت ، فإن Microsoft على استعداد للتفاوض بشأن صفقات خاصة مع التوزيعات للتخفيف من بعض هذه المشكلات.
بمجرد التوقيع على الاتفاقات ، تصبح حقيقية متعة تقنية. لا يمكنك فقط تحميل ثنائي UEFI وتوقيعه. أولا عليك لفه في ملف .cab. لحسن الحظ ، هناك مشروع مفتوح المصدر يمكنه إنشاء ملفات خزانة تسمى lcab. ثم عليك أن قم بتوقيع ملف .cab باستخدام مفتاح Verisign. مرة أخرى ، هناك مشروع آخر مفتوح المصدر يمكنه القيام بذلك: osslsigncode. بالنسبة لأي شخص يحتاج إلى هذه الأدوات ، فهي متوفرة في مستودع OpenSuse Build Service UEFI الخاص بي. المشكلة الأخيرة هي أن رفع الملف يتطلب سيلفر لايت. لسوء الحظ ، يبدو أن ضوء القمر لا يعمل ، وحتى مع معاينة الإصدار 4 ، يصبح مربع التحميل فارغًا ، لذا حان الوقت لاستخدام Windows 7 تحت kvm (آلة افتراضية تعتمد على kernel). عندما تصل إلى هذا الجزء ، عليك أيضًا أن تصدق على أن الثنائي "سيتم التوقيع عليه ، يجب ألا يكون مرخصًا بموجب GPLv3 أو تراخيص مفتوحة المصدر مماثلة". أفترض أن هذا خوفًا من الكشف عن المفتاح ولكنه ليس واضحًا على الإطلاق (نفس الشيء مع "تراخيص مفتوحة المصدر مماثلة").
بمجرد اكتمال التحميل ، يتوقف ملف الخزانة خلال سبع مراحل. لسوء الحظ ، بقي أول اختبار تسلق مغلق في المرحلة 6 (توقيع الملفات). بعد 6 أيام ، أرسلت بريدًا إلكترونيًا للدعم إلى Microsoft يسأل عما يحدث. الإجابة: "رمز الخطأ الناتج عن عملية التوقيع هو أن الملف ليس تطبيق Win32 صالحًا. هل هو تطبيق Win32 صالح؟ ". الإجابة: من الواضح أنها لا ، فهي نسخة ثنائية صالحة لـ UEFI 64 بت. لم يكن هناك المزيد من الإجابات...
حاولت مرة أخرى. هذه المرة تلقيت رسالة بريد إلكتروني للتنزيل للملف الموقع ويقول المجلس ذلك فشل التوقيع. قمت بتنزيله والتحقق منه. يعمل البرنامج الثنائي على نظام التشغيل الآمن ويتم توقيعه باستخدام المفتاح
الموضوع = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
المُصدر = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011سألت الدعم لماذا أشارت العملية إلى فشل ولكن كان لدي تنزيل صالح وبعد سلسلة من رسائل البريد الإلكتروني ، أجابوا "لا تستخدم هذا الملف الذي كان وقع خطأ. سوف اعود اليك. " ما زلت غير متأكد من المشكلة ، ولكن إذا نظرت إلى موضوع مفتاح التوقيع ، لا يوجد شيء في المفتاح للإشارة إلى مؤسسة Linux، لذلك أظن أن المشكلة تكمن في أن الثنائي قد تم توقيعه بمفتاح Microsoft عام بدلاً من مفتاح محدد (وقابل للإلغاء) مرتبط بمؤسسة Linux Foundation.
ومع ذلك ، فهذه هي الحالة: سنستمر في انتظار Microsoft لمنح Linux Foundation برنامج تحميل مسبق تم توقيعه والتحقق من صحته. عندما يحدث ذلك ، سيتم تحميله على موقع Linux Foundation ليستخدمه الجميع.
مصدر: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
ارسم استنتاجاتك ، لكن هذا سيستغرق وقتًا.
