Jeg oversætter tilfældigvis denne artikel, som han skrev James Bottomley, teknisk rådgiver for Linux Foundation, der begyndte at sammensætte en pre-bootloader, så du kan starte Linux.
Som jeg forklarede i mit tidligere indlæg, har vi koden til Linux Foundation pre-bootloader på plads. Der var dog en forsinke mens vi havde adgang til Microsofts signeringssystem.
Den første ting at gøre er betale $ 99 til Verisign (nu Symantec) og få en nøgle verificeret af Verisign. Vi gjorde det for Linux Foundation, og alt hvad de vil gøre er at ringe til hovedkvarteret for at bekræfte. Nøglen vender tilbage i en URL, der er installeret i din browser, men standard Linux SSL-værktøjer kan bruges til at udtrække den og oprette det sædvanlige PEM-certifikat og nøgle. Det har intet at gøre med UEFI-signering, men bruges til at validere systemet sysdev Microsoft, at du er den, du siger, du er. Før du kan oprette en sysdev-konto, skal du teste den underskrive en eksekverbar de giver dig og uploader den. De stiller strenge krav til, at du underskriver det på en bestemt Windows-platform, men sbsign fungerede i det mindste, og bingo blev vores konto oprettet.
Når først kontoen er oprettet, kan du stadig ikke uploade UEFI-binære filer til at underskrive uden først underskrive en papirkontrakt. Aftalerne er meget besværlige, herunder mange ekskluderede licenser (inklusive alle GPL'er til drivere, men ikke til bootloadere). Den mest byrdefulde del er, at aftalerne ser ud til at ankomme ud over de UEFI-objekter, du underskriver. Advokater for Linux Foundation konkluderede, at det for det meste er harmløst for LF, fordi vi ikke sælger produkter, men det kan være modbydeligt for andre virksomheder. Ifølge Matthew Garrett er Microsoft villig til at forhandle specielle tilbud med distributioner for at afbøde nogle af disse problemer.
Når aftalerne er underskrevet, er den virkelige teknisk sjov. Du kan ikke bare uploade en UEFI-binær og få den underskrevet. Først skal du pakk den ind i en .cab-fil. Heldigvis er der et open source-projekt, der kan oprette kabinetfiler kaldet lcab. Så skal du underskrive .cab-filen med Verisign-nøglen. Igen er der et andet open source-projekt, der kan gøre det: osslsigncode. For alle, der har brug for disse værktøjer, er de tilgængelige i mit openSuse Build Service UEFI-lager. Det sidste problem er at uploade filen kræver silverlight. Desværre ser måneskin ikke ud til at virke, og selv med version 4-forhåndsvisning bliver uploadfeltet tomt så det er tid til at bruge Windows 7 under en kvm (kerne-baseret virtuel maskine). Når du kommer til den del, skal du også bekræfte, at den binære “der skal underskrives, må ikke licenseres under GPLv3 eller lignende open source-licenser”. Jeg antager, at det er af frygt for afsløring af nøgler, men det er slet ikke klart (det samme med "lignende open source-licenser").
Når overførslen er afsluttet, stopper kabinetsfilen gennem syv faser. Desværre forblev den første testklatring låst i trin 6 (filernes underskrift). Efter 6 dage sendte jeg en support-e-mail til Microsoft, hvor jeg spurgte, hvad der skete. Svaret: “Fejlkoden, der blev kastet af signeringsprocessen, er, at din fil er ikke et gyldigt Win32-program. Er det et gyldigt Win32-program? ”. Svar: selvfølgelig ikke, det er en gyldig 64 bit UEFI-binær. Der var ikke flere svar...
Jeg prøvede igen. Denne gang modtog jeg en download-e-mail til den underskrevne fil, og bestyrelsen siger det det underskrevne mislykkedes. Jeg downloadede det og bekræftede det. Binæren fungerer på secureboot-platformen og er underskrevet med nøglen
emne = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
udsteder = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Jeg spurgte supporten, hvorfor processen angav en fejl, men jeg havde en gyldig download, og efter en masse e-mails svarede de "brug ikke den fil, der var forkert underskrevet. Jeg kommer tilbage til dig. " Jeg er stadig ikke sikker på, hvad problemet er, men hvis du ser på emnet for signaturnøglen, der er intet i nøglen, der kan angive Linux Foundation, derfor formoder jeg, at problemet er, at binærsystemet er underskrevet med en generisk Microsoft-nøgle snarere end en specifik (og tilbagekaldelig) nøgle bundet til Linux Foundation.
Dette er dog status: Vi vil fortsætte med at vente på, at Microsoft giver Linux Foundation en underskrevet og valideret pre-bootloader. Når det sker, uploades det til Linux Foundation-webstedet, så alle kan bruge det.
kilde: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Træk dine konklusioner, men det vil tage tid.
