Saya kebetulan menerjemahkan artikel yang dia tulis ini James Bottomley, penasihat teknis dari Linux Foundation, yang mulai menyusun pra-bootloader sehingga Anda dapat mem-boot Linux.
Seperti yang saya jelaskan di posting saya sebelumnya, kami memiliki kode untuk pra-bootloader Linux Foundation. Namun, ada a menunda sementara kami memiliki akses ke sistem penandatanganan Microsoft.
Hal pertama yang dilakukan adalah bayar $ 99 ke Verisign (sekarang Symantec) dan memiliki kunci yang diverifikasi oleh Verisign. Kami melakukannya untuk Linux Foundation, dan yang ingin mereka lakukan hanyalah menelepon kantor pusat untuk memverifikasi. Kunci kembali dalam URL yang diinstal di browser Anda, tetapi alat SSL Linux standar dapat digunakan untuk mengekstraknya dan membuat sertifikat dan kunci PEM biasa. Ini tidak ada hubungannya dengan penandatanganan UEFI, tetapi digunakan untuk memvalidasi sistem sysdev Microsoft bahwa Anda adalah yang Anda katakan. Sebelum Anda dapat membuat akun sysdev, Anda harus mengujinya menandatangani executable yang mereka berikan dan mengunggahnya. Mereka membuat persyaratan ketat agar Anda menandatanganinya di platform Windows tertentu, tetapi tandatangani setidaknya itu berfungsi dan bingo akun kami dibuat.
Setelah akun dibuat, Anda masih tidak dapat mengunggah biner UEFI untuk ditandatangani tanpa terlebih dahulu menandatangani kontrak kertas. Perjanjian tersebut sangat berat, termasuk banyak lisensi yang dikecualikan (termasuk semua GPL untuk driver, tetapi tidak untuk bootloader). Bagian yang paling berat adalah bahwa kesepakatan tersebut tampaknya telah tercapai di luar objek UEFI yang Anda tanda tangani. Pengacara Linux Foundation menyimpulkan bahwa sebagian besar tidak berbahaya bagi LF karena kami tidak menjual produk, tetapi dapat menjijikkan bagi perusahaan lain. Menurut Matthew Garrett, Microsoft bersedia menegosiasikan kesepakatan khusus dengan distribusi untuk mengurangi beberapa masalah tersebut.
Begitu kesepakatan ditandatangani, real kesenangan teknis. Anda tidak bisa begitu saja mengunggah biner UEFI dan menandatanganinya. Pertama, Anda harus bungkus dalam file .cab. Untungnya, ada proyek open source yang bisa membuat file kabinet bernama lcab. Maka Anda harus melakukannya tanda tangani file .cab dengan kunci Verisign. Sekali lagi, ada proyek open source lain yang dapat melakukannya: osslsigncode. Bagi siapa saja yang membutuhkan alat tersebut, mereka tersedia di repositori UEFI OpenSuse Build Service saya. Masalah terakhir adalah mengunggah file membutuhkan cahaya perak. Sayangnya, cahaya bulan tampaknya tidak berfungsi dan bahkan dengan pratinjau versi 4, kotak unggah menjadi kosong, jadi saatnya menggunakan windows 7 di bawah kvm (mesin virtual berbasis kernel). Ketika Anda sampai ke bagian itu, Anda juga harus menyatakan bahwa biner "akan ditandatangani, tidak boleh dilisensikan di bawah GPLv3 atau lisensi sumber terbuka serupa". Saya berasumsi ini karena takut akan pengungkapan kunci tetapi tidak jelas sama sekali (sama dengan "lisensi sumber terbuka serupa").
Setelah unggahan selesai, file lemari berhenti melalui tujuh tahap. Sayangnya, tes pendakian pertama tetap ada terkunci di tahap 6 (tanda tangan file). Setelah 6 hari saya mengirim email dukungan ke Microsoft menanyakan apa yang terjadi. Jawabannya: “Kode kesalahan yang dilemparkan oleh proses penandatanganan adalah itu file Anda bukan aplikasi Win32 yang valid. Apakah ini aplikasi Win32 yang valid? ”. Jawaban: jelas tidak, ini adalah biner UEFI 64 bit yang valid. Tidak ada lagi jawaban...
