माइक्रोसॉफ्ट के यूईएफआई हस्ताक्षर में एडवेंचर्स

मैं इस लेख का अनुवाद करने के लिए हूं जो उन्होंने लिखा था जेम्स बॉटमले, तकनीकी सलाहकार लिनक्स फाउंडेशन, जिन्होंने एक साथ रखना शुरू किया एक पूर्व बूटलोडर ताकि आप लिनक्स को बूट कर सकें.

जैसा कि मैंने अपनी पिछली पोस्ट में बताया था, हमारे पास लिनक्स फाउंडेशन प्री-बूटलोडर के लिए कोड है। हालाँकि, एक था विलंब जब तक हमारे पास Microsoft हस्ताक्षर प्रणाली के लिए पहुँच थी।

पहली बात यह है कि Verisign को $ 99 का भुगतान करें (अब Symantec) और Verisign द्वारा सत्यापित एक कुंजी है। हमने इसे लिनक्स फाउंडेशन के लिए किया था, और वे सभी करना चाहते हैं जो सत्यापित करने के लिए कॉल मुख्यालय है। आपके ब्राउज़र में स्थापित URL में मुख्य रिटर्न, लेकिन इसे निकालने और सामान्य PEM प्रमाणपत्र और कुंजी बनाने के लिए मानक Linux SSL उपकरण का उपयोग किया जा सकता है। इसका UEFI पर हस्ताक्षर करने से कोई लेना-देना नहीं है, लेकिन इसका उपयोग सिस्टम को मान्य करने के लिए किया जाता है सिसदेव Microsoft कि आप हैं जो आप कहते हैं कि आप हैं। इससे पहले कि आप एक sysdev खाता बना सकें, आपको इसका परीक्षण करना होगा एक निष्पादन योग्य पर हस्ताक्षर वे आपको देते हैं और इसे अपलोड करते हैं। वे सख्त आवश्यकताओं को पूरा करते हैं जो आप इसे एक विशिष्ट विंडोज प्लेटफॉर्म पर हस्ताक्षर करते हैं, लेकिन कम से कम यह काम किया है और हमारे खाते को बिंगो बनाया गया था।

एक बार खाता बन जाने के बाद भी, आप पहले बिना हस्ताक्षर किए UEFI बायनेरिज़ अपलोड नहीं कर सकते एक कागज अनुबंध पर हस्ताक्षर करें। समझौते बहुत सारे हैं, जिसमें बहुत सारे अपवर्जित लाइसेंस शामिल हैं (ड्राइवरों के लिए सभी जीपीएल सहित, लेकिन बूटलोडर्स के लिए नहीं)। सबसे महत्वपूर्ण हिस्सा यह है कि समझौते आने लगते हैं यूईएफआई वस्तुओं से परे आप हस्ताक्षर करते हैं। लिनक्स फाउंडेशन के लिए वकीलों ने निष्कर्ष निकाला कि यह ज्यादातर एलएफ के लिए हानिरहित है क्योंकि हम उत्पाद नहीं बेचते हैं, लेकिन यह अन्य कंपनियों के लिए घृणित हो सकता है। मैथ्यू गैरेट के अनुसार, Microsoft उन कुछ समस्याओं को कम करने के लिए वितरण के साथ विशेष सौदों पर बातचीत करने को तैयार है।

