Käännän tämän artikkelin, jonka hän kirjoitti James Bottomley, tekninen neuvonantaja Linux-säätiö, joka alkoi koota esilatausohjelma, jotta voit käynnistää Linuxin.
Kuten selitin edellisessä viestissä, meillä on Linux Foundationin esikäynnistysohjelman koodi paikallaan. Siellä oli kuitenkin viive kun meillä oli pääsy Microsoftin allekirjoitusjärjestelmään.
Ensimmäinen asia on maksa 99 dollaria Verisignille (nyt Symantec) ja pyydä avainta vahvistamaan Verisignilta. Teimme sen Linux Foundationille, ja he haluavat vain kutsua pääkonttorin vahvistamaan. Avain palauttaa selaimeesi asennetun URL-osoitteen, mutta tavallisia Linux SSL -työkaluja voidaan käyttää sen purkamiseen ja tavallisen PEM-varmenteen ja avaimen luomiseen. Sillä ei ole mitään tekemistä UEFI-allekirjoituksen kanssa, mutta sitä käytetään järjestelmän vahvistamiseen sysdev Microsoft että olet kuka sanot olevasi. Ennen kuin voit luoda sysdev-tilin, sinun on testattava se allekirjoittamalla suoritettavan tiedoston he antavat sinulle ja lataavat sen. He asettavat tiukkoja vaatimuksia, että allekirjoitat sen tietyllä Windows-alustalla, mutta ainakin sbsign toimi, ja se toimi ja bingo tilimme luotiin.
Kun tili on luotu, et voi silti ladata UEFI-binaareja allekirjoitettavaksi ilman ensin allekirjoittaa paperinen sopimus. Tarjoukset ovat erittäin raskaita, mukaan lukien paljon poissuljettuja lisenssejä (mukaan lukien kaikki GPL: t kuljettajille, mutta ei käynnistyslataajille). Raskainta on, että sopimukset näyttävät saapuvan allekirjoittamiesi UEFI-objektien ulkopuolella. Linux-säätiön lakimiehet päättelivät, että se on enimmäkseen vaaraton LF: lle, koska emme myy tuotteita, mutta se voi olla inhottavaa muille yrityksille. Matthew Garrettin mukaan Microsoft on valmis neuvottelemaan jakeluja koskevista erikoistarjouksista joidenkin ongelmien lieventämiseksi.
Kun sopimukset on allekirjoitettu, todellinen teknistä hauskaa. Et voi vain ladata UEFI-binaaria ja pyytää sitä allekirjoittamaan. Ensin sinun täytyy kääri se .cab-tiedostoon. Onneksi on olemassa avoimen lähdekoodin projekti, joka voi luoda kaapitiedostoja nimeltä lcab. Sitten sinun täytyy allekirjoita .cab-tiedosto Verisign-avaimella. Jälleen on olemassa toinen avoimen lähdekoodin projekti, joka voi tehdä sen: osslsigncode. Kaikille, jotka tarvitsevat näitä työkaluja, ne ovat saatavana openSuse Build Service UEFI -tietovarastossani. Viimeinen ongelma on tiedoston lataaminen vaatii hopeavaloa. Valitettavasti kuutamo ei näytä toimivan, ja jopa version 4 esikatselussa latausruutu tyhjä, joten on aika käyttää Windows 7: tä kvm: n (ydinpohjainen virtuaalikone) alla. Kun pääset siihen osaan, sinun on myös vahvistettava, että binääri "allekirjoitetaan, ei saa käyttää GPLv3: n tai vastaavien avoimen lähdekoodin lisenssejä”. Oletan, että se on pelko avaimen paljastamisesta, mutta se ei ole ollenkaan selvää (sama "samanlaisten avoimen lähdekoodin lisenssien" kanssa).
Kun lataus on valmis, kaappitiedosto pysähtyy seitsemän vaiheen läpi. Valitettavasti ensimmäinen koekiipeily pysyi lukittu vaiheeseen 6 (tiedostojen allekirjoitus). Lähetin 6 päivän kuluttua Microsoftille tukisähköpostin, jossa kysyin, mitä tapahtui. Vastaus: ”Allekirjoitusprosessin heittämä virhekoodi on se tiedosto ei ole kelvollinen Win32-sovellus. Onko se kelvollinen Win32-sovellus? ”. Vastaus: ei tietenkään, se on kelvollinen 64-bittinen UEFI-binaari. Vastauksia ei enää ollut...
