ماجراهای موجود در امضای UEFI مایکروسافت

من اتفاقاً این مقاله را که وی نوشت ترجمه می کنم جیمز بوتوملی، مشاور فنی سازمان بنیاد لینوکس، که شروع به جمع کردن کرد قبل از بوت لودر ، بنابراین می توانید لینوکس را بوت کنید.

همانطور که در پست قبلی توضیح دادم ، ما کد مربوط به پیش بارگذاری Linux Foundation را در سر داریم. با این حال ، وجود دارد تاخیر انداختن در حالی که ما به سیستم امضای مایکروسافت دسترسی داشتیم.

اولین چیزی که برای انجام شده است 99 دلار به Verisign پرداخت کنید (اکنون سیمانتک) و یک کلید تأیید شده توسط Verisign دارد. ما این کار را برای بنیاد لینوکس انجام دادیم ، و همه آنها می خواهند تماس بگیرند تا مرکز را تأیید کنند. کلید در یک URL برمی گردد که در مرورگر شما نصب شده است ، اما می توان از ابزارهای استاندارد SSL Linux برای استخراج آن و ایجاد یک گواهینامه و کلید PEM معمول استفاده کرد. هیچ ارتباطی با امضای UEFI ندارد ، اما برای تأیید اعتبار سیستم استفاده می شود sysdev مایکروسافت که شما همان هستید که می گویید هستید. قبل از ایجاد حساب sysdev ، باید آن را آزمایش کنید امضای اجرایی که به شما می دهند و بارگذاری آن. آنها شرایط سختی را برای شما ایجاد می کنند که شما آن را در یک سیستم عامل خاص ویندوز امضا کنید ، اما حداقل sbsign کار کرد و حساب بینگو ایجاد شد.

پس از ایجاد حساب ، شما هنوز نمی توانید باینری UEFI را برای امضای بدون بارگذاری بارگذاری کنید قرارداد کاغذی امضا کنید. این توافقنامه ها بسیار سنگین است ، از جمله بسیاری از مجوزهای استثنا شده (از جمله تمام GPL ها برای رانندگان ، اما نه برای بوت لودرها). سنگین ترین قسمت این است که به نظر می رسد توافق نامه ها رسیده است فراتر از اشیا U UEFI که امضا می کنید. وكلاي بنياد لينوكس به اين نتيجه رسيدند كه اين كار براي LF بي ضرر است زيرا ما محصولي نمي فروشيم اما براي شركتهاي ديگر ممكن است ناپسند باشد. به گفته متیو گرت ، مایکروسافت مایل است برای کاهش برخی از مشکلات با توزیع ها معاملات ویژه ای را انجام دهد.

هنگامی که توافق نامه ها امضا شد ، واقعی است تفریح ​​فنی. نمی توانید باینری UEFI را بارگذاری کنید و امضا کنید. اول شما باید آن را در یک فایل .cab قرار دهید. خوشبختانه ، یک پروژه منبع باز وجود دارد که می تواند پرونده های کابینت به نام lcab ایجاد کند. پس شما مجبورید فایل .cab را با کلید Verisign امضا کنید. باز هم ، یک پروژه منبع باز دیگر وجود دارد که می تواند این کار را انجام دهد: osslsigncode. برای هر کسی که به این ابزارها نیاز داشته باشد ، آنها در مخزن openSuse Build Service UEFI من موجود است. مشکل نهایی بارگذاری پرونده است به نقره ای نیاز دارد. متأسفانه ، به نظر نمی رسد مهتاب کار کند و حتی با پیش نمایش نسخه 4 ، جعبه بارگذاری خالی است ، بنابراین زمان استفاده از ویندوز 7 است تحت kvm (ماشین مجازی مبتنی بر هسته). وقتی به آن قسمت رسیدید ، باید گواهی کنید که باینری "برای امضا ، نباید تحت GPLv3 یا مجوزهای منبع باز مشابه مجوز داشته باشد" من فرض می کنم این از ترس افشای کلید باشد اما به هیچ وجه روشن نیست (همان "مجوزهای مشابه منبع باز").