Saya mencoba lagi. Kali ini saya menerima email unduhan untuk file yang ditandatangani dan papan mengatakan itu gagal ditandatangani. Saya mengunduhnya dan memverifikasi. Biner bekerja pada platform secureboot dan ditandatangani dengan kunci
subjek = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
penerbit = / C = AS / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Saya bertanya kepada dukungan mengapa proses tersebut menunjukkan kegagalan tetapi saya memiliki unduhan yang valid dan, setelah beberapa email, mereka menjawab "jangan gunakan file yang salah ditandatangani. Aku akan kembali padamu. " Saya masih tidak yakin apa masalahnya, tetapi jika Anda melihat Subjek kunci penandatanganan, tidak ada kunci yang ditunjukkan ke Linux Foundation, oleh karena itu saya menduga bahwa masalahnya adalah bahwa biner ditandatangani dengan kunci Microsoft generik, bukan kunci khusus (dan dapat dibatalkan) yang terkait dengan Linux Foundation.
Namun demikian, ini adalah statusnya: Kami akan terus menunggu Microsoft memberikan Linux Foundation pra-bootloader yang telah ditandatangani dan divalidasi. Ketika itu terjadi, itu akan diunggah ke situs Linux Foundation untuk digunakan semua orang.
sumber: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Tarik kesimpulan Anda, tetapi ini akan memakan waktu.
Jika benar-benar masalah PC dengan win8 OEM yang datang dengan sistem UEFI diselesaikan dengan menonaktifkan UEFI dari BIOS, menurut saya kesalahan bahwa yayasan Linux dan Fedora, Ubuntu dan saya tidak tahu distro lain mana, membayar untuk mendapatkan sertifikat dan menerima batasan yang diberlakukan oleh Microsoft.
KITA HARUS BERHENTI MENJADI DOMBA !!!!!
tapi saya tahu Windows 8 tetap tidak di-boot
Hehehe, itu bukan masalah besar. Setidaknya untukku. Ini adalah pendapat pribadi, saya tidak ingin menyinggung siapapun.
UEFI tidak dapat dinonaktifkan dari BIOS, karena UEFI adalah Firmware yang datang untuk menggantikan BIOS yang berumur panjang.
Yang kita bicarakan adalah Secure Boot, fitur UEFI yang memverifikasi keaslian perangkat lunak yang kita gunakan untuk memulai komputer menggunakan tanda tangan digital, Secure Boot yang harus dinonaktifkan.
Tidak sesederhana menonaktifkan Secure Boot dan hanya itu, pabrikan harus mempertimbangkan untuk menyertakan menu yang memungkinkan pengguna untuk menonaktifkan Boot Aman, jika pabrikan tidak ingin itu dinonaktifkan itu akan sangat rumit agar pengguna dapat melakukannya, mungkin akan sangat ekstrim karena harus mengganti firmware motherboard dengan yang tidak resmi.
Solusi Linux Foundation akan menjadi solusi "universal" untuk perangkat keras apa pun yang terkena penyakit ini dan akan memungkinkan sistem apa pun untuk diinstal dengan membayar satu tanda tangan digital hanya sekali, yang tentunya membuat mereka takut dan mengapa mereka melakukan begitu banyak. berdoa
«Ini tidak sesederhana menonaktifkan Secure Boot dan hanya itu, pabrikan harus mempertimbangkan untuk menyertakan menu yang memungkinkan pengguna untuk menonaktifkan Secure Boot, jika pabrikan tidak ingin itu dinonaktifkan itu akan sangat rumit bagi pengguna untuk dapat melakukannya, »
Jadi yang harus Anda lakukan adalah kampanye literasi digital di mana dijelaskan kepada pengguna bahwa mereka menuntut komputer dengan karakteristik itu dan malah membeli yang lain.
Semua ini untuk menghasilkan uang dengan memvalidasi apa yang bisa dan tidak bisa boot dengan boot aman.
Ketidakmampuan total tidak dapat dibedakan dari niat buruk.