إذا تم حل مشكلة أجهزة الكمبيوتر مع نظام Win8 OEM الذي يأتي مع نظام UEFI بالفعل عن طريق تعطيل UEFI من BIOS ، يبدو لي أن كلاً من مؤسسة Linux و Fedora و Ubuntu وأنا لا أعرف أي توزيعة أخرى ، يدفع ثمن الشهادة ويقبل القيود التي تفرضها Microsoft.
يجب أن نتوقف عن أن نكون المصابيح !!!!!
لكنني أعلم أن Windows 8 لا يزال بدون تمهيد
ههههه ، ولا حتى صفقة كبيرة. حسنا على الاقل لأجلي. إنه رأي شخصي لا أريد الإساءة إلى أحد.
لا يمكن تعطيل UEFI من BIOS ، لأن UEFI هو البرنامج الثابت الذي يأتي ليحل محل أكثر من BIOS طويل العمر.
ما نتحدث عنه هو Secure Boot ، وهي ميزة UEFI تتحقق من صحة البرنامج الذي نبدأ به الكمبيوتر من خلال التوقيعات الرقمية ، وهو التمهيد الآمن الذي يجب تعطيله.
الأمر ليس بهذه البساطة مثل تعطيل Secure Boot ، وهذا كل شيء ، فمن الضروري أن تفكر الشركة المصنعة في تضمين قائمة تسمح للمستخدمين بتعطيل Secure Boot ، إذا لم ترغب الشركة المصنعة في تعطيلها ، فسيكون من الصعب جدًا أن يتمكن المستخدم من ذلك القيام بذلك ، ربما الذهاب إلى أقصى حد من الاضطرار إلى استبدال البرامج الثابتة للوحة الأم ببرنامج غير رسمي.
سيكون حل Linux Foundation حلاً "عالميًا" لأي جهاز مصاب بهذا المرض وسيسمح بتثبيت أي نظام بدفع توقيع رقمي واحد مرة واحدة فقط ، وهو بالتأكيد ما يخيفهم ولماذا يفعلون الكثير صلى
«ليس الأمر بسيطًا مثل تعطيل Secure Boot ، وهذا كل شيء ، فمن الضروري أن تفكر الشركة المصنعة في تضمين قائمة تسمح للمستخدمين بتعطيل Secure Boot ، إذا لم ترغب الشركة المصنعة في تعطيلها ، فسيكون ذلك معقدًا للغاية بالنسبة للمستخدم لتتمكن من القيام بذلك ، »
لذا ما يجب القيام به هو حملة محو الأمية الرقمية حيث يتم شرحها للمستخدمين أنهم يطلبون أجهزة كمبيوتر بهذه الميزة وبدلاً من ذلك يشترون أجهزة أخرى.
كل هذا هو كسب المال من خلال التحقق من صحة ما يمكن وما لا يمكن التمهيد باستخدام التمهيد الآمن.
لا يمكن تمييز عدم الكفاءة الكلي عن النوايا السيئة.
على الرغم من وجود عبارة مشهورة لروبرت جيه هانلون تقول: "لا تنسب أبدًا إلى الحقد الذي يفسره الغباء بشكل كافٍ" ، في حالة Microsoft الخاصة ، هناك العديد من الصعوبات السخيفة لعملية يفترض أنها جيدة التصميم ومبتكرة من أجل أمان أفضل ، لا يزال يعطي انطباعًا بأنهم يعيقون مؤسسة Linux بحيث لا يمكن تثبيت Linux على أجهزة كمبيوتر جديدة مع UEFI ، بحيث لا يكون لدى Microsoft منافسة.
بالضبط. لا تعجبني الفكرة ، البداية الآمنة المفترضة ... إنها تخيفني. يبدو لي أن Microsoft لديها ... أغراض المافيا.
لقد سئمت أكثر من Microsoft وتلاعبها ، بل إنني خائف من نواياها ، وتعبت من التظاهر بالسيطرة على كل من أجهزة الكمبيوتر أو الأجهزة الموجودة في السوق.
آمل أن ينتهي Linux من الإقلاع بشكل جماعي وأن يسود بين المستخدمين النهائيين وأن يتم تهميش Windows أخيرًا ، تمامًا ، بسبب حماقة نظام التشغيل كما هو.
