Slučajno prevedem ovaj članak koji je on napisao James Bottomley, tehnički savjetnik Linux Foundation, koji je počeo sastavljati pre-bootloader tako da možete pokrenuti Linux.
Kao što sam objasnio u svom prethodnom postu, imamo postavljen kôd za Linux-ov pokretač unaprijed. Međutim, postojao je odgoditi dok smo imali pristup Microsoftovom sustavu potpisivanja.
Prvo što treba učiniti je uplatite 99 dolara Verisignu (sada Symantec) i neka ključ ovjeri tvrtka Verisign. Učinili smo to za Linux Foundation, a sve što žele je nazvati sjedište radi provjere. Ključ se vraća u URL-u koji je instaliran u vašem pregledniku, ali za njegovo izdvajanje i stvaranje uobičajenog PEM certifikata i ključa mogu se koristiti standardni Linux SSL alati. To nema nikakve veze s potpisivanjem UEFI-a, već se koristi za provjeru valjanosti sustava sysdev Microsoft da ste ono što kažete da jeste. Prije nego što možete stvoriti sysdev račun, morate ga testirati potpisivanje izvršne datoteke koju vam daju i prenose. Oni postavljaju stroge zahtjeve da ga potpišete na određenoj Windows platformi, ali sbsign barem djeluje i bingo da je naš račun stvoren.
Jednom kada se račun stvori, još uvijek ne možete prenijeti UEFI binarne datoteke za potpisivanje bez prethodnog potpisati papirni ugovor. Ugovori su vrlo teški, uključujući puno izuzetih licenci (uključujući sve GPL-ove za vozače, ali ne i za bootloadere). Najteži dio je što se čini da sporazumi stižu izvan UEFI objekata koje potpisujete. Odvjetnici zaklade Linux zaključili su da je to uglavnom bezopasno za LF jer ne prodajemo proizvode, ali drugim tvrtkama može biti odvratno. Prema Matthewu Garrettu, Microsoft je spreman pregovarati o posebnim ugovorima s distribucijama kako bi ublažio neke od tih problema.
Jednom kada su sporazumi potpisani, pravi tehnička zabava. Ne možete samo prenijeti UEFI binarni zapis i dati ga potpisati. Prvo moraš zamotajte ga u .cab datoteku. Srećom, postoji projekt otvorenog koda koji može stvoriti datoteke ormara zvane lcab. Onda moraš potpisati .cab datoteku ključem Verisign. Opet, postoji još jedan projekt otvorenog koda koji to može učiniti: osslsigncode. Svima kojima su potrebni ti alati dostupni su u mom spremištu openSuse Build Service UEFI. Konačni problem je prijenos datoteke zahtijeva srebrnu svjetlost. Nažalost, čini se da mjesečina ne funkcionira, pa čak i s pregledom verzije 4, okvir za prijenos postaje prazan, pa vrijeme je da upotrijebite Windows 7 pod kvm (virtualni stroj zasnovan na jezgri). Kad dođete do tog dijela, također morate potvrditi da je binarni "koji treba potpisati, ne smije imati licencu pod GPLv3 ili sličnim licencama otvorenog koda". Pretpostavljam da je to zbog straha od otkrivanja ključa, ali uopće nije jasno (isto sa "sličnim licencama otvorenog koda").
Po završetku prijenosa datoteka u ormaru zaustavlja se kroz sedam faza. Nažalost, prvi probni uspon je ostao zaključana u fazi 6 (potpis datoteka). Nakon 6 dana poslao sam e-poštu s podrškom Microsoftu s pitanjem što se događa. Odgovor: „Kôd pogreške koji je bacio postupak potpisivanja je taj vaša datoteka nije važeća Win32 aplikacija. Je li to valjana aplikacija Win32? ”. Odgovor: očito nije, to je valjana 64-bitna UEFI binarna datoteka. Odgovora više nije bilo...
Pokušao sam ponovo. Ovaj put sam dobio e-poštu za preuzimanje potpisane datoteke, a ploča to kaže potpisano nije uspjelo. Preuzeo sam ga i provjerio. Binarni program radi na platformi secureboot i potpisan je ključem
subject = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
izdavatelj = / C = SAD / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Pitao sam podršku zašto je postupak ukazivao na neuspjeh, ali imao sam valjano preuzimanje i nakon naleta e-maila odgovorili su "nemojte koristiti tu datoteku koja je pogrešno potpisan. Vratit ću vam se. " Još uvijek nisam siguran u čemu je problem, ali ako pogledate Predmet ključa za potpisivanje, u ključu nema ništa što bi moglo ukazati na Linux Foundation, stoga sumnjam da je problem u tome što je binarni zapis potpisan generičkim Microsoftovim ključem umjesto određenim (i opozivim) ključem vezanim za Linux Foundation.
Međutim, ovo je status: Nastavit ćemo čekati da Microsoft dodijeli Linux Foundation potpisan i provjeren pred-bootloader. Kad se to dogodi, bit će preneseno na web mjesto Linux Foundation-a kako bi ga svi mogli koristiti.
izvor: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Izvucite zaključke, ali ovo će potrajati.