Yritin uudestaan. Tällä kertaa sain lataussähköpostin allekirjoitetusta tiedostosta, ja hallitus sanoo sen allekirjoitettu epäonnistui. Latasin sen ja vahvistin. Binaari toimii suojatun käynnistyksen alustalla ja allekirjoitetaan avaimella
aihe = / C = USA / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI -ohjainjulkaisija
liikkeeseenlaskija = / C = USA / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Kysyin tuelta, miksi prosessi osoitti epäonnistuneen, mutta minulla oli kelvollinen lataus, ja sähköpostiviestien jälkeen he vastasivat "älä käytä tiedostoa, joka oli allekirjoitettu väärin. Palaan takaisin luoksesi. " En vieläkään ole varma, mikä ongelma on, mutta jos tarkastelet allekirjoitusavaimen aihetta, avaimessa ei ole mitään osoitettavaa Linux FoundationilleSiksi epäilen ongelman olevan se, että binaari on allekirjoitettu yleisellä Microsoft-avaimella eikä erityisellä (ja peruutettavalla) avaimella, joka on sidottu Linux Foundationiin.
Tämä on kuitenkin tila: Odotamme edelleen, että Microsoft antaa Linux Foundationille allekirjoitetun ja vahvistetun esikäynnistysohjelman. Kun näin tapahtuu, se ladataan Linux Foundation -sivustolle kaikkien käytettäväksi.
lähde: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Tee johtopäätöksesi, mutta tämä vie aikaa.
Jos UEFI-järjestelmän mukana toimitettujen Win8 OEM -tietokoneiden ongelma ratkaistaan poistamalla UEFI käytöstä BIOS: sta, minusta näyttää virheeltä, että sekä Linux-säätiö että Fedora, Ubuntu ja en tiedä mikä muu jakelu maksaa sertifikaatista ja hyväksyy Microsoftin asettamat rajoitukset.
Meidän on lopetettava lamppujen oleminen !!!!!
mutta tiedän, että Windows 8 on käynnistämättä
Hehehe, ei edes iso juttu. No, ainakin minulle. Se on henkilökohtainen mielipide, en halua loukata ketään.
UEFI: tä ei voida poistaa käytöstä BIOSista, koska UEFI on laiteohjelmisto, joka tulee korvaamaan yli pitkäikäinen BIOS.
Kyse on Secure Boot -ominaisuudesta, joka on UEFI-ominaisuus, joka tarkistaa tietokoneen käynnistämien ohjelmistojen aitouden digitaalisten allekirjoitusten avulla. Se on Secure Boot, joka on poistettava käytöstä.
Se ei ole niin yksinkertaista kuin suojatun käynnistyksen poistaminen käytöstä, ja siinä kaikki, on välttämätöntä, että valmistaja on harkinnut valikon sisällyttämistä, jonka avulla käyttäjät voivat poistaa suojatun käynnistyksen käytöstä, jos valmistaja ei halua sen poistuvan käytöstä, käyttäjän on hyvin monimutkaista tee niin, mahdollisesti menemällä äärimmäisyyteen, jolloin emolevyn laiteohjelmisto on korvattava epävirallisella.
Linux-säätiön ratkaisu olisi "universaali" ratkaisu kaikille laitteille, joihin tämä sairaus vaikuttaa, ja mahdollistaisi minkä tahansa järjestelmän asentamisen maksamalla yhden digitaalisen allekirjoituksen vain kerran, mikä varmasti pelottaa heitä ja miksi he rukoilevat niin paljon
«Se ei ole niin yksinkertaista kuin suojatun käynnistyksen poistaminen käytöstä ja siinä kaikki, on välttämätöntä, että valmistaja on harkinnut valikon sisällyttämistä, jotta käyttäjät voivat poistaa suojatun käynnistyksen käytöstä, jos valmistaja ei halua sen poistavan käytöstä, se on hyvin käyttäjän on vaikea tehdä se, »
Joten sinun on tehtävä digitaalinen lukutaitokampanja, jossa käyttäjille selitetään, että he vaativat tietokoneita, joilla on tämä ominaisuus, ja jos he eivät osta muita.
Kaiken tämän tarkoituksena on ansaita rahaa vahvistamalla, mitä voi ja ei voi käynnistää suojatulla käynnistyksellä.
Täyttä epäpätevyyttä ei voida erottaa huonoista aikomuksista.
