Ich übersetze zufällig diesen Artikel, den er geschrieben hat James Bottomley, technischer Berater der Linux Foundation, der anfing zusammen zu stellen ein Pre-Bootloader, damit Sie Linux booten können.
Wie ich in meinem vorherigen Beitrag erklärt habe, haben wir den Code für den Linux Foundation Pre-Bootloader installiert. Es gab jedoch eine verzögern während wir Zugriff auf das Microsoft-Signatursystem hatten.
Das erste, was zu tun ist, Zahlen Sie die 99 $ an Verisign (jetzt Symantec) und lassen Sie einen Schlüssel von Verisign überprüfen. Wir haben es für die Linux Foundation getan, und alles, was sie tun möchten, ist, die Zentrale anzurufen, um dies zu überprüfen. Der Schlüssel wird in einer URL zurückgegeben, die in Ihrem Browser installiert ist. Mit Standard-Linux-SSL-Tools können Sie ihn jedoch extrahieren und ein übliches PEM-Zertifikat und einen Schlüssel erstellen. Es hat nichts mit der UEFI-Signatur zu tun, sondern dient zur Validierung des Systems Sysdev Microsoft, dass Sie sind, wer Sie sagen, dass Sie sind. Bevor Sie ein Sysdev-Konto erstellen können, müssen Sie es testen Sie signieren eine ausführbare Datei, die sie Ihnen geben, und laden sie hoch. Sie stellen strenge Anforderungen, dass Sie es auf einer bestimmten Windows-Plattform signieren, aber sbsign zumindest hat es funktioniert und Bingo unser Konto wurde erstellt.
Sobald das Konto erstellt wurde, können Sie immer noch keine UEFI-Binärdateien zum Signieren hochladen, ohne vorher einen Papiervertrag unterschreiben. Die Vereinbarungen sind sehr belastend, einschließlich vieler ausgeschlossener Lizenzen (einschließlich aller GPLs für Fahrer, jedoch nicht für Bootloader). Der lästigste Teil ist, dass die Vereinbarungen zu kommen scheinen jenseits der von Ihnen signierten UEFI-Objekte. Anwälte der Linux Foundation kamen zu dem Schluss, dass dies für die LF größtenteils harmlos ist, da wir keine Produkte verkaufen, es aber für andere Unternehmen ekelhaft sein kann. Laut Matthew Garrett ist Microsoft bereit, Sonderverträge mit Distributionen auszuhandeln, um einige dieser Probleme zu lösen.
Sobald die Verträge unterzeichnet sind, wird der echte technischer Spaß. Sie können nicht einfach eine UEFI-Binärdatei hochladen und signieren lassen. Zuerst musst du Wickeln Sie es in eine CAB-Datei. Glücklicherweise gibt es ein Open-Source-Projekt, das Cabinet-Dateien namens lcab erstellen kann. Dann musst du Signieren Sie die CAB-Datei mit dem Verisign-Schlüssel. Auch hier gibt es ein anderes Open Source-Projekt, das dies kann: osslsigncode. Für alle, die diese Tools benötigen, stehen sie in meinem openSuse Build Service UEFI-Repository zur Verfügung. Das letzte Problem ist das Hochladen der Datei erfordert Silverlight. Leider scheint Moonlight nicht zu funktionieren und selbst mit der Vorschau von Version 4 bleibt das Upload-Feld leer Es ist Zeit, Windows 7 zu verwenden unter einem kvm (kernelbasierte virtuelle Maschine). Wenn Sie zu diesem Teil gelangen, müssen Sie auch bestätigen, dass die Binärdatei „signiert werden soll, darf nicht unter GPLv3 oder ähnlichen Open Source-Lizenzen lizenziert werden”. Ich gehe davon aus, dass dies aus Angst vor der Offenlegung von Schlüsseln geschieht, aber es ist überhaupt nicht klar (dasselbe gilt für "ähnliche Open Source-Lizenzen").
Sobald der Upload abgeschlossen ist, stoppt die Schrankdatei in sieben Schritten. Leider blieb der erste Testaufstieg in Stufe 6 gesperrt (die Signatur der Dateien). Nach 6 Tagen schickte ich eine Support-E-Mail an Microsoft und fragte, was los sei. Die Antwort: „Der Fehlercode, der beim Signieren ausgelöst wird, lautet: Ihre Datei ist keine gültige Win32-Anwendung. Ist es eine gültige Win32-Anwendung? ”. Antwort: Offensichtlich nicht, es ist eine gültige 64-Bit-UEFI-Binärdatei. Es gab keine Antworten mehr...
