Lefordítom ezt a cikket, amelyet írt James Bottomleya. műszaki tanácsadója Linux Foundation, aki elkezdte összerakni egy pre-bootloader, így elindíthatja a Linuxot.
Ahogy előző bejegyzésemben kifejtettem, a Linux Foundation pre-bootloader kódja van a helyén. Volt azonban egy késleltetés miközben hozzáférhettünk a Microsoft aláíró rendszeréhez.
Az első tennivaló az fizesse meg a 99 dollárt a Verisign-nak (jelenleg Symantec), és a Verisign ellenőrizze a kulcsot. Megtettük a Linux Alapítvány számára, és csak annyit akarnak tenni, hogy felhívják a központot, hogy ellenőrizzék. A kulcs egy URL-ben jelenik meg, amely telepítve van a böngészőjébe, de a szokásos Linux SSL eszközök használhatók annak kibontására és egy szokásos PEM tanúsítvány és kulcs létrehozására. Semmi köze az UEFI aláírásához, de a rendszer hitelesítésére szolgál sysdev Microsoft, hogy te vagy az, akinek mondod magad. Mielőtt létrehozhat egy sysdev fiókot, tesztelnie kell aláírva egy futtatható fájlt, megadják és feltöltik. Szigorú követelményeket támasztanak azzal kapcsolatban, hogy Ön aláírja egy adott Windows platformon, de az sbsign legalább működött, és létrehozták a fiókunkat.
A fiók létrehozása után továbbra sem töltheti fel az UEFI bináris fájljait, hogy először aláírja írjon alá egy papír szerződést. A megállapodások nagyon megterhelőek, beleértve a sok kizárt licencet (beleértve az összes GPL-t az illesztőprogramok számára, de nem a rendszerbetöltők számára). A legnagyobb megterhelés az, hogy a megállapodások látszólag megérkeznek az aláírt UEFI objektumokon túl. A Linux Alapítvány ügyvédei arra a következtetésre jutottak, hogy ez többnyire ártalmatlan az LF számára, mert nem árulunk termékeket, de undorító lehet más vállalatok számára. Matthew Garrett szerint a Microsoft hajlandó tárgyalni a disztribúciókkal kapcsolatos különleges megállapodásokról, hogy enyhítse ezeket a problémákat.
A megállapodások aláírása után az igazi technikai szórakozás. Nem feltöltheti az UEFI bináris fájlokat, és aláírhatja. Először meg kell csomagolja be egy .cab fájlba. Szerencsére van egy nyílt forráskódú projekt, amely képes létrehozni az lcab nevű kabinetfájlokat. Akkor muszáj írja alá a .cab fájlt a Verisign kulccsal. Ismét van egy másik nyílt forráskódú projekt, amely képes erre: osslsigncode. Bárki, akinek szüksége van ezekre az eszközökre, elérhetők az openSuse Build Service UEFI tárhelyemben. Az utolsó probléma a fájl feltöltése ezüstfényt igényel. Sajnos úgy tűnik, hogy a holdfény nem működik, és még a 4-es verzió előnézetével is a feltöltési mező üres itt az ideje a Windows 7 használatának kvm alatt (kernel alapú virtuális gép). Amikor eljut arra a részre, azt is igazolnia kell, hogy a bináris „aláírandó, nem engedélyezett a GPLv3 vagy hasonló nyílt forráskódú licencek alatt”. Feltételezem, hogy a kulcsok nyilvánosságra hozatalától tartanak, de egyáltalán nem egyértelmű (ugyanez a helyzet a "hasonló nyílt forráskódú licencekkel").
A feltöltés befejezése után a kabinetfájl hét szakaszon áll le. Sajnos az első tesztmászás maradt bezárva a 6. szakaszba (az akták aláírása). 6 nap elteltével támogatási e-mailt küldtem a Microsoftnak, és megkérdeztem, hogy mi történik. A válasz: „Az aláírási folyamat által dobott hibakód az a fájl nem érvényes Win32 alkalmazás. Érvényes Win32 alkalmazás? ”. Válasz: nyilvánvalóan nem, ez egy érvényes 64 bites UEFI bináris fájl. Több válasz nem érkezett...