Vaikka Robert J.Hanlonin on kuuluisa lause, joka sanoo: "Älä koskaan pidä pahuutta sen kanssa, mikä tyydyttävällä tavalla selitetään", Microsoftin erityistapauksessa niin monia typeriä vaikeuksia oletettavasti hyvin suunniteltuun ja suunniteltuun prosessiin paremman turvallisuuden takaamiseksi, se antaa jatkuvasti vaikutelman, että ne estävät Linux Foundationia, jotta linuxia ei voida asentaa uusille tietokoneille UEFI: n kanssa, jotta Microsoftilla ei ole kilpailua.
Tarkka. En pidä ajatuksesta, oletetusta turvallisesta alusta ... Se pelottaa minua. Minusta tuntuu, että Microsoftilla on hyvin… mafian tarkoituksia.
Olen enemmän kuin kyllästynyt Microsoftiin ja sen manipulointeihin, ja pelkään jopa sen aikomuksia ja kyllästynyt siihen, että se teeskentelee hallitsevansa kaikkia markkinoilla olevia tietokoneita tai laitteita.
Toivon, että Linux lopettaa massiivisen nousun ja vallitsee loppukäyttäjien keskuudessa, ja Windows on lopulta syrjäytetty käyttöjärjestelmän paskaa varten.
Tämä muistuttaa minua Microsoftille myönnetystä patentista, jonka avulla järjestelmä on oletusarvoisesti rajoitettu, ja sen täyden potentiaalin vapauttamiseksi tai minkä tahansa kolmannen osapuolen ohjelman asentamiseksi tarvitaan lisenssejä, joista tietysti joko käyttäjän tai käyttäjien on maksettava. Kolmannet osapuolet, jotka haluavat sovellustensa olevan asennettuna käyttöjärjestelmään. Se, että he eivät ole vielä panneet sitä täytäntöön, ei tarkoita sitä, etteivät aio, ja minusta tuntuu, että UEFI valmistelee maata tähän.
Minua yllättää se, että 64bist-binaarit epäonnistuvat ja pakottavat 32bit binaarit… Ne ovat taaksepäin, markkinoilla on tuskin uusia 86-bittisiä x32-arkkitehtuuriprosessoreita. Sen pitäisi toimia 64 bitillä.
uu
Digitaalinen allekirjoitus tai suojattu käynnistys yrittää estää muun "järjestelmän" käynnistymisen. Sillä pyritään myös välttämään ns. Piratismi tai omien ohjelmistojen laiton kopiointi.
Analyysin tekeminen ja pienen tutkimuksen tekeminen niin kutsutusta Win8-kassakaapista, jossa on paljon ylistetty suojattu käynnistys, on osoittanut epäpätevyytensä, kun he löysivät äskettäin tietoturva-aukon.
Edellä esitetyn vuoksi ja ilman, että hänen on oltava toimialan nero, PhD: n ja muiden kanssa, voidaan päätellä, että se on vain markkinointikonsepti, johon liittyy Microsoftin lähtökohta tulla suljetuksi omena-tyyliseksi järjestelmäksi.
Henkilökohtaisesti tarkastellessani, konsultoimalla ja opiskellessani voin sanoa henkilökohtaisesta näkökulmastani, että UEFI / Secure Boot on petos ja huijaus, jonka tarkoituksena on vain pakottaa ja tukea Microsoftin projektia sulkemaan ekosysteemi kokonaan hyödyntäen sitä, että se voi silti käyttää tiettyjä henkilökohtaisen laskennan segmentissä.
Tältä lomalta aion löytää tapa haastaa Microsoft. Vihaan niitä.
Hehehe, jos minulla olisi halu ja aikaa, vaatisin myös heitä. Se on vapauden loukkaus. Elleivät he tee toista versiota surullisesta EULA: sta, missä ne määrittelevät, että hyväksymällä sopimuksen sitoudut olemaan asentamatta muita ohjelmistoja hehehe, mikä ei yllättäisi minua.
+1
Näemme kuinka Microsoft tekee win8: llaan ja UEFI / securebootillaan, ehkä se menettää joitain markkinoita MacBookin tai Chromebookin hyväksi.
Ja kuka tietää, ehkä jonain päivänä joku pc-valmistaja ilmestyy linuxin ja muiden ilmaisten järjestelmien hyväksi.
mmm ja jos linux-yhteisöt "ilmentyivät" esimerkiksi Internet-päivinä ja ohjelmoijapäivinä, esimerkiksi jonkin verran hp-myymälän edessä, osoittavat arvostavansa tuotemerkkiä, mutta ovat eri mieltä Windowsin käytöstä?