Ich habe es erneut versucht. Diesmal habe ich eine Download-E-Mail für die signierte Datei erhalten und das Board sagt das das signierte ist fehlgeschlagen. Ich habe es heruntergeladen und überprüft. Die Binärdatei funktioniert auf der Secureboot-Plattform und ist mit dem Schlüssel signiert
Betreff = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
Emittent = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Ich fragte den Support, warum der Prozess auf einen Fehler hinwies, aber ich hatte einen gültigen Download und nach einer Flut von E-Mails antworteten sie: „Verwenden Sie diese Datei nicht falsch signiert. Ich werde zu dir zurückkehren. " Ich bin mir immer noch nicht sicher, wo das Problem liegt, aber wenn Sie sich den Betreff des Signaturschlüssels ansehen, Der Schlüssel enthält nichts, was der Linux Foundation angezeigt werden könnteDaher vermute ich, dass das Problem darin besteht, dass die Binärdatei mit einem generischen Microsoft-Schlüssel signiert ist und nicht mit einem bestimmten (und widerrufbaren) Schlüssel, der an die Linux Foundation gebunden ist.
Dies ist jedoch der Status: Wir werden weiterhin darauf warten, dass Microsoft der Linux Foundation einen signierten und validierten Pre-Bootloader zur Verfügung stellt. In diesem Fall wird es auf die Linux Foundation-Site hochgeladen, damit alle es verwenden können.
Quelle: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Ziehen Sie Ihre Schlussfolgerungen, aber dies wird einige Zeit dauern.
Wenn das Problem von PCs mit Win8-OEM, die mit dem UEFI-System geliefert werden, wirklich durch Deaktivieren von UEFI aus dem BIOS gelöst wird, scheint es mir ein Fehler zu sein, dass sowohl die Linux-Stiftung als auch Fedora, Ubuntu und ich nicht wissen, welche andere Distribution zahlen für das Zertifikat und akzeptieren Sie die von Microsoft auferlegten Einschränkungen.
Wir müssen aufhören, Lämmer zu sein !!!!!
Ich weiß jedoch, dass Windows 8 nicht gestartet wird
Hehehe, nicht mal eine große Sache. Zumindest für mich. Es ist eine persönliche Meinung, ich möchte niemanden beleidigen.
UEFI kann im BIOS nicht deaktiviert werden, da UEFI die Firmware ist, die das mehr als langlebige BIOS ersetzt.
Wir sprechen hier von Secure Boot, einer UEFI-Funktion, die die Authentizität der Software überprüft, mit der wir den Computer durch digitale Signaturen starten. Es ist Secure Boot, das deaktiviert werden sollte.
Es ist nicht so einfach wie das Deaktivieren von Secure Boot, und das ist es, es ist notwendig, dass der Hersteller überlegt hat, ein Menü einzuschließen, mit dem Benutzer Secure Boot deaktivieren können. Wenn der Hersteller nicht möchte, dass es deaktiviert wird, ist dies sehr kompliziert Damit der Benutzer dies tun kann, muss er möglicherweise die Motherboard-Firmware durch eine inoffizielle ersetzen.
Die Lösung der Linux Foundation wäre eine "universelle" Lösung für jede von dieser Krankheit betroffene Hardware und würde es ermöglichen, jedes System nur einmal mit einer einzigen digitalen Signatur zu installieren, was sie sicherlich erschreckt und warum sie so viel beten
«Es ist nicht so einfach wie das Deaktivieren von Secure Boot, und das ist es. Es ist notwendig, dass der Hersteller überlegt hat, ein Menü einzuschließen, mit dem Benutzer Secure Boot deaktivieren können. Wenn der Hersteller nicht möchte, dass es deaktiviert wird, ist dies sehr wichtig kompliziert für den Benutzer, dies zu tun »
Was also getan werden muss, ist eine Kampagne zur digitalen Kompetenz, in der den Benutzern erklärt wird, dass sie Computer mit dieser Funktion benötigen und stattdessen andere kaufen.
All dies dient dazu, Geld zu verdienen, indem überprüft wird, was mit einem sicheren Start gestartet werden kann und was nicht.
Totale Inkompetenz ist nicht von schlechten Absichten zu unterscheiden.