Ako se doista problem računala s win8 OEM-om koji dolaze s UEFI sustavom riješi onemogućavanjem UEFI-a iz BIOS-a, čini mi se pogreškom da i Linux Foundation i Fedora, Ubuntu i ne znam koja druga distro distribucija, platite certifikat i prihvatite ograničenja koja nameće Microsoft.
MORAMO PRESTANI BITI JANJCI !!!!!
ali znam da Windows 8 ostaje neotvoren
Hehehe, nije bila velika stvar. Pa, barem za mene. To je osobno mišljenje, ne želim nikoga uvrijediti.
UEFI se ne može onemogućiti iz BIOS-a, jer je UEFI firmware koji dolazi zamijeniti više nego dugovječni BIOS.
Ono o čemu govorimo je Secure Boot, UEFI značajka koja provjerava autentičnost softvera s kojim pokrećemo računalo pomoću digitalnih potpisa, to je Secure Boot koji treba onemogućiti.
To nije tako jednostavno kao onemogućavanje sigurnog pokretanja i to je to, potrebno je da je proizvođač razmotrio mogućnost uključivanja izbornika koji korisnicima omogućava onemogućavanje sigurnog pokretanja, ako proizvođač ne želi da se onemogući, korisniku će biti vrlo komplicirano učinite to, moguće da ćete ići do krajnjih granica da morate zamijeniti firmware matične ploče neslužbenim.
Rješenje Linux Foundation-a bilo bi "univerzalno" rješenje za bilo koji hardver pogođen ovom bolešću i omogućilo bi instaliranje bilo kojeg sustava plaćanjem jednog digitalnog potpisa samo jednom, što je sigurno ono što ih plaši i zašto toliko toga rade. moliti
«To nije tako jednostavno kao onemogućavanje sigurnog pokretanja i to je to, potrebno je da je proizvođač razmotrio mogućnost uključivanja izbornika koji korisnicima omogućuje onemogućavanje sigurnog pokretanja, ako proizvođač ne želi da to onemogući biti će vrlo komplicirano za korisnika da to mogu učiniti, »
Dakle, ono što treba učiniti je kampanja digitalne pismenosti u kojoj se korisnicima objašnjava da traže računala s tom značajkom, a umjesto toga kupuju druga.
Sve je to za zarađivanje novca provjerom valjanosti onoga što se može, a što ne može pokrenuti sigurnim dizanjem.
Potpuna nesposobnost ne može se razlikovati od loše namjere.
Iako postoji poznata fraza Roberta J. Hanlona koja kaže: "Nikada zloći ne pripisujte ono što se adekvatno objašnjava glupošću", u određenom slučaju Microsofta, toliko glupih poteškoća u navodno dobro zamišljenom i osmišljenom procesu za Zbog veće sigurnosti stvara se dojam da koče Linux Foundation, tako da se linux ne može instalirati na nova računala s UEFI-jem, tako da Microsoft nema konkurenciju.
Točno. Ne sviđa mi se ideja, navodni siguran početak ... To me plaši. Čini mi se da Microsoft ima vrlo ... mafijaške svrhe.
Više sam nego umoran od Microsofta i njegovih manipulacija, čak se i bojim njegovih namjera i umoran od pretvaranja da dominira nad svakim računalom ili uređajem koji postoje na tržištu.
Nadam se da će Linux masovno završiti i prevladati među krajnjim korisnicima, a Windows je napokon marginaliziran, totalno, za OS sranje kakvo jest.
To me podsjeća na patent koji je dodijeljen Microsoftu kojim je zadani sustav ograničen, a da bi se otvorio njegov puni potencijal ili instalirao bilo koji program treće strane, potrebne su licence za koje, naravno, moraju platiti korisnik ili korisnici. Treće strane koje žele da se njihove aplikacije instaliraju na operativni sustav. To što ga još nisu proveli, ne znači da ne namjeravaju, a imam dojam da UEFI priprema teren za to.
Ono što me iznenađuje je da 64-bitne binarne datoteke ne uspiju i forsiraju 32-bitne binarne datoteke ... Oni su retrogradni, na tržištu gotovo da nema novih 86-bitnih procesora x32 arhitekture. Trebao bi raditi na 64 bita.
uu
Digitalni potpis ili sigurno pokretanje pokušava spriječiti pokretanje "nečega", osim sustava. Također je u cilju izbjegavanja takozvanog piratstva ili ilegalnog kopiranja vlasničkog softvera.
Analiza i malo istraživanje takozvanog Win8 sefa s njegovom mnogo hvaljenom sigurnom čizmom pokazali su svoju nesposobnost jer su nedavno otkrili sigurnosnu rupu.
Zbog navedenog i bez potrebe da budete genij u industriji, s doktoratima i drugima, može se zaključiti da je to samo marketinški koncept popraćen Microsoftovom premisom da postane zatvoreni sustav u obliku jabuke.