Ja jos noina päivinä "asennus fest" menee kaduille tai julkisille aukioille?
Surullinen tosiasia on, että kaikki Linux-käyttäjät yhdessä muodostavat murto-osan Windows-käyttäjistä, joten laitevalmistajat priorisoivat luonnollisesti käyttöjärjestelmän, jolla on suurin markkinaosuus. joten mielestäni on epätodennäköistä, että mielenosoitus muuttaa asioita.
Mielestäni esimerkiksi tekemällä Linuxista houkuttelevampi foorumi sovelluksille ja peleille voisi olla enemmän vaikutusta kuin monilla mielenosoituksilla MS: ää vastaan. Mutta tämä vie aikaa (ja resursseja).
On hienoa hyökätä Micro $: aa ja sen suojattua käynnistystä vastaan, mutta muista, että emolevyn valmistajat ovat sisällyttäneet sen oletuksena UEFI: hen, ikään kuin vain yksi käyttöjärjestelmä olisi; Microsoftin ... he ovat valinneet väärän tien. Tapaus huomioon ottaen minusta näyttää siltä, että tulevaisuudessa meidän on pakko vilkkua levyjen UEFI: tä "julkaistuilla" versioilla kuten tänäänkin tiettyjen tuotteiden ROM-levyillä. Onneksi vapaudelle pyrkivien kekseliäisyys on osoittautunut vahvemmaksi kuin niiden, jotka pyrkivät poistamaan sen.
Mies .... Se ei ole niin yksinkertaista kuin valmistaja päättää sisällyttääkö suojatun käynnistyksen laitteistoonsa, emmekä saa unohtaa, että Microsoft on monopoli, itse asiassa se on monopoli ja valmistajana, sanomalla ei Microsoftille voi tarkoittaa joutumista kohtaamaan lakimiehensä, nostamaan lisenssien kustannuksia, jotka tekevät laitteistasi paljon kalliimpia, tai jopa menettämään 80% kotimarkkinoista.
Ei ole, että se puolustaa heitä, mutta jos jotain, mitä Microsoft tietää kuinka tehdä, on juuri se, että asetat kiristämisen ja monopolin perusteella, ainoa vaihtoehto olisi kaikkien valmistajien tai ainakin enemmistön suostua ja lopettaa se heti, mutta sen on erittäin vaikeaa tapahtua, ja yksi yritys, riippumatta siitä kuinka suuri se onkin, ajattelee kahdesti ennen kuin se vaarantaa liiketoimintansa riippumatta siitä, kuinka epäreilua / hiipivää / järjetöntä Microsoft pyytää.
Tästä asiasta on puhuttu paljon eri blogeissa ja foorumeilla, mutta minulla on päiviä ajatella jotain, ehkä se on minun tyhmyyteni, mutta Linux-koneita myyvien DELL: n ja HP: n (en tiedä muita yrityksiä) tapauksessa, suorittaa suojatun käynnistyksen tuleeko se irti?
Luulen, että olen lukenut, että näissä tapauksissa valmistajat asettavat kaksois-UEFI / BIOS-järjestelmän, joten jos poistat UEFI: n käytöstä, palaat BIOSiin. Tämän pitäisi luonnollisesti lisätä kustannuksia.
Lopulta BIOSin on kadottava, koska tunnemme sen UEFI: n tai muiden uskottujen parempien standardien puolesta, koska BIOS-tekniikka on vanha ja asettaa siksi rajoituksia.
Hyvät herrat, allekirjoitus FSF: n vetoomukseen tästä asiasta:
Allekirjoittajat kehottavat kaikkia tietokoneiden valmistajia, jotka toteuttavat UEFI: n ns. "Suojatun käynnistyksen", tekemään niin tavalla, joka sallii ilmaisten käyttöjärjestelmien asentamisen. Kunnioittaakseen käyttäjien vapautta ja suojellakseen heidän turvallisuuttaan, valmistajien on sallittava tietokoneen omistajien poistaa käynnistysrajoitukset käytöstä tai tarjota luotettava järjestelmä asentamaan ja suorittamaan valitsemansa ilmainen käyttöjärjestelmä. Lupaamme, ettemme osta tai suosittele tietokoneita, jotka vievät tämän kriittisen vapauden käyttäjältä, ja että rohkaisemme aktiivisesti yhteisömme ihmisiä välttämään tällaisia hälytysjärjestelmiä.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Täydellinen, pyyntö allekirjoitettu ja jaettu LUG: n ja muun verkon kanssa, kiitos kommentista.