Próbáltam újra. Ezúttal letöltött e-mailt kaptam az aláírt fájlról, és a tábla ezt mondja az aláírt nem sikerült. Letöltöttem és ellenőriztem. A bináris a biztonságos boot rendszeren működik, és a kulccsal van aláírva
tárgy = / C = USA / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI illesztőprogram-kiadó
kibocsátó = / C = USA / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Megkérdeztem az ügyfélszolgálatot, hogy miért jelzett kudarcot a folyamat, de érvényes letöltésem volt, és az e-mailek elárasztása után azt válaszolták, hogy „ne használja azt a fájlt, amely tévesen aláírták. Visszajövök hozzád. " Még mindig nem tudom, mi a probléma, de ha megnézed az aláíró kulcs Tárgyát, a kulcsban semmi nem utal a Linux Alapítványra, ezért gyanítom, hogy a probléma az, hogy a bináris kódot egy általános Microsoft kulccsal írják alá, nem pedig egy speciális (és visszavonható) kulccsal, amely a Linux Foundationhoz van kötve.
Ez azonban az állapot: továbbra is arra várunk, hogy a Microsoft aláírt és ellenőrzött indító előtöltőt adjon a Linux Alapítványnak. Amikor ez megtörténik, feltölti a Linux Foundation webhelyére, hogy mindenki használhassa.
forrás: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Tegye le következtetéseit, de ez időbe fog telni.
Ha valóban az UEFI rendszerhez tartozó win8 OEM számítógépek problémáját oldják meg az UEFI letiltásával a BIOS-ból, számomra hibának tűnik, hogy mind a Linux alapítvány, mind a Fedora, az Ubuntu és nem tudom, melyik másik disztribútor fizet. tanúsítványt, és fogadja el a Microsoft által előírt korlátozásokat.
HAGYJUK MEG A LÁMPÁKAT !!!!!
de tudom, hogy a Windows 8 indítatlan marad
Hehehe, nem volt nagy baj. Nos, legalábbis nekem. Ez személyes vélemény, nem akarok senkit megbántani.
Az UEFI-t nem lehet letiltani a BIOS-ból, mivel az UEFI az a firmware, amely a több mint hosszú élettartamú BIOS-t helyettesíti.
Amiről beszélünk, az a Secure Boot, egy UEFI szolgáltatás, amely digitális aláírásokkal ellenőrzi a szoftver indítását, amellyel elindítjuk a számítógépet, a Secure Boot-ot kell letiltani.
Ez nem olyan egyszerű, mint a biztonságos indítás letiltása, és ennyi, szükséges, hogy a gyártó megfontolja egy olyan menü beillesztését, amely lehetővé teszi a felhasználók számára a biztonságos indítás letiltását, ha a gyártó nem akarja, hogy letiltják, akkor nagyon bonyolult lesz hogy a felhasználó ezt megtehesse, esetleg abba a szélsőségbe kerülve, hogy az alaplap firmware-jét nem hivatalosra kell cserélnie.
A Linux Foundation megoldása "univerzális" megoldás lenne minden olyan hardver számára, amelyet ez a betegség érint, és lehetővé tenné bármely rendszer telepítését egyetlen digitális aláírás fizetésével, ami biztosan megijeszti őket és miért tesznek annyit imádkozik
«Ez nem olyan egyszerű, mint a biztonságos rendszerindítás letiltása, és ennyi, szükséges, hogy a gyártó megfontolja egy olyan menü beillesztését, amely lehetővé teszi a felhasználók számára a biztonságos rendszerindítás letiltását, ha a gyártó nem akarja, hogy azt letiltják, a felhasználó számára nagyon bonyolult lesz hogy meg tudjam csinálni, »
Tehát egy digitális írástudási kampányt kell tenni, ahol elmagyarázzák a felhasználóknak, hogy ilyen funkcióval rendelkező számítógépeket követelnek, és másokat vásárolnak.
Mindez az, hogy pénzt keressünk annak ellenőrzésével, hogy mit lehet és nem lehet biztonságos indítással indítani.
A teljes alkalmatlanság nem különböztethető meg a rossz szándéktól.