پس از اتمام بارگذاری ، پرونده کابینت طی هفت مرحله متوقف می شود. متاسفانه ، اولین صعود آزمایشی باقی ماند در مرحله 6 قفل شده است (امضای پرونده ها). بعد از 6 روز من یک ایمیل پشتیبانی به مایکروسافت ارسال کردم که از آنچه اتفاق می افتد ، پرسیدم. پاسخ: «کد خطایی که فرایند امضا به آن وارد کرده این است پرونده شما یک برنامه Win32 معتبر نیست. آیا این یک برنامه Win32 معتبر است؟ ". پاسخ: بدیهی است که نه ، یک باینری 64 بیتی UEFI معتبر است. دیگر پاسخی نبود...

دوباره امتحان کردم این بار یک ایمیل بارگیری برای پرونده امضا شده دریافت کردم و هیئت مدیره این را می گوید امضا نشد. من آن را بارگیری کردم و تأیید کردم. باینری در سیستم عامل safeboot کار می کند و با کلید امضا می شود

موضوع = / C = ایالات متحده / ST = واشنگتن / L = ردموند / O = Microsoft Corporation / OU = MOPR / CN = ناشر مایکروسافت ویندوز UEFI
صادر کننده = / C = ایالات متحده / ST = واشنگتن / L = ردموند / O = شرکت مایکروسافت / CN = شرکت مایکروسافت UEFI CA 2011

من از پشتیبانی پرسیدم که چرا روند کار ناموفق است اما من یک بارگیری معتبر داشتم و پس از انبوه ایمیل ، آنها پاسخ دادند "از آن پرونده استفاده نکنید به اشتباه امضا شده. من به تو برمی گردم. " من هنوز مطمئن نیستم که مشکل چیست ، اما اگر به موضوع کلید امضا نگاه کنید ، هیچ چیزی در کلید وجود ندارد که بتواند به بنیاد لینوکس نشان دهد، بنابراین من گمان می کنم که مشکل این است که باینری با یک کلید عمومی مایکروسافت به جای یک کلید خاص (و قابل فسخ) به بنیاد لینوکس امضا شده است.

با این حال ، این وضعیت است: ما همچنان منتظر خواهیم ماند تا مایکروسافت یک بوت لودر امضا شده و معتبر را به بنیاد Linux ارائه دهد. وقتی این اتفاق افتاد ، برای استفاده همه در سایت بنیاد لینوکس بارگذاری می شود.

Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/

نتیجه گیری کنید ، اما این زمان می برد.


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

25 نظر ، نظر خود را بگذارید

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.

  1.   رولو dijo

    اگر واقعاً مشکل رایانه های شخصی با Win8 OEM همراه سیستم UEFI با غیرفعال کردن UEFI از BIOS حل شده است ، به نظر من خطا این است که هم بنیاد لینوکس و هم فدورا ، اوبونتو و من نمی دانم کدام توزیع دیگر را پرداخت می کنیم ، هزینه گواهی را پرداخت می کنیم و قبول می کنیم محدودیت های اعمال شده توسط مایکروسافت.

    ما باید بره بودن را متوقف کنیم !!!!!

    1.    sieg84 dijo

      اما می دانم که ویندوز 8 بوت نشده است

      1.    بلر پاسکال dijo

        هههه ، مسئله خیلی بزرگی نبود. خوب ، حداقل برای من این یک نظر شخصی است ، من نمی خواهم کسی را آزرده کنم.

    2.    شیبا 87 dijo

      UEFI نمی تواند از BIOS غیرفعال شود ، زیرا UEFI نرم افزاری است که جایگزین BIOS بیش از عمر طولانی می شود.

      آنچه ما در مورد آن صحبت می کنیم Secure Boot است ، یک ویژگی UEFI که صحت نرم افزاری را که با آن کامپیوتر را با استفاده از امضاهای دیجیتالی راه اندازی می کنیم تأیید می کند ، این Secure Boot است که باید غیرفعال شود.