Meskipun ada ungkapan terkenal oleh Robert J. Hanlon yang mengatakan: "Jangan pernah menganggap kejahatan yang secara memadai dijelaskan oleh kebodohan", dalam kasus khusus Microsoft, begitu banyak kesulitan konyol untuk proses yang seharusnya dirancang dan dirancang dengan baik untuk lebih baik. keamanan, tetap terkesan menghalangi Linux Foundation sehingga linux tidak dapat diinstal pada PC baru dengan UEFI, sehingga Microsoft tidak memiliki persaingan.
Tepat. Saya tidak suka ide itu, awal yang seharusnya aman ... Itu membuatku takut. Menurut saya, Microsoft memiliki tujuan yang sangat ... Mafia.
Saya lebih dari lelah dengan Microsoft dan manipulasinya, dan saya bahkan takut dengan niatnya, dan lelah berpura-pura mendominasi setiap PC atau perangkat yang ada di pasar.
Saya berharap Linux selesai lepas landas secara massal dan berlaku di antara pengguna akhir dan Windows akhirnya terpinggirkan, total, untuk OS yang omong kosong itu.
Ini mengingatkan saya pada paten yang diberikan kepada Microsoft yang dengannya sistem secara default dibatasi, dan untuk membuka potensi penuhnya atau menginstal program pihak ketiga, lisensi diperlukan yang, tentu saja, dimiliki oleh pengguna atau pengguna. untuk membayar pihak ketiga yang ingin aplikasinya diinstal pada sistem operasi. Bahwa mereka belum menerapkannya, bukan berarti mereka tidak berniat melakukannya, dan saya mendapat kesan bahwa UEFI sedang mempersiapkan dasar untuk ini.
Yang mengejutkan saya adalah bahwa binari 64bist gagal dan memaksa binari 32bit…. Mereka retrograde, hampir tidak ada prosesor arsitektur 86-bit x32 baru di pasaran. Ini harus bekerja di 64bits.
uu
Tanda tangan digital atau boot aman mencoba mencegah "sesuatu" selain sistem untuk melakukan booting. Ini juga untuk menghindari apa yang disebut pembajakan atau penyalinan ilegal dari perangkat lunak berpemilik.
Melakukan analisis dan melakukan beberapa penelitian tentang apa yang disebut Win8 safe dengan boot aman yang sangat dibanggakan telah menunjukkan ketidakmampuannya karena mereka baru-baru ini menemukan lubang keamanan.
Karena hal di atas dan tanpa harus menjadi seorang jenius dalam industri, dengan PhD dan lainnya, dapat disimpulkan bahwa itu hanya konsep pemasaran yang disertai dengan premis Microsoft untuk menjadi sistem bergaya apel tertutup.
Secara pribadi meninjau, berkonsultasi, dan belajar Saya dapat mengatakan dari sudut pandang pribadi saya bahwa UEFI / Secure Boot adalah penipuan dan penipuan yang hanya bertujuan untuk memaksa dan mendukung proyek Microsoft untuk menutup ekosistemnya sepenuhnya, memanfaatkan fakta bahwa ia masih dapat melakukan hal tertentu. tekanan di segmen komputasi pribadi.
Liburan ini saya akan menemukan cara untuk menuntut Microsoft. Aku benci mereka.
Hehehe, jika saya punya keinginan dan waktu, saya akan menuntut mereka juga. Itu adalah pelanggaran kebebasan. Kecuali jika mereka membuat versi lain dari EULA yang terkenal di mana mereka menentukan bahwa dengan menerima kontrak Anda setuju untuk tidak menginstal perangkat lunak lain lol, yang tidak akan mengejutkan saya.
+1
Kita akan melihat bagaimana microsoft melakukannya dengan win8 dan UEFI / secureboot-nya, mungkin akan kehilangan beberapa pasar yang mendukung macbook atau chromebook.
Dan siapa tahu, mungkin suatu hari nanti beberapa produsen pc akan muncul di luar sana untuk mendukung linux dan sistem gratis lainnya.
mmm, dan jika komunitas linux "terwujud" pada hari internet dan hari programmer, misalnya, di depan beberapa toko hp (untuk sedikitnya) menunjukkan penghargaan mereka untuk merek tetapi ketidaksetujuan mereka dengan menggunakan windows?
Dan apakah pada masa itu "install fest" ke jalanan atau lapangan umum?
