Slučajno prevedem ovaj članak koji je on napisao James Bottomley, tehnički savjetnik Linux Foundation, koji su počeli sastavljati pre-bootloader tako da možete pokrenuti Linux.
Kao što sam objasnio u svom prethodnom postu, imamo kôd za Linux-ov pokretač za pokretanje unaprijed. Međutim, postojao je odgoditi dok smo imali pristup Microsoftovom sistemu potpisivanja.
Prva stvar koju treba uraditi jeste platite 99 dolara Verisign-u (sada Symantec) i neka verifikacijski ključ verificira Verisign. Učinili smo to za Linux Foundation, a sve što žele je nazvati sjedište radi provjere. Ključ se vraća u URL-u koji je instaliran u vašem pregledniku, ali za njegovo izdvajanje i stvaranje uobičajenog PEM certifikata i ključa mogu se koristiti standardni Linux SSL alati. To nema nikakve veze s potpisivanjem UEFI-a, već se koristi za provjeru valjanosti sistema sysdev Microsoft da ste ono što kažete da jeste. Da biste mogli stvoriti sysdev račun, morate ga testirati potpisivanje izvršne datoteke koju vam daju i učitavanje. Oni postavljaju stroge zahtjeve da ga potpišete na određenoj Windows platformi, ali sbsign barem djeluje i bingo je naš račun kreiran.
Jednom kada je račun kreiran, i dalje ne možete učitati UEFI binarne datoteke za potpisivanje bez prethodnog potpisati papirni ugovor. Dogovori su vrlo teški, uključujući puno izuzetih licenci (uključujući sve GPL-ove za vozače, ali ne i za bootloadere). Najteži dio je taj što sporazumi izgleda stižu izvan UEFI objekata koje potpisujete. Pravnici zaklade Linux zaključili su da je to uglavnom bezopasno za LF jer ne prodajemo proizvode, ali drugim tvrtkama može biti odvratno. Prema Matthewu Garrettu, Microsoft je spreman pregovarati o posebnim ugovorima s distribucijama kako bi ublažio neke od tih problema.
Jednom kada su sporazumi potpisani, pravi tehnička zabava. Ne možete samo uploadati UEFI binarnu datoteku i dati je potpisati. Prvo moraš zamotajte ga u .cab datoteku. Srećom, postoji projekat otvorenog koda koji može stvoriti datoteke kabineta zvane lcab. Onda moraš potpisati .cab datoteku ključem Verisign. Opet, postoji još jedan projekat otvorenog koda koji to može učiniti: osslsigncode. Svima kojima su potrebni ti alati dostupni su u mom repozitorijumu openSuse Build Service UEFI. Konačni problem je prijenos datoteke zahtijeva srebrnu svjetlost. Nažalost, čini se da mjesečina ne radi, pa čak i s pregledom verzije 4, okvir za prijenos postaje prazan, pa vrijeme je da upotrijebite Windows 7 pod kvm (virtualna mašina zasnovana na jezgri). Kad dođete do tog dijela, također morate potvrditi da je binarni „koji treba potpisati, ne smije imati licencu pod GPLv3 ili sličnim licencama otvorenog koda”. Pretpostavljam da je to zbog straha od otkrivanja ključa, ali to uopće nije jasno (isto sa "sličnim licencama otvorenog koda").
Kada se prijenos završi, kartoteka se zaustavlja kroz sedam faza. Nažalost, prvi probni uspon je ostao zaključano u fazi 6 (potpis datoteka). Nakon 6 dana poslao sam e-poštu za podršku Microsoftu s pitanjem šta se događa. Odgovor: „Kôd greške koji je bacio postupak potpisivanja je taj vaša datoteka nije važeća Win32 aplikacija. Je li to valjana aplikacija Win32? ”. Odgovor: očito nije, to je valjana 64-bitna UEFI binarna datoteka. Više nije bilo odgovora...
Pokušao sam ponovo. Ovaj put sam primio e-mail za preuzimanje potpisane datoteke, a odbor to kaže potpisano nije uspjelo. Preuzeo sam ga i provjerio. Binarni program radi na platformi secureboot i potpisan je ključem
subject = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
izdavač = / C = SAD / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Pitao sam podršku zašto je postupak ukazivao na neuspjeh, ali imao sam valjano preuzimanje i, nakon naleta e-mailova, odgovorili su: "Ne koristi tu datoteku koja je pogrešno potpisan. Vratit ću vam se. " Još uvijek nisam siguran u čemu je problem, ali ako pogledate Predmet ključa za potpisivanje, u ključu nema ničega što bi ukazalo na Linux Foundation, stoga sumnjam da je problem u tome što je binarni zapis potpisan generičkim Microsoftovim ključem umjesto određenim (i opozivim) ključem vezanim za Linux Foundation.
Međutim, ovo je status: Nastavit ćemo čekati da Microsoft da Linux Foundation-u potpisan i potvrđen pred-pokretački program. Kada se to dogodi, bit će otpremljeno na web lokaciju Linux Foundation kako bi ga svi mogli koristiti.