هذا يذكرني ببراءة الاختراع الممنوحة لشركة Microsoft والتي يتم بموجبها تقييد النظام الافتراضي ، ولإلغاء تأمين إمكاناته الكاملة أو تثبيت أي برنامج تابع لجهة خارجية ، فإن التراخيص ضرورية والتي ، بالطبع ، يتعين على المستخدم أو المستخدمين الدفع مقابلها. الجهات الخارجية التي تريد تثبيت تطبيقاتها على نظام التشغيل. كونهم لم يطبقوا ذلك بعد ، لا يعني أنهم لا يعتزمون ذلك ، ولدي انطباع بأن UEFI يجهز الأرضية لذلك.
ما يفاجئني هو أن ثنائيات 64 بايت تفشل وتفرض ثنائيات 32 بت…. إنها رجعية ، ولا يكاد يوجد أي معالجات معمارية جديدة x86 32 بت في السوق. يجب أن يعمل عند 64 بت.
ش ش
التوقيع الرقمي أو التمهيد الآمن يحاول منع "شيء" آخر غير النظام من التمهيد. كما أنه من أجل تجنب ما يسمى بالقرصنة أو النسخ غير القانوني للبرامج الاحتكارية.
إن إجراء تحليل وإجراء بعض الأبحاث حول ما يسمى بـ Win8 الآمن مع التمهيد الآمن الذي تم التباهي به كثيرًا قد أثبت عدم كفاءته حيث اكتشفوا مؤخرًا ثغرة أمنية.
نظرًا لما سبق ، وبدون الحاجة إلى أن تكون عبقريًا في الصناعة ، مع دكتوراه وغيرهم ، يمكن استنتاج أنه مجرد مفهوم تسويقي مصحوب بفرضية Microsoft في أن تصبح نظامًا مغلقًا على غرار التفاح.
المراجعة والاستشارة والدراسة شخصياً يمكنني القول من وجهة نظري الشخصية أن UEFI / التمهيد الآمن هو عملية احتيال وخدعة تهدف فقط إلى إجبار مشروع Microsoft ودعمه لإغلاق نظامها الإيكولوجي بالكامل ، مع الاستفادة من حقيقة أنه لا يزال بإمكانها ممارسة بعض الضغط في قطاع الحوسبة الشخصية.
في هذه العطلة ، سأجد طريقة لمقاضاة Microsoft. أنا أكرههم.
هيهي ، إذا كانت لدي الرغبة والوقت ، فسأطالبهم أيضًا. إنه انتهاك للحرية. ما لم يصنعوا نسخة أخرى من اتفاقية ترخيص المستخدم النهائي سيئة السمعة حيث يحددون ذلك بقبول العقد ، فإنك توافق على عدم تثبيت أي برنامج آخر لول ، وهو ما لن يفاجئني.
+1
سنرى كيف تعمل Microsoft مع win8 و UEFI / secureboot الخاص بها ، وربما ستفقد بعضًا من السوق لصالح أجهزة macbook أو chromebooks.
ومن يدري ، ربما يومًا ما ستظهر بعض الشركات المصنعة لأجهزة الكمبيوتر لصالح نظام Linux والأنظمة المجانية الأخرى.
mmm وإذا ظهرت مجتمعات Linux في يوم الإنترنت ويوم المبرمج على سبيل المثال ، أمام بعض متاجر HP (على أقل تقدير) لإظهار تقديرهم للعلامة التجارية ولكن خلافهم مع استخدام النوافذ؟
وماذا لو خرج في تلك الأيام "مهرجان التثبيت" إلى الشوارع أو الساحات العامة؟
الحقيقة المحزنة هي أن جميع مستخدمي Linux مجتمعين يشكلون جزءًا بسيطًا من مستخدمي Windows ، لذا فإن مصنعي الأجهزة يعطيون الأولوية لنظام التشغيل الذي يتمتع بأعلى حصة في السوق. لذلك أرى أنه من غير المحتمل أن تغير مظاهرة الأمور.
في رأيي ، على سبيل المثال ، جعل Linux منصة أكثر جاذبية للتطبيقات والألعاب يمكن أن يكون له تأثير أكبر من العديد من المظاهرات ضد MS. لكن هذا يستغرق وقتًا (وموارد).
