Случайно превеждам тази статия, която той е написал Джеймс Ботъмли, технически съветник на Linux Foundation, който започна да сглобява предварително зареждащо устройство, за да можете да стартирате Linux.
Както обясних в предишния си пост, ние разполагаме с кода за предварително зареждане на Linux Foundation. Имаше обаче забавяне докато имахме достъп до системата за подписване на Microsoft.
Първото нещо, което трябва да направите, е плати $ 99 на Verisign (сега Symantec) и има ключ, проверен от Verisign. Направихме го за Linux Foundation и всичко, което искат, е да се обадят в централата, за да проверят. Ключът се връща в URL, който е инсталиран във вашия браузър, но за извличането му и създаването на обикновен PEM сертификат и ключ могат да се използват стандартни Linux SSL инструменти. Това няма нищо общо с подписването на UEFI, но се използва за валидиране на системата sysdev Microsoft, че сте това, което казвате, че сте. Преди да можете да създадете акаунт в sysdev, трябва да го тествате подписване на изпълним файл, който ви дават и качване. Те поставят строги изисквания да го подпишете на конкретна платформа на Windows, но sbsign поне е работил и бинго нашият акаунт е създаден.
След като акаунтът е създаден, все още не можете да качвате UEFI двоични файлове за подписване без първо подпишете договор на хартиен носител. Сделките са много обременителни, включително много изключени лицензи (включително всички GPL за драйвери, но не и за буутлоудъри). Най-обременяващата част е, че споразуменията изглежда пристигат отвъд UEFI обектите, които подписвате. Адвокатите на Linux Foundation стигнаха до заключението, че това е най-вече безвредно за LF, защото не продаваме продукти, но може да бъде отвратително за други компании. Според Матю Гарет, Microsoft е готова да договори специални сделки с дистрибуции, за да смекчи някои от тези проблеми.
След като споразуменията бъдат подписани, истинските техническо забавление. Не можете просто да качите UEFI двоичен файл и да го подпишете. Първо трябва увийте го в .cab файл. За щастие има проект с отворен код, който може да създава кабинетни файлове, наречени lcab. Тогава трябва подпишете .cab файла с ключа Verisign. Отново има друг проект с отворен код, който може да направи това: osslsigncode. За всеки, който се нуждае от тези инструменти, те са достъпни в моето хранилище UEFI на OpenSuse Build Service. Последният проблем е, че качването на файла изисква сребърна светлина. За съжаление, лунната светлина изглежда не работи и дори при преглед на версия 4, полето за качване става празно, така че време е да използвате windows 7 под kvm (базирана на ядро виртуална машина). Когато стигнете до тази част, вие също трябва да удостоверите, че двоичното „трябва да бъде подписано, не трябва да бъдат лицензирани съгласно GPLv3 или подобни лицензи с отворен код”. Предполагам, че е от страх от разкриване на ключове, но изобщо не е ясно (същото с "подобни лицензи с отворен код").
След като качването приключи, файлът на шкафа спира през седем етапа. За съжаление, първото изпитателно изкачване остана заключен в етап 6 (подписът на файловете). След 6 дни изпратих имейл за поддръжка до Microsoft с питане какво се случва. Отговорът: „Кодът за грешка, хвърлен от процеса на подписване, е такъв вашият файл не е валидно приложение за Win32. Валидно ли е приложение за Win32? ”. Отговор: очевидно не, това е валиден 64-битов UEFI двоичен файл. Нямаше повече отговори...
Опитах отново. Този път получих имейл за изтегляне на подписания файл и таблото го казва подписаният не успя. Изтеглих го и проверих. Бинарният файл работи на платформата secureboot и е подписан с ключа
subject = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
издател = / C = САЩ / ST = Вашингтон / L = Редмънд / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Попитах поддръжката защо процесът показва неуспех, но имах валидно изтегляне и след поредица от имейли те отговориха „не използвайте този файл, който беше неправилно подписан. Ще се върна при вас. " Все още не съм сигурен какъв е проблемът, но ако погледнете Темата на ключа за подписване, в ключа няма нищо, което да се посочи на Linux Foundation, следователно подозирам, че проблемът е, че двоичният файл е подписан с общ ключ на Microsoft, а не със специфичен (и отменяем) ключ, свързан с Linux Foundation.
Това обаче е състоянието: Ще продължим да чакаме Microsoft да даде на Linux Foundation подписан и проверен предварително зареждащ файл. Когато това се случи, то ще бъде качено на сайта на Linux Foundation за ползване от всички.
Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Направете своите заключения, но това ще отнеме време.
Ако наистина проблемът с персонални компютри с win8 OEM, които идват със системата UEFI, е решен чрез деактивиране на UEFI от BIOS, струва ми се грешка, че както фондацията на Linux, така и Fedora, Ubuntu и не знам кой друг дистрибутор плащат за сертификата и приемете ограниченията, наложени от Microsoft.
ТРЯБВА ДА СПРЕМ ДА БЪДЕМ АГНЕТА !!!!!
но знам, че Windows 8 остава не стартиран
Хехехе, дори не е голяма работа. Е, поне за мен. Това е лично мнение, не искам да обиждам никого.
UEFI не може да бъде деактивиран от BIOS, тъй като UEFI е фърмуерът, който идва да замени повече от дългогодишния BIOS.
Това, за което говорим, е Secure Boot, UEFI функция, която проверява автентичността на софтуера, с който стартираме компютъра чрез цифрови подписи, това е Secure Boot, което трябва да бъде деактивирано.
Това не е толкова просто, колкото деактивирането на Secure Boot и това е всичко, необходимо е производителят да е помислил да включи меню, което позволява на потребителите да деактивират Secure Boot, ако производителят не иска то да бъде деактивирано, ще бъде много сложно за да може потребителят да го направи, евентуално да стигне до крайност, че трябва да замени фърмуера на дънната платка с неофициален.
Решението на Linux Foundation би било "универсално" решение за всеки хардуер, засегнат от това заболяване, и ще позволи на всяка система да бъде инсталирана, като плаща един-единствен цифров подпис само веднъж, което със сигурност е това, което ги плаши и защо правят толкова много моли се
«Това не е толкова просто, колкото деактивирането на Secure Boot и това е всичко, необходимо е производителят да е помислил да включи меню, което позволява на потребителите да деактивират Secure Boot, ако производителят не иска да бъде деактивиран, това ще бъде много сложно за потребителя за да можете да го направите, »
Така че това, което трябва да се направи, е кампания за цифрова грамотност, където на потребителите се обяснява, че те изискват компютри с тази функция и вместо това купуват други.
Всичко това е да печелите пари, като проверявате какво може и какво не може да се стартира със защитено зареждане.
Пълната некомпетентност не може да се различи от лошите намерения.
Въпреки че има известна фраза на Робърт Дж. Ханлън, която казва: „Никога не приписвайте на злобата онова, което е адекватно обяснено с глупост“, в конкретния случай на Microsoft, толкова много глупави трудности пред уж добре замислен и измислен процес за по-добър за сигурност, създава впечатление, че пречат на Linux Foundation, така че linux не може да бъде инсталиран на нови компютри с UEFI, така че Microsoft да няма конкуренция.
Точно. Не ми харесва идеята, предполагаемо безопасно начало ... Това ме плаши. Струва ми се, че Microsoft има много ... цели на мафията.
Повече от уморен съм от Microsoft и нейните манипулации и дори ме е страх от намеренията му и ми е писнало да се преструва, че доминира над всеки от персоналните компютри или устройства, които съществуват на пазара.
Надявам се, че Linux приключва излитането масово и преобладава сред крайните потребители и Windows най-накрая е маргинализиран, общо взето, за глупостите на операционната система.
Това ми напомня за патента, предоставен на Microsoft, с който системата по подразбиране е ограничена, и за да се отключи пълният й потенциал или да се инсталира програма на трети страни, са необходими лицензи, за които, разбира се, трябва да плащат или потребителят, или потребителите. Трети страни, които искат техните приложения да бъдат инсталирани в операционната система. Това, че все още не са го внедрили, не означава, че не възнамеряват и оставам с впечатлението, че UEFI подготвя почвата за това.
Това, което ме изненадва, е, че 64-бистовите двоични файлове се провалят и налагат 32-битови двоични файлове ... Те са ретроградни, едва ли има нови 86-битови x32 архитектурни процесори на пазара. Трябва да работи на 64 бита.
uu
Цифровият подпис или защитеното зареждане се опитват да попречат на „нещо“, различно от системата, да се зареди. Това е и с цел да се избегне така нареченото пиратство или незаконно копиране на патентован софтуер.
Извършването на анализ и разследването на т. Нар. Сейф Win8 с много прехваленото си защитено зареждане показа своята некомпетентност, тъй като наскоро откриха дупка в сигурността.
Поради горното и без да се налага да бъдете гений в индустрията, с докторанти и други, може да се заключи, че това е само маркетингова концепция, придружена от предпоставката на Microsoft да се превърне в затворена система в стил на ябълка.