Osobnim pregledom, savjetovanjem i proučavanjem mogu iz svoje osobne perspektive reći da je UEFI / Secure Boot prijevara i prevara kojoj je cilj samo prisiliti i podržati Microsoftov projekt da u potpunosti zatvori svoj ekosustav, iskorištavajući činjenicu da i dalje može vršiti određene pritisak u segmentu osobnog računanja.
Na ovom ću odmoru pronaći način da tužim Microsoft. Ja ih mrzim.
Hehehe, da imam želju i vrijeme, i njih bih tražio. To je kršenje slobode. Osim ako ne naprave drugu verziju zloglasne EULA-e, gdje naznače da prihvaćanjem ugovora pristajete ne instalirati bilo koji drugi softver hehehe, što me ne bi iznenadilo.
+1
Vidjet ćemo kako Microsoft radi sa svojim win8 i svojim UEFI / securebootom, možda će izgubiti neko tržište u korist MacBook-a ili Chromebook-a.
I tko zna, možda se jednog dana pojavi proizvođač računala u korist linuxa i drugih besplatnih sustava.
mmm, a ako su se linux zajednice "manifestirale" na Internet dan i dan programera, na primjer, ispred neke prodavaonice hp-a (u najmanju ruku) pokazujući svoju zahvalnost za marku, ali neslaganje s korištenjem prozora?
A ako u to doba "install fest" izađe na ulice ili javne trgove?
Tužna je stvarnost da svi korisnici Linuxa zajedno čine dio korisnika Windowsa, pa proizvođači hardvera prirodno daju prednost operacijskom sustavu s najvećim tržišnim udjelom. pa vidim da je malo vjerojatno da će demonstracije promijeniti stvari.
Po mom mišljenju, na primjer, stvaranje Linuxa privlačnijom platformom za aplikacije i igre moglo bi imati veći utjecaj od mnogih demonstracija protiv MS-a. Ali za to je potrebno vrijeme (i resursi).
U redu je napasti Micro $ često i njegov Secure Boot, ali imajte na umu da su ga proizvođači matičnih ploča po defaultu uključili u UEFI, kao da postoji samo jedan OS; Microsoftovi ... krenuli su pogrešnim putem. S obzirom na slučaj, čini mi se da ćemo u budućnosti biti prisiljeni bljeskati UEFI ploče s "izdanim" verzijama kao što to danas činimo s ROM-om određenih proizvoda. Srećom, domišljatost onih koji teže slobodi pokazala se jačom od onih koji je žele iskorijeniti.
Čovječe .... Nije tako jednostavno kao što je proizvođač odabrao hoće li uključiti sigurno pokretanje u svoj hardver, ne smijemo zaboraviti da je Microsoft Monopoly, zapravo je THE Monopoly i kao proizvođač, rekavši da ne Microsoftu može značiti da mora suočiti se sa svojim odvjetnicima, povećati troškove licenci zbog kojih je vaša oprema znatno skuplja ili čak izgubiti 80% domaćeg tržišta.
Nije da ih brani, ali ako je nešto što Microsoft zna učiniti upravo to, nametnuti na temelju iznude i Monopola, jedina opcija bila bi da se svi proizvođači ili barem većina odjednom slože i zaustave noge, ali to je strahovito teško dogoditi i jedna tvrtka, bez obzira koliko velika bila, dvaput će razmisliti prije nego što riskira svoje poslovanje, bez obzira koliko nepravedno / puzajuće / apsurdno tražio Microsoft.
Puno se razgovaralo na ovu temu na raznim blogovima i forumima, ali imam dana razmišljajući o nečemu, možda je to moja glupost, ali, u slučaju DELL-a i HP-a (ne znam druge tvrtke) koji prodaju Linux strojeve, vrši sigurno pokretanje hoće li se skinuti?
Mislim da sam pročitao da u tim slučajevima proizvođači postavljaju dvostruki UEFI / BIOS sustav, tako da ako onemogućite UEFI, vratit ćete se na BIOS. To bi prirodno trebalo povećati troškove.
Na kraju bi BIOS trebao nestati onakav kakav mi znamo u korist UEFI-a ili drugih boljih standarda za koje se vjeruje, jer je BIOS-ova tehnologija stara i stoga nameće ograničenja.
Gospodo, potpis na peticiju FSS-a po ovom pitanju:
Mi potpisnici apeliramo na sve proizvođače računala koji primjenjuju UEFI-jevu takozvanu "sigurnu dizanje" da to učine na način koji omogućuje instalaciju besplatnih operativnih sustava. Da bi poštivali slobodu korisnika i istinski zaštitili njihovu sigurnost, proizvođači moraju omogućiti vlasnicima računala da onemoguće ograničenja pokretanja ili osigurati pouzdan sustav za instaliranje i pokretanje besplatnog operativnog sustava po njihovom izboru. Obvezujemo se da nećemo kupiti ili preporučiti računala koja korisniku oduzimaju tu kritičnu slobodu te da ćemo aktivno poticati ljude u našim zajednicama da izbjegavaju takve sustave u kavezu.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Savršeno, zahtjev potpisan i podijeljen s LUG-om i ostatkom weba, hvala na komentaru.