من الجيد مهاجمة Micro $ في كثير من الأحيان و Secure Boot الخاص به ، لكن تذكر أن مصنعي اللوحات الأم هم الذين قاموا بتضمينه افتراضيًا في UEFI ، كما لو كان هناك نظام تشغيل واحد فقط ؛ مايكروسوفت ... لقد سلكوا طريقا خاطئا. بالنظر إلى الحالة ، يبدو لي أنه في المستقبل سنضطر إلى تحديث UEFI للوحات بإصدارات "تم إصدارها" كما نفعل اليوم مع ذاكرة القراءة فقط لبعض المنتجات. لحسن الحظ ، أثبتت براعة أولئك الذين يتطلعون إلى الحرية أنها أقوى من أولئك الذين يسعون إلى القضاء عليها.
رجل .... ليس الأمر بسيطًا مثل اختيار الشركة المصنعة ما إذا كانت ستقوم بتضمين التمهيد الآمن في أجهزتها أم لا ، يجب ألا ننسى أن Microsoft هي شركة Monopoly ، في الواقع هي شركة الاحتكار ، وكشركة مصنعة ، فإن قول لا لـ Microsoft يمكن أن يعني من الاضطرار إلى مواجهة محاميهم ، قم بزيادة تكلفة التراخيص التي تجعل أجهزتك أكثر تكلفة ، أو حتى تخسر 80٪ من السوق المحلي.
لا يتعلق الأمر بالدفاع عنهم ، ولكن إذا كان هناك شيء تعرف Microsoft كيف تفعله هو ذلك بالتحديد ، أن تفرض على أساس الابتزاز والاحتكار ، فإن الخيار الوحيد سيكون لجميع الشركات المصنعة أو على الأقل الأغلبية الموافقة عليها وإيقافها مرة واحدة ، ولكن من الصعب جدًا حدوث ذلك ، وستفكر شركة واحدة ، بغض النظر عن حجمها ، مرتين قبل المخاطرة بأعمالها ، بغض النظر عن مدى عدم الإنصاف / الزحف / العبث الذي تطلبه Microsoft.
كان هناك الكثير من الحديث عن هذه المشكلة في العديد من المدونات والمنتديات ، ولكن لدي أيام أفكر في شيء ما ، ربما يكون هذا حماقتي ، ولكن في حالة DELL و HP (لا أعرف الشركات الأخرى) التي تبيع أجهزة Linux ، تقوم بالتمهيد الآمن هل ستنطلق؟
أعتقد أنني قرأت أنه في هذه الحالات ، تضع الشركات المصنعة نظام UEFI / BIOS مزدوجًا بحيث إذا قمت بتعطيل UEFI ، فستتراجع إلى BIOS. هذا يجب أن يزيد التكاليف بشكل طبيعي.
في النهاية ، يجب أن يختفي BIOS كما نعرفه لصالح UEFI أو معايير أخرى أفضل يُعتقد ، لأن تقنية BIOS قديمة وبالتالي تفرض قيودًا.
أيها السادة ، توقيع على عريضة FSF حول هذا الموضوع:
نحن ، الموقعون ، نحث جميع مصنعي الكمبيوتر الذين يطبقون ما يسمى بـ "التمهيد الآمن" من UEFI على القيام بذلك بطريقة تسمح بتثبيت أنظمة تشغيل مجانية. لاحترام حرية المستخدم وحماية سلامتهم حقًا ، يجب على الشركات المصنعة السماح لمالكي أجهزة الكمبيوتر بتعطيل قيود التمهيد ، أو توفير نظام موثوق به لتثبيت وتشغيل نظام تشغيل مجاني من اختيارهم. نتعهد بأننا لن نشتري أو نوصي بأجهزة الكمبيوتر التي تسلب هذه الحرية الهامة من المستخدم ، وأننا سوف نشجع الناس في مجتمعاتنا بنشاط على تجنب مثل هذه الأنظمة المغلقة.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
ممتاز ، طلب موقّع ومشاركته مع LUG وبقية الويب ، شكرًا على التعليق.