Лично преразглеждане, консултиране и проучване мога да кажа от моя лична гледна точка, че UEFI / Secure Boot е измама и измама, която има за цел само да принуди и подкрепи проекта на Microsoft да затвори напълно своята екосистема, като се възползва от факта, че все още може да упражнява определени натиск в сегмента на персоналните изчисления.
Тази ваканция ще намеря начин да съдя Microsoft. Мразя ги.
Хехехе, ако имах желание и време, щях да ги изисквам и тях. Това е нарушение на свободата. Освен ако не направят друга версия на скандалната EULA, където посочат, че приемайки договора, се придържате към неинсталиране на друг софтуер хаха, което няма да ме изненада.
+1
Ще видим как се справя Microsoft със своя win8 и своя UEFI / secureboot, може би ще загуби пазар в полза на macbook или chromebook.
И кой знае, може би някой ден някой производител на компютри ще се появи в полза на Linux и други безплатни системи.
mmm и ако Linux общностите се "проявиха" в интернет деня и деня на програмиста например, пред някакъв магазин на hp (най-малкото), показвайки признателността си към марката, но несъгласието си с използването на windows?
И ако в онези времена „инсталационният фест“ излезе на улиците или обществените площади?
Тъжната реалност е, че всички потребители на Linux заедно представляват част от потребителите на Windows, така че производителите на хардуер естествено дават приоритет на операционната система с най-висок пазарен дял. така че виждам малко вероятно демонстрацията да промени нещата.
Според мен например превръщането на Linux в по-привлекателна платформа за приложения и игри може да има по-голямо влияние от много демонстрации срещу MS. Но това отнема време (и ресурси).
Добре е да атакувате Micro $ често и неговото Secure Boot, но не забравяйте, че производителите на дънни платки са го включили по подразбиране в UEFI, сякаш има само една операционна система; На Microsoft ... те са поели по грешен път. Разглеждайки случая, струва ми се, че в бъдеще ще бъдем принудени да мигаме UEFI на платките с „освободени“ версии, както правим днес с ROM на определени продукти. За щастие изобретателността на онези, които се стремят към свобода, се оказа по-силна от тази на онези, които се стремят да я изкоренят.
Човече .... Не е толкова просто, колкото производителят да избере дали да включи сигурно зареждане в своя хардуер, не трябва да забравяме, че Microsoft е монопол, всъщност това е THE Monopoly и като производител, казвайки не на Microsoft може да означава, че трябва да изправете се пред адвокатите си, увеличете цената на лицензите, които оскъпяват оборудването ви, или дори губят 80% от вътрешния пазар.
Не че ги защитава, но ако нещо, което Microsoft знае как да направи, е точно това, налагано въз основа на изнудване и монопол, единствената възможност би била всички производители или поне мнозинството да се съгласят и да го спрат наведнъж, но това е изключително трудно да се случи и една компания, независимо колко голяма е тя, ще помисли два пъти, преди да рискува бизнеса си, независимо колко несправедливо / пълзящо / абсурдно е това, което Microsoft иска.
Много се говори по този въпрос в различни блогове и форуми, но имам дни, в които се замислям за нещо, може би това е моята глупост, но в случая с DELL и HP (не познавам други компании), които продават Linux машини, прави сигурното зареждане ще отлепи ли?
Мисля, че съм чел, че в тези случаи производителите поставят двойна UEFI / BIOS система, така че ако деактивирате UEFI, ще се върнете към BIOS. Това естествено трябва да увеличи разходите.
В крайна сметка BIOS трябва да изчезне, тъй като го познаваме в полза на UEFI или други по-добри стандарти, за които се вярва, тъй като технологията на BIOS е стара и следователно налага ограничения.
Господа, подпис към петицията на FSF по този въпрос:
Ние, подписалите страни, призоваваме всички производители на компютри, които прилагат така нареченото UEFI "Secure Boot", да го направят по начин, който позволява инсталирането на безплатни операционни системи. За да зачитат свободата на потребителя и наистина да защитават тяхната безопасност, производителите трябва да позволят на собствениците на компютри да деактивират ограниченията за зареждане или да осигурят надеждна система за инсталиране и стартиране на безплатна операционна система по техен избор. Обещаваме, че няма да купуваме или препоръчваме компютри, които отнемат тази критична свобода от потребителя, и че ще насърчаваме активно хората в нашите общности да избягват подобни системи в клетки.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Перфектно, заявка подписана и споделена с LUG и останалата част от мрежата, благодаря за коментара.