Kenyataan yang menyedihkan adalah bahwa semua pengguna Linux yang digabungkan merupakan sebagian kecil dari pengguna Windows, jadi produsen perangkat keras secara alami memprioritaskan sistem operasi dengan pangsa pasar tertinggi. jadi saya melihat demonstrasi tidak mungkin mengubah banyak hal.
Menurut pendapat saya, misalnya, menjadikan Linux sebagai platform yang lebih menarik untuk aplikasi dan game dapat memiliki pengaruh yang lebih besar daripada banyak demonstrasi menentang MS. Tetapi ini membutuhkan waktu (dan sumber daya).
Tidak apa-apa untuk menyerang Micro $ sering dan Secure Boot-nya, tetapi ingatlah bahwa pabrikan motherboard yang telah memasukkannya secara default ke UEFI, seolah-olah hanya ada satu OS; Microsoft ... mereka telah mengambil jalan yang salah. Mengingat kasusnya, menurut saya di masa mendatang kami akan dipaksa untuk mem-flash UEFI papan dengan versi "rilis" seperti yang kami lakukan hari ini dengan ROM produk tertentu. Untungnya, kecerdasan mereka yang mendambakan kebebasan terbukti lebih kuat daripada mereka yang berusaha untuk memberantasnya.
Sobat .... Tidak sesederhana pabrikan yang memilih apakah akan menyertakan boot aman atau tidak dalam perangkat kerasnya, kita tidak boleh lupa bahwa Microsoft adalah Monopoli, sebenarnya itu adalah Monopoli ATAS dan sebagai produsen, mengatakan tidak kepada Microsoft bisa berarti harus menghadapi pengacara mereka, menaikkan biaya lisensi yang membuat peralatan Anda jauh lebih mahal, atau bahkan kehilangan 80% pasar domestik.
Bukan karena itu membela mereka, tetapi jika sesuatu yang Microsoft tahu bagaimana melakukannya adalah, memaksakan berdasarkan pemerasan dan Monopoli, satu-satunya pilihan adalah bagi semua produsen atau setidaknya mayoritas untuk setuju dan menghentikan langkahnya sekaligus, tetapi itu sangat sulit untuk terjadi dan satu perusahaan, tidak peduli seberapa besar, akan berpikir dua kali sebelum mempertaruhkan bisnisnya, tidak peduli seberapa tidak adil / merayap / absurd apa yang diminta Microsoft.
Telah banyak pembicaraan tentang topik ini di berbagai blog dan forum, tetapi saya memiliki hari-hari memikirkan sesuatu, mungkin itu adalah kebodohan saya tetapi, dalam kasus DELL dan HP (saya tidak tahu perusahaan lain) yang menjual mesin Linux , apakah boot aman akan lepas?
Saya rasa saya telah membaca bahwa dalam kasus ini pabrikan menempatkan sistem UEFI / BIOS ganda sehingga jika Anda menonaktifkan UEFI Anda akan kembali ke BIOS. Ini secara alami akan meningkatkan biaya.
Akhirnya BIOS akan menghilang seperti yang kita ketahui mendukung UEFI atau standar lain yang lebih baik yang diyakini, karena teknologi BIOS sudah tua dan oleh karena itu memberlakukan batasan.
Tuan-tuan, tanda tangan petisi FSF tentang masalah ini:
Kami, para penanda tangan, mendesak semua produsen komputer yang menerapkan apa yang disebut "Boot Aman" UEFI untuk melakukannya dengan cara yang memungkinkan pemasangan sistem operasi gratis. Untuk menghormati kebebasan pengguna dan benar-benar melindungi keamanan mereka, produsen harus mengizinkan pemilik komputer untuk menonaktifkan pembatasan boot, atau menyediakan sistem yang dapat diandalkan untuk menginstal dan menjalankan sistem operasi gratis pilihan mereka. Kami berjanji bahwa kami tidak akan membeli atau merekomendasikan komputer yang mengambil kebebasan kritis ini dari pengguna, dan bahwa kami akan secara aktif mendorong orang-orang di komunitas kami untuk menghindari sistem terkurung semacam itu.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Sempurna, permintaan ditandatangani dan dibagikan dengan LUG dan seluruh web, terima kasih atas komentarnya.