Izvor: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Izvucite zaključke, ali ovo će potrajati.
Ako se stvarno problem računara s win8 OEM-om koji dolaze sa UEFI sistemom riješi onemogućavanjem UEFI-a iz BIOS-a, čini mi se greškom što plaćaju i Linux osnova i Fedora, Ubuntu i ne znam koja druga distribucija za certifikat i prihvatite ograničenja koja je nametnuo Microsoft.
MORAMO PRESTATI BITI JAGNJCI !!!!!
ali znam da Windows 8 ostaje neotvoren
Hehehe, čak ni velika stvar. Pa, bar za mene. To je lično mišljenje, ne želim nikoga uvrijediti.
UEFI se ne može onemogućiti iz BIOS-a, jer je UEFI firmware koji dolazi da zamijeni više nego dugovječni BIOS.
Ono o čemu govorimo je Secure Boot, UEFI značajka koja provjerava autentičnost softvera kojim pokrećemo računalo putem digitalnih potpisa, to je Secure Boot koji treba onemogućiti.
Nije jednostavno onemogućiti Secure Boot i to je to, potrebno je da je proizvođač razmotrio mogućnost uključivanja izbornika koji omogućava korisnicima da onemoguće Secure Boot, ako proizvođač ne želi da bude onemogućen bit će vrlo komplicirano da bi korisnik to mogao učiniti, moguće da će ići do krajnjih granica da mora zamijeniti firmver matične ploče neslužbenim.
Rješenje Linux Foundation-a bilo bi "univerzalno" rješenje za bilo koji hardver pogođen ovom bolešću i omogućilo bi instaliranje bilo kojeg sustava plaćanjem jednog digitalnog potpisa samo jednom, što je sigurno ono što ih plaši i zašto toliko toga rade. moli
«To nije tako jednostavno kao onemogućavanje sigurnog pokretanja i to je to, potrebno je da je proizvođač razmotrio mogućnost uključivanja izbornika koji korisnicima omogućava onemogućavanje sigurnog pokretanja, ako proizvođač ne želi da se onemogući, to će biti vrlo komplicirano za korisnika da to mogu učiniti, »
Dakle, ono što morate učiniti je kampanja digitalne pismenosti u kojoj se korisnicima objašnjava da traže računare s tom karakteristikom, a ako ne kupuju druge.
Sve ovo je zaraditi novac provjerom valjanosti onoga što se može, a šta ne može pokrenuti sigurnim podizanjem sistema.
Potpuna nesposobnost ne može se razlikovati od loše namjere.
Iako postoji poznata fraza Roberta J. Hanlona koja kaže: "Nikada zloći ne pripisujte ono što se adekvatno objašnjava glupošću", u određenom slučaju Microsofta, toliko glupih poteškoća u navodno dobro zamišljenom i osmišljenom procesu za bolji sigurnosti, ostavlja utisak da koče Linux Foundation tako da se linux ne može instalirati na nove računare s UEFI-jem, tako da Microsoft nema konkurenciju.
Tačno. Ne sviđa mi se ideja, navodni siguran početak ... To me plaši. Čini mi se da Microsoft ima vrlo ... mafijaške svrhe.
Više sam nego umoran od Microsofta i njegovih manipulacija, čak se i bojim njegovih namjera i umoran od pretvaranja da dominira nad svakim računarom ili uređajem koji postoje na tržištu.
Nadam se da će Linux masovno završiti i prevladati među krajnjim korisnicima, a Windows je napokon marginaliziran, totalno, za OS sranje koje jest.
Ovo me podsjeća na patent koji je dodijeljen Microsoftu pomoću kojeg je sistem po defaultu ograničen, a da bi se otvorio njegov puni potencijal ili instalirao bilo koji program nezavisnih proizvođača, potrebne su licence za koje, naravno, moraju platiti korisnik ili korisnici. Treće strane koje žele da se njihove aplikacije instaliraju na operativni sistem. To što ga još nisu implementirali, ne znači da ne namjeravaju i imam dojam da UEFI priprema teren za ovo.
Ono što me iznenađuje je da 64-binarne binarne datoteke ne uspiju i forsiraju 32-bitne binarne datoteke ... Oni su retrogradni, na tržištu gotovo da nema novih 86-bitnih x32 arhitekturnih procesora. Trebao bi raditi na 64 bita.
uu
Digitalni potpis ili sigurno pokretanje pokušava spriječiti pokretanje "nečega", osim sistema. Takođe je u cilju izbjegavanja takozvane piraterije ili ilegalnog kopiranja vlasničkog softvera.
Radeći analizu i istražujući takozvani Win8 sef sa njegovom mnogo hvaljenom sigurnom čizmom pokazao je svoju nesposobnost jer su nedavno otkrili sigurnosnu rupu.
Zbog navedenog, i bez potrebe da budete genije u industriji, s doktoratima i drugima, može se zaključiti da je to samo marketinški koncept praćen Microsoftovom premisom da postane zatvoreni sistem u obliku jabuke.