Hvis spørgsmålet om pc'er med win8 OEM, der følger med UEFI-systemet, løses virkelig ved at deaktivere UEFI fra BIOS, ser det ud til mig en fejl, at både Linux-fundamentet og Fedora, Ubuntu og jeg ikke ved, hvilken anden distro, der betaler for certifikatet og acceptere begrænsningerne pålagt af Microsoft.
VI SKAL STOPPE AT VÆRE LAMMER !!!!!
men jeg ved, at Windows 8 forbliver ubeboet
Hehehe, det var ikke noget stort. I det mindste for mig. Det er en personlig mening, jeg vil ikke fornærme nogen.
UEFI kan ikke deaktiveres fra BIOS, da UEFI er den firmware, der kommer til at erstatte det mere end langvarige BIOS.
Hvad vi taler om er Secure Boot, en UEFI-funktion, der verificerer ægtheden af den software, som vi starter computeren med gennem digitale signaturer. Det er Secure Boot, der skal deaktiveres.
Det er ikke så simpelt som at deaktivere Secure Boot, og det er det, det er nødvendigt, at producenten har overvejet at inkludere en menu, der giver brugerne mulighed for at deaktivere Secure Boot, hvis producenten ikke ønsker, at den skal deaktiveres, vil det være meget kompliceret for brugeren at være i stand til at gøre det, muligvis gå ud i det ekstreme at skulle udskifte bundkortets firmware med en uofficiel.
Linux Foundation's løsning ville være en "universel" løsning til enhver hardware, der er ramt af denne sygdom, og ville tillade, at ethvert system installeres ved kun at betale en enkelt digital signatur en gang, hvilket helt sikkert er det, der skræmmer dem, og hvorfor de gør så meget af det bede
«Det er ikke så simpelt som at deaktivere Secure Boot, og det er det, det er nødvendigt, at producenten har overvejet at inkludere en menu, der giver brugerne mulighed for at deaktivere Secure Boot, hvis producenten ikke ønsker, at det skal deaktiveres, vil det være meget kompliceret for brugeren at være i stand til at gøre det, »
Så hvad du skal gøre er en digital læsefærdighedskampagne, hvor det forklares for brugerne, at de kræver computere med den egenskab og i stedet køber andre.
Alt dette er at tjene penge ved at validere hvad der kan og ikke kan starte med sikker boot.
Total inkompetence kan ikke skelnes fra dårlige intentioner.
Mens der er en berømt sætning af Robert J. Hanlon, der siger: "Aldrig tilskrives ondskab det, der er tilstrækkeligt forklaret af dumhed", i det særlige tilfælde af Microsoft, så mange fjollede vanskeligheder til en angiveligt godt udtænkt og udtænkt proces til en bedre sikkerhed giver det stadig indtryk af, at de hindrer Linux Foundation, så linux ikke kan installeres på nye pc'er med UEFI, så Microsoft ikke har nogen konkurrence.
Eksakt. Jeg kan ikke lide ideen, en formodet sikker start ... Det skræmmer mig. Det ser ud til, at Microsoft har meget ... mafiaformål.
Jeg er mere end træt af Microsoft og dets manipulationer, og jeg er endda bange for dets intentioner og træt af, at det foregiver at dominere hver af de pc'er eller enheder, der findes på markedet.
Jeg håber, at Linux er færdig med at starte en masse og er fremherskende blandt slutbrugere, og Windows er endelig marginaliseret, alt i alt for OS crap, det er.
Dette minder mig om patentet, der er givet til Microsoft, hvorefter standardsystemet er begrænset, og for at låse op for dets fulde potentiale eller installere et tredjepartsprogram, er licenser nødvendige, som enten brugeren eller brugerne selvfølgelig skal betale. tredjeparter, der ønsker, at deres applikationer skal installeres på operativsystemet. At de ikke har implementeret det endnu, betyder ikke, at de ikke har til hensigt, og jeg får det indtryk, at UEFI forbereder grunden til dette.
Hvad der overrasker mig er, at 64bist-binærfiler mislykkes og tvinger 32bit-binærfiler .... De er retrograd, der er næppe nye 86-bit x32-arkitekturprocessorer på markedet. Det skal fungere 64 bit.
uu
Den digitale signatur eller den sikre opstart forsøger at forhindre "noget" andet end systemet i at starte. Det er også for at undgå såkaldt piratkopiering eller ulovlig kopiering af proprietær software.
At lave en analyse og undersøge den såkaldte Win8-safe med sin meget hyldede sikre boot har bevist sin inkompetence, da de for nylig opdagede et sikkerhedshul.
På grund af ovenstående og uden at skulle være et branchens geni med ph.d.er og andre kan det udledes, at det kun er et marketingkoncept ledsaget af Microsofts forudsætning om at blive et lukket æble-system.