Obwohl es einen berühmten Satz von Robert J. Hanlon gibt, der besagt: "Niemals der Bosheit das zuschreiben, was durch Dummheit angemessen erklärt wird", gibt es im speziellen Fall von Microsoft so viele dumme Schwierigkeiten für einen vermeintlich gut durchdachten und ausgearbeiteten Prozess für ein Besseres Sicherheit erweckt es immer wieder den Eindruck, dass sie die Linux Foundation behindern, sodass Linux nicht auf neuen PCs mit UEFI installiert werden kann, sodass Microsoft keine Konkurrenz hat.
Genau. Ich mag die Idee nicht, einen vermeintlich sicheren Start ... Es macht mir Angst. Es scheint mir, dass Microsoft sehr ... Mafia-Zwecke hat.
Ich bin mehr als müde von Microsoft und seinen Manipulationen, und ich habe sogar Angst vor seinen Absichten und habe es satt, so zu tun, als würde er jeden der auf dem Markt erhältlichen PCs oder Geräte dominieren.
Ich hoffe, dass Linux den Start massenhaft beendet und sich unter den Endbenutzern durchgesetzt hat und Windows für den Betriebssystem-Mist, der es ist, endgültig marginalisiert ist.
Dies erinnert mich an das Microsoft erteilte Patent, durch das das Standardsystem eingeschränkt wird. Um sein volles Potenzial auszuschöpfen oder Programme von Drittanbietern zu installieren, sind Lizenzen erforderlich, für die natürlich entweder der Benutzer oder die Benutzer zahlen müssen. Dritte, die möchten, dass ihre Anwendungen auf dem Betriebssystem installiert werden. Dass sie es noch nicht implementiert haben, bedeutet nicht, dass sie es nicht beabsichtigen, und ich habe den Eindruck, dass UEFI den Boden dafür bereitet.
Was mich überrascht ist, dass 64bist-Binärdateien ausfallen und 32bit-Binärdateien erzwingen…. Sie sind rückläufig, es gibt kaum neue 86-Bit-Prozessoren mit x32-Architektur auf dem Markt. Es sollte bei 64 Bit funktionieren.
uu
Die digitale Signatur oder der sichere Start versucht zu verhindern, dass "etwas" außer dem System gestartet wird. Dies dient auch dazu, die sogenannte Piraterie oder das illegale Kopieren von proprietärer Software zu vermeiden.
Eine Analyse und Recherche des sogenannten Win8-Safes mit seinem viel gepriesenen sicheren Boot hat seine Inkompetenz bewiesen, als sie kürzlich eine Sicherheitslücke entdeckten.
Aufgrund des oben Gesagten und ohne ein Branchengenie mit Doktoranden und anderen sein zu müssen, kann daraus geschlossen werden, dass es sich nur um ein Marketingkonzept handelt, das von Microsofts Prämisse begleitet wird, ein geschlossenes System im Apfelstil zu werden.
Persönliches Überprüfen, Beraten und Studieren Ich kann aus meiner persönlichen Sicht sagen, dass UEFI / Secure Boot ein Betrug und ein Betrug ist, der nur darauf abzielt, das Microsoft-Projekt zu zwingen und zu unterstützen, sein Ökosystem vollständig zu schließen, wobei die Tatsache ausgenutzt wird, dass es immer noch bestimmte Funktionen ausüben kann Druck im Personal-Computing-Bereich.
In diesem Urlaub werde ich einen Weg finden, Microsoft zu verklagen. Ich hasse sie.
Hehehe, wenn ich den Wunsch und die Zeit hätte, würde ich sie auch verlangen. Es ist eine Verletzung der Freiheit. Es sei denn, sie stellen eine andere Version der berüchtigten EULA her, in der sie angeben, dass Sie durch die Annahme des Vertrags zustimmen, keine andere Software zu installieren, was mich nicht überraschen würde.
+1
Wir werden sehen, wie sich Microsoft mit Win8 und UEFI / Secureboot verhält. Vielleicht verliert es einen Markt zugunsten von Macbooks oder Chromebooks.
Und wer weiß, vielleicht wird eines Tages ein PC-Hersteller zugunsten von Linux und anderen kostenlosen Systemen auftauchen.
mmm, und wenn sich Linux-Communities am Internet- und Programmiertag "manifestiert" haben, zum Beispiel vor einem HP Store (gelinde gesagt), der ihre Wertschätzung für die Marke zeigt, aber seine Uneinigkeit mit der Verwendung von Windows?