Ličnim pregledom, savjetovanjem i proučavanjem mogu iz svoje lične perspektive reći da je UEFI / Secure Boot prevara i prevara koja ima za cilj samo prisiliti i podržati Microsoftov projekt da u potpunosti zatvori svoj ekosustav, iskorištavajući činjenicu da i dalje može vršiti određene pritisak u segmentu ličnog računarstva.
Ovog odmora naći ću način da tužim Microsoft. Mrzim ih.
Hehehe, da imam želju i vrijeme, i njih bih tražio. To je kršenje slobode. Osim ako ne naprave drugu verziju zloglasne EULA-e, gdje naznače da prihvaćanjem ugovora pristajete da nećete instalirati bilo koji drugi softver, hahaha, što me ne bi iznenadilo.
+1
Vidjet ćemo kako Microsoft radi sa svojim win8 i svojim UEFI / secureboot-om, možda će izgubiti neko tržište u korist MacBook-a ili Chromebook-a.
I ko zna, možda se jednog dana pojavi neki proizvođač računara u korist linuxa i drugih besplatnih sistema.
mmm i ako su se Linux zajednice "manifestovale" na Internet dan i dan programera, na primjer, ispred neke prodavaonice hp-a (u najmanju ruku) pokazujući svoju zahvalnost za brend, ali neslaganje s korištenjem prozora?
A ako u to doba "install fest" izađe na ulice ili javne trgove?
Tužna je stvarnost da svi korisnici Linuxa čine dio Windows korisnika, pa proizvođači hardvera prirodno daju prioritet operativnom sistemu s najvećim tržišnim udjelom. pa vidim da je malo vjerojatno da će demonstracije promijeniti stvari.
Po mom mišljenju, na primjer, stvaranje Linuxa atraktivnijom platformom za aplikacije i igre moglo bi imati veći utjecaj od mnogih demonstracija protiv MS-a. Ali ovo zahtijeva vrijeme (i resurse).
U redu je napasti Micro $ često i njegov Secure Boot, ali imajte na umu da su ga proizvođači matičnih ploča po defaultu uključili u UEFI, kao da postoji samo jedan OS; Microsoftovi ... krenuli su pogrešnim putem. S obzirom na slučaj, čini mi se da ćemo u budućnosti biti prisiljeni fleširati UEFI ploče sa „izdanim“ verzijama kao što to danas činimo sa ROM-om određenih proizvoda. Srećom, domišljatost onih koji teže slobodi pokazala se jačom od onih koji je žele iskorijeniti.
Čovječe .... Nije tako jednostavno kao što je proizvođač odabrao hoće li uključiti sigurno pokretanje u svoj hardver, ne smijemo zaboraviti da je Microsoft Monopoly, zapravo je THE Monopoly i kao proizvođač, govoreći da ne Microsoftu može značiti da mora suočite se sa svojim advokatima, povećajte troškove licenci zbog kojih je vaša oprema znatno skuplja ili čak izgubite 80% domaćeg tržišta.
Nije da ih brani, ali ako je nešto što Microsoft zna učiniti upravo to, nametnuti na osnovu iznude i Monopola, jedina opcija bila bi da se svi proizvođači ili barem većina slože i to odmah zaustave, ali to je izuzetno teško da se dogodi i jedna kompanija, bez obzira koliko velika bila, dvaput će razmisliti prije nego što riskira svoje poslovanje, bez obzira koliko nepravedno / puzajuće / apsurdno tražio Microsoft.
Puno se govorilo o ovom pitanju na raznim blogovima i forumima, ali danima razmišljam o nečemu, možda je to moja glupost, ali, u slučaju DELL-a i HP-a (ne znam druge kompanije) koji prodaju Linux mašine, vrši sigurno pokretanje hoće li se skinuti?
Mislim da sam pročitao da u tim slučajevima proizvođači postavljaju dvostruki UEFI / BIOS sistem, tako da ako onemogućite UEFI, vratite se na BIOS. To bi prirodno trebalo povećati troškove.
Na kraju bi BIOS trebao nestati onakav kakav znamo u korist UEFI-a ili drugih boljih standarda za koje se vjeruje, jer je BIOS-ova tehnologija stara i stoga nameće ograničenja.
Gospodo, potpis na peticiju FSS-a po ovom pitanju:
Mi potpisnici apeliramo na sve proizvođače računara koji implementiraju UEFI-jevu takozvanu "sigurnu dizanje" da to učine na način koji omogućava instalaciju besplatnih operativnih sistema. Da bi poštovali slobodu korisnika i istinski zaštitili njihovu sigurnost, proizvođači moraju omogućiti vlasnicima računara da onemoguće ograničenja pokretanja ili osigurati pouzdan sistem za instaliranje i pokretanje besplatnog operativnog sistema po njihovom izboru. Obećavamo da nećemo kupiti ili preporučiti računare koji korisniku oduzimaju ovu kritičnu slobodu i da ćemo aktivno podsticati ljude u našim zajednicama da izbjegavaju takve sisteme u kavezu.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Savršeno, zahtjev potpisan i podijeljen sa LUG-om i ostatkom weba, hvala na komentaru.