Il se trouve que je traduis cet article qu'il a écrit James Bottomley, conseiller technique du Linux Foundation, qui a commencé à mettre en place un pré-bootloader pour que vous puissiez démarrer Linux.
Comme je l'ai expliqué dans mon article précédent, nous avons le code du pré-chargeur de démarrage Linux Foundation en place. Cependant, il y avait un retarder alors que nous avions accès au système de signature Microsoft.
La première chose à faire est payer les 99 $ à Verisign (maintenant Symantec) et faire vérifier une clé par Verisign. Nous l'avons fait pour la Linux Foundation, et tout ce qu'ils veulent, c'est appeler le siège pour vérifier. La clé revient dans une URL installée dans votre navigateur, mais les outils SSL Linux standard peuvent être utilisés pour l'extraire et créer un certificat et une clé PEM habituels. Cela n'a rien à voir avec la signature UEFI, mais est utilisé pour valider le système développement système Microsoft que vous êtes ce que vous dites être. Avant de pouvoir créer un compte sysdev, vous devez le tester signer un exécutable qu'ils vous donnent et le télécharger. Ils exigent que vous le signiez sur une plate-forme Windows spécifique, mais sbsign au moins cela a fonctionné et notre compte de bingo a été créé.
Une fois le compte créé, vous ne pouvez toujours pas télécharger les binaires UEFI pour signer sans d'abord signer un contrat papier. Les offres sont très onéreuses, y compris de nombreuses licences exclues (y compris toutes les GPL pour les pilotes, mais pas pour les chargeurs de démarrage). La partie la plus lourde est que les accords semblent arriver au-delà des objets UEFI que vous signez. Les avocats de la Linux Foundation ont conclu qu'il est généralement inoffensif pour la FL parce que nous ne vendons pas de produits, mais cela peut être dégoûtant pour d'autres entreprises. Selon Matthew Garrett, Microsoft est prêt à négocier des accords spéciaux avec les distributions pour atténuer certains de ces problèmes.
Une fois les accords signés, le vrai plaisir technique. Vous ne pouvez pas simplement télécharger un binaire UEFI et le faire signer. Vous devez d'abord enveloppez-le dans un fichier .cab. Heureusement, il existe un projet open source qui peut créer des fichiers CAB appelés lcab. Alors tu dois signer le fichier .cab avec la clé Verisign. Encore une fois, il existe un autre projet open source qui peut faire cela: osslsigncode. Pour tous ceux qui ont besoin de ces outils, ils sont disponibles dans mon référentiel UEFI openSuse Build Service. Le dernier problème est que le téléchargement du fichier nécessite Silverlight. Malheureusement, le clair de lune ne semble pas fonctionner et même avec l'aperçu de la version 4, la boîte de téléchargement devient vide, donc il est temps d'utiliser Windows 7 sous un kvm (machine virtuelle basée sur le noyau). Lorsque vous arrivez à cette partie, vous devez également certifier que le binaire «à signer, ne doit pas être sous licence GPLv3 ou licences open source similaires». Je suppose que c'est par crainte de divulgation de clés, mais ce n'est pas clair du tout (la même chose avec des «licences open source similaires»).
Une fois le téléchargement terminé, le fichier CAB s'arrête en sept étapes. Malheureusement, la première montée d'essai est restée verrouillé à l'étape 6 (la signature des fichiers). Après 6 jours, j'ai envoyé un e-mail de support à Microsoft demandant ce qui se passait. La réponse: "Le code d'erreur généré par le processus de signature est que votre fichier n'est pas une application Win32 valide. Est-ce une application Win32 valide? ». Réponse: évidemment non, c'est un binaire UEFI 64 bits valide. Il n'y avait plus de réponses...
J'ai réessayé. Cette fois, j'ai reçu un e-mail de téléchargement pour le fichier signé et le tableau dit que le signé a échoué. Je l'ai téléchargé et vérifié. Le binaire fonctionne sur la plateforme secureboot et est signé avec la clé
subject = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
émetteur = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011J'ai demandé au support pourquoi le processus indiquait un échec mais j'avais un téléchargement valide et, après une rafale d'e-mails, ils ont répondu «n'utilisez pas ce fichier qui était mal signé. Je te reviendrais. " Je ne sais toujours pas quel est le problème, mais si vous regardez le sujet de la clé de signature, il n'y a rien dans la clé pour indiquer à la Fondation Linux, donc je soupçonne que le problème est que le binaire est signé avec une clé Microsoft générique plutôt qu'une clé spécifique (et révocable) liée à la Linux Foundation.
Cependant, voici le statut: nous continuerons d'attendre que Microsoft donne à la Linux Foundation un pré-bootloader signé et validé. Lorsque cela se produit, il sera téléchargé sur le site de la Linux Foundation pour que tous puissent l'utiliser.
source: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Tirez vos conclusions, mais cela prendra du temps.