      این کار به سادگی غیرفعال کردن Secure Boot نیست و بس ، لازم است که تولید کننده در نظر داشته باشد که شامل منویی باشد که به کاربران امکان می دهد Secure Boot را غیرفعال کنند ، اگر سازنده نمی خواهد آن غیرفعال شود ، برای کاربر بسیار پیچیده است. این کار را انجام دهید ، احتمالاً به شدت مجبور شوید سیستم عامل مادربرد را با یک نسخه غیر رسمی جایگزین کنید.

      راه حل بنیاد لینوکس یک راه حل "جهانی" برای هر سخت افزار مبتلا به این بیماری است و به شما اجازه می دهد هر سیستم با پرداخت تنها یک امضای دیجیتال تنها یک بار نصب شود ، که مطمئنا همین باعث ترس آنها می شود و چرا بسیاری از آنها را انجام می دهند. نماز خواندن

      1.    MSX dijo

        "این کار به سادگی غیرفعال کردن Secure Boot نیست و بس ، لازم است که تولید کننده در نظر داشته باشد که شامل منویی باشد که به کاربران اجازه می دهد Secure Boot را غیرفعال کنند ، اگر سازنده نمی خواهد غیرفعال شود ، برای کاربر بسیار پیچیده است. تا بتوانید آن را انجام دهید ، »

        بنابراین آنچه شما باید انجام دهید یک کمپین سوادآموزی دیجیتالی است که در آن برای کاربران توضیح داده می شود که آنها کامپیوترهایی با این ویژگی را طلب می کنند و در عوض دیگران را می خرند.

      2.    طارقون dijo

        همه اینها برای کسب درآمد از طریق تأیید اعتبار آنچه می تواند و نمی تواند با بوت امن بوت شود ، است.

  2.   مخالف dijo

    بی کفایتی کامل از نیت بد قابل تشخیص نیست.

  3.   هوگو dijo

    اگرچه عبارتی مشهور از رابرت جی. هانلون وجود دارد كه می گوید: "هرگز آنچه را كه با حماقت به اندازه كافی توضیح داده شده ، به سو mal نیت نسبت ندهید" ، اما در مورد خاص مایکروسافت ، این همه مشکلات احمقانه برای یک فرایند کاملاً تصور شده و طراحی شده برای یک امنیت بهتر ، این احساس را ایجاد می کند که آنها مانع بنیاد لینوکس می شوند تا لینوکس با UEFI در رایانه های شخصی جدید نصب نشود ، بنابراین مایکروسافت هیچ رقابتی ندارد.

    1.    بلر پاسکال dijo

      دقیق من این ایده را دوست ندارم ، یک شروع امن فرض شده ... این مرا می ترساند. به نظر من مایکروسافت خیلی اهداف مافیایی دارد.

      1.    باملر dijo

        من بیش از حد از مایکروسافت و دستکاری های آن خسته شده ام ، و حتی از اهداف آن می ترسم و از وانمود کردن برای تسلط بر هر یک از رایانه های شخصی یا دستگاه های موجود در بازار خسته شده ام.

        من امیدوارم که لینوکس به طور دسته جمعی به پایان برسد و در میان کاربران نهایی غالب شود و سرانجام ویندوز برای سیستم عامل موجود به حاشیه رانده شود.

        1.    هوگو dijo

          این من را به یاد اختراع اعطا شده به مایکروسافت می اندازد که از طریق آن سیستم به طور پیش فرض محدود شده است و برای باز کردن پتانسیل کامل آن یا نصب برنامه شخص ثالث ، مجوزهایی لازم است که البته یا کاربر یا کاربران باید آن را پرداخت کنند. اشخاص ثالثی که می خواهند برنامه هایشان روی سیستم عامل نصب شود. اینکه آنها هنوز آن را اجرا نکرده اند ، به این معنی نیست که آنها قصد ندارند و این تصور را دارم که UEFI در حال آماده سازی زمینه برای این کار است.