Míg van egy Robert J. Hanlon híres mondata, amely azt mondja: "Soha ne tulajdonítsd a rosszindulatnak azt, amit a hülyeséggel kellően meg lehet magyarázni", a Microsoft sajátos eseteiben annyi buta nehézség állítólag jól megtervezett és a jobb érdekében kidolgozott folyamatnak biztonságot, folyamatosan azt a benyomást kelti, hogy akadályozzák a Linux Alapítványt, így a linuxot nem lehet új számítógépekre telepíteni UEFI-vel, így a Microsoftnak nincs versenye.
Pontos. Nem tetszik az ötlet, a feltételezett biztonságos kezdet ... Ez megijeszt. Számomra úgy tűnik, hogy a Microsoftnak nagyon ... maffiai célja van.
Több mint elegem van a Microsoft-ból és annak manipulációiból, sőt félek szándékától, és elegem van abból, hogy úgy tesz, mintha uralná a piacon létező PC-ket vagy eszközöket.
Remélem, hogy a Linux befejezi a tömeges felszállást, és érvényesül a végfelhasználók körében, és a Windows végül teljes mértékben marginalizálódik az operációs rendszer gagyi miatt.
Erről jut eszembe a Microsoftnak adott szabadalom, amellyel az alapértelmezett rendszer korlátozott, és teljes potenciáljának kiaknázásához vagy bármely harmadik féltől származó program telepítéséhez licencekre van szükség, amelyekért természetesen vagy a felhasználónak, vagy a felhasználóknak fizetniük kell. Harmadik felek, akik azt akarják, hogy az alkalmazásokat telepítsék az operációs rendszerre. Az, hogy még nem hajtották végre, még nem jelenti azt, hogy nem is szándékoznak, és az a benyomásom támad, hogy az UEFI előkészíti ennek a talaját.
Ami meglep, hogy a 64bist bináris fájlok meghibásodnak és 32bit binárisokat kényszerítenek…. Retrográdok, alig vannak új 86 bites x32 architektúra processzorok a piacon. 64 bites sebességgel kell működnie.
u u
A digitális aláírás vagy a biztonságos indítás megpróbálja megakadályozni a rendszeren kívüli "valami" indítását. Ennek célja az úgynevezett kalózkodás vagy a saját szoftver illegális másolásának elkerülése is.
Elemzés és néhány kutatás elvégzése az úgynevezett Win8 széfről, annak sokra törő biztonságos csomagtartójával megmutatta alkalmatlanságát, mivel nemrégiben felfedeztek egy biztonsági lyukat.
A fentiek miatt és anélkül, hogy iparági géniusznak kellene lennünk, PhD-k és mások mellett levezethető, hogy ez csak egy marketingkoncepció, amelyet a Microsoft zárt alma-stílusú rendszerré válásának előfeltétele kísér.
Személyesen áttekintve, konzultálva és tanulmányozva saját szemszögemből mondhatom, hogy az UEFI / Secure Boot csalás és átverés, amelynek célja csak a Microsoft projektjének az ökoszisztémájának teljes bezárására kényszerítése és támogatása, kihasználva azt a tényt, hogy még mindig gyakorolhat bizonyos nyomás a személyes számítástechnikai szegmensben.
Ezen a nyaraláson megtalálom a módját, hogy bepereljem a Microsoftot. Utálom őket.
Hehehe, ha lenne kedvem és időm, én is követelném őket. Ez a szabadság megsértése. Hacsak nem készítik el a hírhedt EULA újabb verzióját, ahol megadják, hogy a szerződés elfogadásával beleegyezik abba, hogy nem telepít semmilyen más szoftvert, ami nem lepne meg.
+1
Meglátjuk, hogy áll a Microsoft a Win8-mal és az UEFI / secureboot-al, talán veszít valamilyen piacot a macbook vagy a chromebook javára.
És ki tudja, talán egyszer megjelenik valamilyen pc-gyártó a linux és más ingyenes rendszerek mellett.
mmm, és ha a linux közösségek "megnyilvánulnak" például az internet napján és a programozó napján, néhány hp áruház előtt (enyhén szólva), ami megmutatja a márka iránti elismerését, de egyet nem értését a windows használatával?
És ha azokban a napokban az "install fest" kimegy az utcára vagy a nyilvános terekre?