Si vraiment le problème des PC avec win8 OEM qui viennent avec le système UEFI est résolu en désactivant UEFI du BIOS, il me semble une erreur que la fondation Linux et Fedora, Ubuntu et moi ne savons pas quelle autre distribution, payer pour le certificat et acceptez les limitations imposées par Microsoft.
NOUS DEVONS CESSER D'ÊTRE DES AGNEAUX !!!!!
mais je sais que Windows 8 reste non démarré
Hehehe, pas même un gros problème. Enfin, au moins pour moi. C'est une opinion personnelle, je ne veux offenser personne.
UEFI ne peut pas être désactivé à partir du BIOS, car UEFI est le micrologiciel qui vient remplacer le BIOS plus que longue durée.
Ce dont nous parlons est Secure Boot, une fonctionnalité UEFI qui vérifie l'authenticité du logiciel avec lequel nous démarrons l'ordinateur via des signatures numériques, c'est Secure Boot qui devrait être désactivé.
Ce n'est pas aussi simple que de désactiver Secure Boot et c'est tout, il faut que le fabricant ait envisagé d'inclure un menu permettant aux utilisateurs de désactiver Secure Boot, si le fabricant ne souhaite pas qu'il soit désactivé ce sera très compliqué pour que l'utilisateur puisse le faire, allant peut-être à l'extrême de devoir remplacer le firmware de la carte mère par un firmware non officiel.
La solution de la Linux Foundation serait une solution «universelle» pour tout matériel affecté par cette maladie et permettrait d'installer n'importe quel système en payant une seule signature numérique une seule fois, ce qui les effraie sûrement et pourquoi ils font tant de prier
«Ce n'est pas aussi simple que de désactiver Secure Boot et c'est tout, il faut que le constructeur ait envisagé d'inclure un menu permettant aux utilisateurs de désactiver Secure Boot, si le constructeur ne souhaite pas qu'il soit désactivé ce sera très compliqué pour l'utilisateur pour pouvoir le faire, »
Ce qu'il faut donc faire, c'est une campagne d'alphabétisation numérique où il est expliqué aux utilisateurs qu'ils exigent des ordinateurs dotés de cette fonctionnalité et qu'ils en achètent d'autres.
Tout cela pour gagner de l'argent en validant ce qui peut et ne peut pas démarrer avec un démarrage sécurisé.
L'incompétence totale ne se distingue pas des mauvaises intentions.
Bien qu'il y ait une phrase célèbre de Robert J. Hanlon qui dit: "Ne jamais attribuer à la méchanceté ce qui s'explique adéquatement par la stupidité", dans le cas particulier de Microsoft, tant de difficultés stupides à un processus prétendument bien conçu et conçu pour un meilleur sécurité, cela donne toujours l’impression qu’ils entravent la Fondation Linux afin que Linux ne puisse pas être installé sur les nouveaux PC avec UEFI, de sorte que Microsoft n’a pas de concurrence.
Exact. Je n'aime pas l'idée, un départ supposé sûr ... Cela me fait peur. Il me semble que Microsoft a des objectifs très ... mafieux.
Je suis plus que fatigué de Microsoft et de ses manipulations, et j'ai même peur de ses intentions, et fatigué de sa prétention de dominer chacun des PC ou appareils qui existent sur le marché.
J'espère que Linux finira de décoller en masse et l'emportera parmi les utilisateurs finaux et que Windows sera finalement marginalisé, total, pour la merde d'OS qu'il est.
Cela me rappelle le brevet accordé à Microsoft par lequel le système par défaut est limité, et pour libérer tout son potentiel ou installer un programme tiers, des licences sont nécessaires pour lesquelles, bien sûr, l'utilisateur ou les utilisateurs doivent payer. Les tiers qui souhaitent que leurs applications soient installées sur le système d'exploitation. Le fait qu'ils ne l'ont pas encore implémenté ne veut pas dire qu'ils n'en ont pas l'intention, et j'ai l'impression que l'UEFI prépare le terrain pour cela.
Ce qui me surprend, c'est que les binaires 64bist échouent et forcent les binaires 32 bits…. Ils sont rétrogrades, il n'y a pratiquement pas de nouveaux processeurs d'architecture x86 32 bits sur le marché. Cela devrait fonctionner à 64 bits.
uu
La signature numérique ou le démarrage sécurisé essaie d'empêcher «quelque chose» autre que le système de démarrer. C'est aussi pour éviter le soi-disant piratage ou la copie illégale de logiciels propriétaires.
Faire une analyse et faire des recherches sur le soi-disant coffre-fort Win8 avec son démarrage sécurisé tant vanté a montré son incompétence car ils ont récemment découvert une faille de sécurité.
En raison de ce qui précède et sans avoir à être un génie de l'industrie, avec les doctorants et autres, on peut en déduire qu'il ne s'agit que d'un concept marketing accompagné de la prémisse de Microsoft de devenir un système fermé à la pomme.