Und wenn in jenen Tagen das "Installationsfest" auf die Straße oder auf öffentliche Plätze geht?
Die traurige Realität ist, dass alle Linux-Benutzer zusammen einen Bruchteil der Windows-Benutzer ausmachen. Daher priorisieren Hardwarehersteller natürlich das Betriebssystem mit dem höchsten Marktanteil. Daher halte ich es für unwahrscheinlich, dass eine Demonstration etwas ändert.
Meiner Meinung nach könnte beispielsweise die Verbesserung der Attraktivität von Linux für Anwendungen und Spiele mehr Einfluss haben als viele Demonstrationen gegen MS. Dies erfordert jedoch Zeit (und Ressourcen).
Es ist in Ordnung, Micro $ oft und seinen Secure Boot anzugreifen, aber denken Sie daran, dass es die Motherboard-Hersteller sind, die es standardmäßig in die UEFI aufgenommen haben, als ob es nur ein Betriebssystem gäbe. Microsoft ... sie haben einen falschen Weg eingeschlagen. Angesichts des Falls scheint es mir, dass wir in Zukunft gezwungen sein werden, die UEFI der Boards mit "freigegebenen" Versionen zu flashen, wie wir es heute mit dem ROM bestimmter Produkte tun. Glücklicherweise hat sich der Einfallsreichtum derer, die nach Freiheit streben, als stärker erwiesen als der derer, die versuchen, sie auszurotten.
Mann ... Es ist nicht so einfach wie der Hersteller zu entscheiden, ob ein sicherer Start in seine Hardware aufgenommen werden soll oder nicht. Wir dürfen nicht vergessen, dass Microsoft ein Monopol ist, tatsächlich ist es DAS Monopol und als Hersteller sagt er Nein zu Microsoft Dies kann bedeuten, dass Sie sich Ihren Anwälten stellen müssen, die Kosten für Lizenzen erhöhen müssen, die Ihre Geräte viel teurer machen, oder sogar 80% des Inlandsmarktes verlieren müssen.
Es ist nicht so, dass es sie verteidigt, aber wenn Microsoft genau das zu tun weiß, was auf der Grundlage von Erpressung und Monopol auferlegt wird, besteht die einzige Möglichkeit darin, dass alle Hersteller oder zumindest die Mehrheit zustimmen und es sofort stoppen Aber das ist enorm schwierig, und ein einzelnes Unternehmen, egal wie groß es ist, wird zweimal überlegen, bevor es sein Geschäft riskiert, egal wie unfair / schleichend / absurd das ist, was Microsoft verlangt.
In verschiedenen Blogs und Foren wurde viel über dieses Thema gesprochen, aber ich habe Tage damit verbracht, über etwas nachzudenken. Vielleicht ist es meine Dummheit, aber im Fall von DELL und HP (ich kenne keine anderen Unternehmen), die Linux-Maschinen verkaufen Wird sich der sichere Boot lösen?
Ich glaube, ich habe gelesen, dass die Hersteller in diesen Fällen ein duales UEFI / BIOS-System einsetzen, sodass Sie, wenn Sie das UEFI deaktivieren, auf das BIOS zurückgreifen. Dies sollte natürlich die Kosten erhöhen.
Schließlich sollte das BIOS, wie wir es kennen, zugunsten von UEFI oder anderen besseren Standards verschwinden, die angenommen werden, da die BIOS-Technologie alt ist und daher Einschränkungen auferlegt.
Meine Herren, eine Unterschrift auf die FSF-Petition zu diesem Thema:
Wir, die Unterzeichner, fordern alle Computerhersteller, die den sogenannten "Secure Boot" von UEFI implementieren, auf, dies so zu tun, dass kostenlose Betriebssysteme installiert werden können. Um die Freiheit der Benutzer zu respektieren und ihre Sicherheit wirklich zu schützen, müssen die Hersteller den Computerbesitzern erlauben, die Startbeschränkungen zu deaktivieren oder ein zuverlässiges System bereitzustellen, um ein kostenloses Betriebssystem ihrer Wahl zu installieren und auszuführen. Wir verpflichten uns, keine Computer zu kaufen oder zu empfehlen, die dem Benutzer diese kritische Freiheit nehmen, und wir werden die Menschen in unseren Gemeinden aktiv ermutigen, solche Käfigsysteme zu vermeiden.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Perfekt, Anfrage signiert und mit der LUG und dem Rest des Webs geteilt, danke für den Kommentar.