Personligt gennemgå, konsultere og studere kan jeg fra mit personlige perspektiv sige, at UEFI / Secure Boot er et bedrageri og et fupnummer, der kun har til formål at tvinge og støtte Microsofts projekt om at lukke dets økosystem fuldstændigt og drage fordel af det faktum, at det stadig kan udøve visse pres i segmentet personlig computing.
Denne ferie vil jeg finde en måde at sagsøge Microsoft på. Jeg hader dem.
Hehehe, hvis jeg havde lyst og tid, ville jeg også kræve dem. Det er en krænkelse af friheden. Medmindre de laver en anden version af den berygtede EULA, hvor de specificerer, at ved at acceptere kontrakten, accepterer du ikke at installere anden software hehehe, hvilket ikke ville overraske mig.
+1
Vi vil se, hvordan microsoft gør med sin win8 og sin UEFI / secureboot, måske mister det noget marked til fordel for macbooks eller chromebooks.
Og hvem ved, måske en dag vises en pc-producent derude til fordel for linux og andre gratis systemer.
mmm, og hvis linux-samfund "manifesterede" sig på internetdagen og programmørdagen, for eksempel foran en eller anden hp-butik (mildt sagt), der viser deres påskønnelse for brandet, men deres uenighed med at bruge windows?
Og hvis "installationsfesten" i disse dage går ud på gaderne eller offentlige pladser?
Den triste virkelighed er, at alle Linux-brugere tilsammen udgør en brøkdel af Windows-brugere, så hardwareproducenter prioriterer naturligvis operativsystemet med den højeste markedsandel. så jeg ser det usandsynligt, at en demonstration vil ændre ting.
Efter min mening kan for eksempel at gøre Linux til en mere attraktiv platform til applikationer og spil have mere indflydelse end mange demonstrationer mod MS. Men dette tager tid (og ressourcer).
Det er fint at angribe Micro $ ofte og dets Secure Boot, men husk at det er bundkortproducenterne, der som standard har inkluderet det i UEFI, som om der kun var et OS; Microsofts ... de har taget en forkert vej. I betragtning af sagen ser det ud til, at vi i fremtiden vil blive tvunget til at blinke UEFI af tavlerne med "frigivne" versioner, som vi gør i dag med ROM for visse produkter. Heldigvis har opfindsomheden hos dem, der stræber efter frihed, vist sig at være stærkere end dem, der søger at udrydde den.
Mand .... Det er ikke så simpelt som producenten at vælge, om sikker boot skal medtages i sin hardware eller ej, vi må ikke glemme, at Microsoft er et monopol, faktisk er det THE monopol og som producent, der siger nej til Microsoft kan betyde at skulle møde deres advokater, øge omkostningerne ved licenser, der gør dit udstyr meget dyrere eller endda miste 80% af hjemmemarkedet.
Det er ikke, at det forsvarer dem, men hvis noget, som Microsoft ved, hvordan man gør, er netop det, pålægge på grundlag af afpresning og monopol, ville den eneste mulighed være for alle producenter eller i det mindste flertallet at blive enige og stoppe det med det samme. , men det er uhyre vanskeligt for det at ske, og en enkelt virksomhed, uanset hvor stor den måtte være, vil tænke to gange, før den risikerer sin forretning, uanset hvor uretfærdigt / snigende / absurd det Microsoft beder om.
Der har været meget snak om dette emne i forskellige blogs og fora, men jeg har dage med at tænke på noget, måske er det min tåbelighed, men i tilfælde af DELL og HP (jeg kender ikke andre virksomheder), der sælger Linux-maskiner , kommer den sikre start af?
Jeg tror, jeg har læst, at i disse tilfælde placerer producenter et dobbelt UEFI / BIOS-system, så hvis du deaktiverer UEFI, vil du falde tilbage til BIOS. Dette burde naturligvis øge omkostningerne.
Til sidst skulle BIOS forsvinde, som vi kender det til fordel for UEFI eller andre bedre standarder, som man tror, fordi BIOS-teknologi er gammel og derfor pålægger begrænsninger.
Mine herrer, en underskrift på FSF's andragende om denne sag:
Vi, underskriverne, opfordrer alle computerproducenter, der implementerer UEFIs såkaldte "Secure Boot", til at gøre det på en måde, der muliggør installation af gratis operativsystemer. For at respektere brugerens frihed og virkelig beskytte deres sikkerhed skal producenter tillade computerejere at deaktivere bootrestriktioner eller tilbyde et pålideligt system til at installere og køre et gratis operativsystem efter eget valg. Vi lover, at vi ikke vil købe eller anbefale computere, der fjerner denne kritiske frihed fra brugeren, og at vi aktivt vil opmuntre folk i vores samfund til at undgå sådanne bursystemer.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Perfekt, anmodning underskrevet og delt med LUG og resten af internettet, tak for kommentaren.