  4.   ErunamoJAZZ dijo

    آنچه من را شگفت زده می کند این است که باینری های 64bist از کار می افتند و 32 بیتی باینری را مجبور می کنند ... آنها یکپارچه هستند ، به سختی پردازنده های معماری 86 بیتی x32 در بازار وجود دارد. باید در 64 بیتی کار کند.

    تو

  5.   جورجمانجاررزلرما dijo

    امضای دیجیتال یا بوت امن در تلاش است تا از "راه اندازی" چیزی غیر از سیستم جلوگیری کند. همچنین برای جلوگیری از به اصطلاح دزدی دریایی یا کپی غیرقانونی از نرم افزارهای اختصاصی است.

    انجام یک تجزیه و تحلیل و انجام برخی تحقیقات در مورد به اصطلاح امن Win8 با بوت ایمن بسیار محرمانه ، عدم صلاحیت آن را نشان داده است زیرا آنها اخیراً یک حفره امنیتی کشف کرده اند.

    با توجه به موارد گفته شده و بدون نیاز به نبوغ صنعت ، با داشتن دکترا و سایر موارد ، می توان نتیجه گرفت که این تنها یک مفهوم بازاریابی است که با فرض مایکروسافت برای تبدیل شدن به یک سیستم بسته به سبک سیب همراه است.

    شخصاً با مرور ، مشاوره و مطالعه می توانم از دیدگاه شخصی خود بگویم که UEFI / Secure Boot یک کلاهبرداری و کلاهبرداری است که فقط با هدف مجبور کردن و پشتیبانی از پروژه مایکروسافت برای بستن کامل اکوسیستم خود ، با بهره گیری از این واقعیت است که هنوز هم می تواند برخی موارد خاص را اعمال کند فشار در بخش محاسبات شخصی.

  6.   پاولوچو dijo

    در این تعطیلات می خواهم راهی برای شکایت از مایکروسافت پیدا کنم. از آنها متنفرم.

    1.    بلر پاسکال dijo

      هاهاها، اگر هم میل و زمان، من آنها را بیش از حد تقاضا. این نقض آزادی است. مگر اینکه آنها نسخه دیگری از EULA بدنام را بسازند و در آن مشخص کنند که با قبول قرارداد شما به نصب هیچ نرم افزار دیگری پایبند نیستید ، که من را متعجب نخواهد کرد.

    2.    باملر dijo

      +1

  7.   نوسفراتوکس dijo

    خواهیم دید که مایکروسافت با win8 و UEFI / safeboot خود چگونه عمل می کند ، شاید به نفع macbook یا chromebook بازار خود را از دست بدهد.

    و چه کسی می داند ، شاید روزی برخی از تولید کنندگان رایانه های شخصی به نفع linux و سایر سیستم های رایگان در آنجا ظاهر شوند.

  8.   نوسفراتوکس dijo

    mmm و اگر انجمن های لینوکس در روز اینترنت و روز برنامه نویس "آشکار" شوند ، جلوی بعضی از فروشگاه های hp (حداقل بگویم) نشان می دهند که از نام تجاری قدردانی می کنند اما با استفاده از ویندوز اختلاف نظر دارند؟

    و اگر در آن روزها "نصب جشنواره" به خیابان ها یا میادین عمومی بپیوندد؟

    1.    هوگو dijo

      واقعیت غم انگیز این است که همه کاربران لینوکس ترکیبی از کاربران ویندوز را تشکیل می دهند ، بنابراین تولیدکنندگان سخت افزار سیستم عامل با بیشترین سهم بازار را در اولویت قرار می دهند. بنابراین بعید می دانم که یک تظاهرات بتواند اوضاع را تغییر دهد.

      به نظر من ، به عنوان مثال ، ایجاد لینوکس به یک پلت فرم جذاب تر برای برنامه ها و بازی ها می تواند تأثیر بیشتری نسبت به بسیاری از تظاهرات علیه MS داشته باشد. اما این به زمان (و منابع) نیاز دارد.