En examinant, en consultant et en étudiant personnellement, je peux dire de mon point de vue personnel que UEFI / Secure Boot est une fraude et une arnaque qui vise uniquement à forcer et à soutenir le projet de Microsoft de fermer complètement son écosystème, profitant du fait qu'il peut encore exercer certains pression dans le segment de l’informatique personnelle.
Ces vacances, je vais trouver un moyen de poursuivre Microsoft en justice. Je les hais.
Hehehe, si j'avais le désir et le temps, je les demanderais aussi. C'est une violation de la liberté. À moins qu'ils ne fassent une autre version du tristement célèbre CLUF où ils spécifient qu'en acceptant le contrat, vous adhérez à ne pas installer d'autres logiciels lol, ce qui ne me surprendrait pas.
+1
Nous verrons comment Microsoft fait avec son win8 et son UEFI / secureboot, peut-être perdra-t-il une partie du marché au profit des macbooks ou des chromebooks.
Et qui sait, peut-être qu'un jour un fabricant de PC apparaîtra en faveur de Linux et d'autres systèmes gratuits.
mmm et si les communautés Linux "se manifestaient" le jour de l'internet et le jour du programmeur par exemple, devant un magasin hp (pour dire le moins) montrant leur appréciation pour la marque mais leur désaccord avec l'utilisation de windows?
Et si à cette époque le «festival de l'installation» sortait dans les rues ou sur les places publiques?
La triste réalité est que tous les utilisateurs Linux combinés représentent une fraction des utilisateurs de Windows, de sorte que les fabricants de matériel donnent naturellement la priorité au système d'exploitation avec la part de marché la plus élevée. donc je vois qu'il est peu probable qu'une démonstration change les choses.
À mon avis, par exemple, faire de Linux une plate-forme plus attractive pour les applications et les jeux pourrait avoir plus d'influence que de nombreuses manifestations contre la SP. Mais cela prend du temps (et des ressources).
C'est bien d'attaquer Micro $ oft et son Secure Boot, mais rappelez-vous que ce sont les fabricants de cartes mères qui l'ont inclus par défaut dans l'UEFI, comme s'il n'y avait qu'un seul OS; Microsoft ... ils ont pris un mauvais chemin. Compte tenu du cas, il me semble qu'à l'avenir, nous serons obligés de flasher l'UEFI des cartes avec des versions "libérées" comme nous le faisons aujourd'hui avec la ROM de certains produits. Heureusement, l'ingéniosité de ceux qui aspirent à la liberté s'est avérée plus forte que celle de ceux qui cherchent à l'éradiquer.
Man… .ce n'est pas aussi simple que le fabricant choisit d'inclure ou non le démarrage sécurisé dans son matériel, il ne faut pas oublier que Microsoft est un monopole, en fait c'est LE monopole et en tant que fabricant, dire non à Microsoft peut signifier face à leurs avocats, augmentent le coût des licences qui rendent votre équipement beaucoup plus cher, voire perdent 80% du marché intérieur.
Ce n'est pas qu'il les défend, mais si quelque chose que Microsoft sait faire est précisément cela, imposer sur la base de l'extorsion et du monopole, la seule option serait que tous les fabricants ou du moins la majorité soient d'accord et de l'arrêter à la fois, mais cela est extrêmement difficile pour cela et une seule entreprise, quelle que soit sa taille, réfléchira à deux fois avant de risquer son activité, aussi injuste / rampante / absurde que Microsoft demande.
Il y a eu beaucoup de discussions sur ce sujet dans divers blogs et forums, mais j'ai des jours à réfléchir à quelque chose, c'est peut-être ma folie mais, dans le cas de DELL et HP (je ne connais pas d'autres entreprises) qui vendent des machines Linux , le démarrage sécurisé va-t-il se détacher?
Je pense avoir lu que dans ces cas, les fabricants placent un double système UEFI / BIOS de sorte que si vous désactivez l'UEFI, vous reviendrez au BIOS. Cela devrait naturellement augmenter les coûts.
Finalement, le BIOS devrait disparaître tel que nous le connaissons au profit de l'UEFI ou d'autres normes meilleures que l'on croit, car la technologie du BIOS est ancienne et impose donc des limitations.
Messieurs, une signature à la pétition de la FSF à ce sujet:
Nous, les signataires, exhortons tous les fabricants d'ordinateurs qui mettent en œuvre ce que l'on appelle le «démarrage sécurisé» de l'UEFI à le faire de manière à permettre l'installation de systèmes d'exploitation gratuits. Pour respecter la liberté des utilisateurs et véritablement protéger leur sécurité, les fabricants doivent permettre aux propriétaires d'ordinateurs de désactiver les restrictions de démarrage ou de fournir un système fiable pour installer et exécuter un système d'exploitation gratuit de leur choix. Nous nous engageons à ne pas acheter ou recommander des ordinateurs qui enlèvent cette liberté critique à l'utilisateur, et que nous encouragerons activement les membres de nos communautés à éviter de tels systèmes en cage.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Parfait, demande signée et partagée avec le LUG et le reste du web, merci pour le commentaire.