एक बार समझौतों पर हस्ताक्षर होने के बाद, वास्तविक तकनीकी मज़ा। आप केवल यूईएफआई बाइनरी अपलोड नहीं कर सकते हैं और इस पर हस्ताक्षर किए हैं। सबसे पहले आपको करना होगा इसे एक .cab फ़ाइल में लपेटें। सौभाग्य से, एक खुला स्रोत परियोजना है जो कैबिनेट फाइल बना सकती है जिसे lcab कहा जाता है। फिर आपको करना होगा Verisign कुंजी के साथ .cab फ़ाइल साइन करें। फिर से, एक और ओपन सोर्स प्रोजेक्ट है जो ऐसा कर सकता है: osslsigncode। किसी को भी, जिन्हें उन उपकरणों की आवश्यकता होती है, वे मेरी ओपनस्यूज़ बिल्ड सर्विस यूईएफआई रिपॉजिटरी में उपलब्ध हैं। अंतिम समस्या यह है कि फ़ाइल अपलोड करना चाँदी की आवश्यकता है। दुर्भाग्य से चांदनी काम नहीं करती है और यहां तक ​​कि संस्करण 4 पूर्वावलोकन के साथ, अपलोड बॉक्स खाली हो जाता है, इसलिए यह विंडोज़ 7 का उपयोग करने का समय है kvm (कर्नेल-आधारित वर्चुअल मशीन) के अंतर्गत। जब आप उस हिस्से में पहुंच जाते हैं, तो आपको यह भी प्रमाणित करना होगा कि बाइनरी "हस्ताक्षरित होना है," GPLv3 या इसी तरह के ओपन सोर्स लाइसेंस के तहत लाइसेंस नहीं होना चाहिए”। मुझे लगता है कि यह महत्वपूर्ण प्रकटीकरण के डर के लिए है, लेकिन यह बिल्कुल भी स्पष्ट नहीं है ("समान खुले स्रोत लाइसेंस के साथ")।

अपलोड पूरा होने के बाद, कैबिनेट फाइल सात चरणों में बंद हो जाती है। दुर्भाग्य से, पहले टेस्ट की चढ़ाई रुक गई स्टेज 6 में बंद (फाइलों के हस्ताक्षर)। 6 दिनों के बाद मैंने Microsoft को एक समर्थन ईमेल भेजा जिसमें पूछा गया कि क्या हो रहा है। जवाब: “हस्ताक्षर प्रक्रिया द्वारा फेंका गया त्रुटि कोड वह है आपकी फ़ाइल मान्य Win32 अनुप्रयोग नहीं है। यह एक वैध Win32 आवेदन है? ”। उत्तर: स्पष्ट रूप से नहीं, यह एक वैध 64 बिट यूईएफआई बाइनरी है। और कोई जवाब नहीं थे...

मैंने फिर कोशिश की। इस बार मुझे हस्ताक्षरित फ़ाइल के लिए एक डाउनलोड ईमेल मिला और बोर्ड का कहना है कि हस्ताक्षरित विफल। मैंने इसे डाउनलोड किया और सत्यापित किया। बाइनरी सिक्योरबूट प्लेटफॉर्म पर काम करती है और कुंजी के साथ हस्ताक्षरित है

विषय = / C = US / ST = वाशिंगटन / L = रेडमंड / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI ड्राइवर प्रकाशक
जारीकर्ता = / सी = यूएस / एसटी = वाशिंगटन / एल = रेडमंड / ओ = माइक्रोसॉफ्ट कॉर्पोरेशन / सीएन = माइक्रोसॉफ्ट कॉर्पोरेशन यूईएफआई सीए 2011

मैंने समर्थन से पूछा कि प्रक्रिया में विफलता क्यों हुई, लेकिन मेरे पास एक वैध डाउनलोड था और ईमेल की हड़बड़ाहट के बाद, उन्होंने जवाब दिया कि "उस फ़ाइल का उपयोग न करें जो था गलत तरीके से हस्ताक्षर किए गए। मैं आपके पास वापस आऊँगा। " मुझे अभी भी यकीन नहीं है कि समस्या क्या है, लेकिन अगर आप हस्ताक्षर करने वाले विषय के विषय को देखते हैं, लिनक्स फाउंडेशन को इंगित करने के लिए कुंजी में कुछ भी नहीं है, इसलिए मुझे संदेह है कि समस्या यह है कि बाइनरी लिनक्स फाउंडेशन से बंधे एक विशिष्ट (और प्रतिवर्ती) कुंजी के बजाय एक सामान्य Microsoft कुंजी के साथ हस्ताक्षरित है।

हालाँकि, यह स्थिति है: हम लिनक्स फाउंडेशन को एक हस्ताक्षरित और मान्य पूर्व-बूटलोडर देने के लिए Microsoft की प्रतीक्षा करना जारी रखेंगे। जब ऐसा होता है, तो इसे उपयोग करने के लिए लिनक्स फाउंडेशन साइट पर अपलोड किया जाएगा।

Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/

अपने निष्कर्ष निकालें, लेकिन इसमें समय लगने वाला है।