  9.   چارلی براون dijo

    خوب است که به Micro $ off و Secure Boot آن حمله کنید ، اما به یاد داشته باشید که این تولیدکنندگان مادربرد هستند که آن را به طور پیش فرض در UEFI گنجانده اند ، گویی که فقط یک سیستم عامل وجود دارد. مایکروسافت ... آنها راهی اشتباه را در پیش گرفته اند. با توجه به پرونده ، به نظر من می رسد که در آینده مجبور خواهیم شد UEFI تابلوها را با نسخه های "منتشر شده" مانند امروز با ROM محصولات خاص فلش بزنیم. خوشبختانه ، نبوغ کسانی که آرزوی آزادی دارند قوی تر از کسانی است که به دنبال ریشه کن کردن آن هستند.

    1.    شیبا 87 dijo

      مرد .... به همین سادگی نیست که سازنده انتخاب کند که آیا بوت امن را در سخت افزار خود بگنجاند ، ما نباید فراموش کنیم که مایکروسافت یک انحصار است ، در واقع این انحصار است و به عنوان یک تولید کننده ، گفتن نه به مایکروسافت می تواند به معنای مجبور بودن به با وکلای آنها روبرو شوید ، هزینه مجوزهایی را که تجهیزات شما را بسیار گران می کنند یا حتی 80٪ از بازار داخلی را از دست می دهند ، افزایش دهید.

      این بدان معنا نیست که از آنها دفاع می کند ، اما اگر کاری که مایکروسافت می داند چگونه انجام دهد دقیقاً این است که بر اساس اخاذی و انحصار تحمیل می کند ، تنها گزینه این است که همه تولیدکنندگان یا حداقل اکثریت موافقت کنند و یک باره پاهای خود را متوقف کنند ، اما این اتفاق برای آن بسیار دشوار است و یک شرکت واحد ، هر چقدر هم که بزرگ باشد ، قبل از به خطر انداختن تجارت خود ، بدون توجه به خواسته مایکروسافت غیرمنصفانه / خزنده / پوچ ، بار دیگر فکر خواهد کرد.

  10.   آلو dijo

    در بلاگ ها و انجمن های مختلف بحث های زیادی در مورد این موضوع انجام شده است ، اما من چند روز است که به چیزی فکر می کنم ، شاید این احمقانه بودن من باشد ، اما در مورد DELL و HP (من شرکت های دیگری نمی شناسم) که ماشین های لینوکس را می فروشند ، آیا بوت امن است خاموش میشه؟

    1.    هوگو dijo

      فکر می کنم من خوانده ام که در این موارد سازندگان یک سیستم دوگانه UEFI / BIOS قرار می دهند تا اگر UEFI را غیرفعال کنید ، به BIOS بازگردید. این به طور طبیعی باید هزینه ها را افزایش دهد.

      در نهایت BIOS باید از بین برود زیرا ما آن را به نفع UEFI یا سایر استانداردهای بهتری که اعتقاد دارند می شناسیم ، زیرا فناوری BIOS قدیمی است و بنابراین محدودیت هایی را ایجاد می کند.

  11.   شیبا 87 dijo

    آقایان ، امضای دادخواست FSF در این مورد:

    ما ، امضاكنندگان ، از همه سازندگان رایانه كه به اصطلاح "بوت امن" UEFI را پیاده سازی می كنند ، می خواهیم این كار را به روشی انجام دهند كه نصب سیستم عامل های رایگان را مجاز كند. برای احترام به آزادی کاربر و محافظت واقعی از ایمنی آنها ، تولیدکنندگان باید به دارندگان رایانه اجازه دهند محدودیت های بوت را غیرفعال کنند یا یک سیستم قابل اعتماد برای نصب و اجرای یک سیستم عامل رایگان به انتخاب خود ارائه دهند. ما متعهد می شویم که رایانه هایی را که این آزادی حیاتی را از کاربر می گیرد نخریم یا آنها را توصیه نکنیم و مردم جامعه خود را به طور فعال تشویق کنیم که از چنین سیستم های قفس شده جلوگیری کنند.

    http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement

    1.    MSX dijo

      عالی است ، درخواست شما با LUG و بقیه اعضای وب امضا و به اشتراک گذاشته شده است ، از نظر شما متشکریم.