A szomorú valóság az, hogy az összes Linux-felhasználó együttesen a Windows-felhasználók töredékét teszi ki, ezért a hardvergyártók természetesen a legnagyobb piaci részesedéssel rendelkező operációs rendszert rangsorolják. így nem valószínűnek tartom, hogy egy tüntetés megváltoztatja a dolgokat.
Véleményem szerint például az, hogy a Linuxot vonzóbbá tesszük az alkalmazások és játékok számára, nagyobb hatással lehet, mint az MS elleni sok demonstráció. De ehhez idő kell (és erőforrások).
Rendben van, ha megtámadjuk a Micro $ oft és a Secure Boot-ot, de ne feledjük, hogy az alaplapgyártók alapértelmezés szerint beépítették az UEFI-be, mintha csak egy operációs rendszer lenne; A Microsoft ... téves utat választottak. Figyelembe véve az esetet, számomra úgy tűnik, hogy a jövőben kénytelenek leszünk "kiadott" verziókkal villogtatni a táblák UEFI-jét, mint ma bizonyos termékek ROM-jával. Szerencsére a szabadságra törekvők találékonysága erősebbnek bizonyult, mint azoké, akik a kiirtására törekednek.
Ember .... Ez nem olyan egyszerű, mint a gyártó döntése, hogy beépíti-e a biztonságos rendszerindítást a hardverébe, nem szabad megfeledkeznünk arról, hogy a Microsoft monopólium, valójában a monopólium, és mint gyártó a nemet mondani a Microsoftnak azt jelentheti, hogy kell szembesülni ügyvédjeikkel, megnövelni azoknak az engedélyeknek a költségét, amelyek sokkal drágábbá teszik a berendezését, vagy akár elveszítik a hazai piac 80% -át.
Nem arról van szó, hogy megvédi őket, de ha valami, amit a Microsoft tud, hogyan kell csinálni, az pontosan az, hogy kényszerítsen a zsarolás és a monopólium alapján, az egyetlen lehetőség az lenne, ha az összes gyártó vagy legalább a többség egyetértene és azonnal megállítaná, de ez rendkívül nehéz megtörténnie, és egyetlen vállalat, legyen az bármilyen nagy is, kétszer meggondolja, mielőtt kockáztatná üzleti tevékenységét, bármennyire is igazságtalan / kúszó / abszurd, amit a Microsoft kér.
Sok szó esett erről a kérdésről különféle blogokban és fórumokon, de napok óta gondolkodom valamin, talán az én hülyeségem, de a DELL és a HP (nem ismerem más vállalatokat), amelyek Linux gépeket árulnak, a biztonságos rendszerindítást elvégzi le fog jönni?
Azt hiszem, olvastam, hogy ezekben az esetekben a gyártók kettős UEFI / BIOS rendszert helyeznek el, így ha letiltja az UEFI-t, akkor visszalép a BIOS-ra. Ennek természetesen meg kell növelnie a költségeket.
Végül a BIOS-nak el kell tűnnie, amint tudjuk az UEFI vagy más jobb szabványok mellett, amelyekről azt gondolják, hogy a BIOS technológia régi, ezért korlátozásokat szab.
Uraim, aláírás az FSF petícióhoz ebben a kérdésben:
Mi, az aláírók, sürgetünk minden olyan számítógépgyártót, amely az UEFI úgynevezett „Biztonságos rendszerindítását” valósítja meg, hogy ezt tegye meg úgy, hogy az lehetővé tegye az ingyenes operációs rendszerek telepítését. A felhasználók szabadságának tiszteletben tartása és biztonságuk valódi védelme érdekében a gyártóknak lehetővé kell tenniük a számítógép-tulajdonosok számára, hogy letiltsák az indítási korlátozásokat, vagy megbízható rendszert kell biztosítaniuk az általuk választott ingyenes operációs rendszer telepítéséhez és futtatásához. Ígéretet teszünk arra, hogy nem vásárolunk és nem ajánlunk olyan számítógépeket, amelyek elveszik a felhasználótól ezt a kritikus szabadságot, és hogy aktívan ösztönözni fogjuk közösségünk embereit az ilyen ketrecbe helyezett rendszerek elkerülésére.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Tökéletes, a kérést aláírták és megosztották az LUG-val és az internet többi részével, köszönöm a megjegyzést.