MicrosoftのUEFI署名の冒険

彼が書いたこの記事をたまたま翻訳しました ジェームズ・ボトムリー、のテクニカルアドバイザー Linux Foundationの、まとめ始めた人 Linuxを起動できるようにするプリブートローダー.

以前の投稿で説明したように、LinuxFoundationプリブートローダーのコードが用意されています。 しかし、 ディレイ マイクロソフトの署名システムにアクセスできました。

最初に行うべきことは、 ベリサインに99ドル支払う (現在はSymantec)、Verisignによって検証されたキーがあります。 Linux Foundationのためにそれを行いました。彼らがやりたいのは、本社に電話して確認することだけです。 キーはブラウザにインストールされているURLで返されますが、標準のLinux SSLツールを使用してキーを抽出し、通常のPEM証明書とキーを作成できます。 UEFI署名とは関係ありませんが、システムの検証に使用されます システム開発 あなたがあなたであるとあなたが言う人であるというマイクロソフト。 sysdevアカウントを作成する前に、それをテストする必要があります 彼らがあなたに与える実行可能ファイルに署名し、それをアップロードします。 彼らはあなたが特定のWindowsプラットフォームでそれに署名することを厳格に要求していますが、少なくともそれは機能し、私たちのアカウントが作成されました。

アカウントが作成された後でも、UEFIバイナリをアップロードして署名することはできません。 紙の契約書に署名する。 多くの除外されたライセンス(ドライバーのすべてのGPLを含みますが、ブートローダーのGPLは含みません)を含め、取引は非常に面倒です。 最も厄介な部分は、合意が到着したように見えることです 署名したUEFIオブジェクトを超えて。 Linux Foundationの弁護士は、私たちが製品を販売していないため、LFにはほとんど無害であると結論付けましたが、他の企業にとっては嫌なことかもしれません。 Matthew Garrettによると、Microsoftは、これらの問題のいくつかを軽減するために、ディストリビューションとの特別な取引について交渉する用意があります。

契約が締結されると、実際の 技術的な楽しみ。 UEFIバイナリをアップロードして、署名してもらうことはできません。 最初にあなたがしなければならない .cabファイルでラップします。 幸い、lcabと呼ばれるキャビネットファイルを作成できるオープンソースプロジェクトがあります。 それからあなたはしなければなりません Verisignキーを使用して.cabファイルに署名します。 繰り返しになりますが、それを実行できる別のオープンソースプロジェクトがあります:osslsigncode。 これらのツールが必要な場合は、openSuse Build ServiceUEFIリポジトリで入手できます。 最後の問題は、ファイルをアップロードすることです Silverlightが必要。 残念ながら、月明かりは機能していないようで、バージョン4のプレビューを使用しても、アップロードボックスが空白になるため、 Windows7を使用する時が来ました kvm(カーネルベースの仮想マシン)の下。 その部分に到達したら、バイナリが「署名される」ことを証明する必要もあります。 GPLv3または同様のオープンソースライセンスの下でライセンスされてはなりません」。 鍵開示を恐れていると思いますが、まったくわかりません(「類似のオープンソースライセンス」と同じ)。

アップロードが完了すると、キャビネットファイルはXNUMXつの段階で停止します。 残念ながら、最初のテストクライムは残りました ステージ6でロック (ファイルの署名)。 6日後、何が起こっているのかを尋ねるサポートメールをマイクロソフトに送信しました。 答え:「署名プロセスによってスローされるエラーコードは、 ファイルは有効なWin32アプリケーションではありません。 有効なWin32アプリケーションですか?」 回答:明らかにそうではありません。これは有効な64ビットUEFIバイナリです。 これ以上の答えはありませんでした...

もう一度やり直しました。 今回、署名されたファイルのダウンロードメールを受け取りましたが、ボードには次のように書かれています。 署名は失敗しました。 ダウンロードして確認しました。 バイナリはsecurebootプラットフォームで動作し、キーで署名されています

件名= / C = US / ST =ワシントン/ L =レドモンド/ O =マイクロソフトコーポレーション/ OU = MOPR / CN = Microsoft WindowsUEFIドライバーパブリッシャー
発行者= / C = US / ST =ワシントン/ L =レドモンド/ O =マイクロソフトコーポレーション/ CN =マイクロソフトコーポレーションUEFICA 2011

プロセスが失敗を示した理由をサポートに尋ねましたが、有効なダウンロードがあり、メールが殺到した後、「そのファイルを使用しないでください。 間違って署名した。 私はあなたに戻ってきます。」 何が問題なのかはまだわかりませんが、署名鍵の件名を見ると、 LinuxFoundationに示すキーには何もありませんしたがって、問題は、バイナリがLinux Foundationに関連付けられた特定の(および取り消し可能な)キーではなく、汎用のMicrosoftキーで署名されていることだと思います。

ただし、これはステータスです。マイクロソフトがLinuxFoundationに署名および検証済みのプリブートローダーを提供するのを引き続き待ちます。 その場合、すべての人が使用できるようにLinuxFoundationサイトにアップロードされます。

出典 http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/

結論を導き出しますが、これには時間がかかります。


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

25コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ロロ

    UEFIシステムに付属するwin8OEMを搭載したPCの問題が、BIOSからUEFIを無効にすることで解決された場合、Linux FoundationとFedora、Ubuntu、および私は他のどのディストリビューションが支払うのかわからないというエラーのようです。証明書については、Microsoftによって課せられた制限を受け入れます。

    私たちは子羊であることをやめなければなりません!!!!!

    1.    sieg84

      しかし、私はWindows8が起動されないままであることを知っています

      1.    ブレアパスカル

        ふふふ、大したことでもない。 まあ、少なくとも私にとっては。 それは個人的な意見です、私は誰も怒らせたくありません。

    2.    芝87

      UEFIは、長寿命以上のBIOSに取って代わるファームウェアであるため、BIOSからUEFIを無効にすることはできません。

      私たちが話しているのは、デジタル署名を介してコンピューターを起動するソフトウェアの信頼性を検証するUEFI機能であるセキュアブートです。無効にする必要があるのはセキュアブートです。

      セキュアブートを無効にするほど簡単ではありません。それだけです。メーカーは、ユーザーがセキュアブートを無効にできるメニューを含めることを検討する必要があります。メーカーがセキュアブートを無効にしたくない場合は、非常に複雑になります。ユーザーがそうするために、おそらくマザーボードのファームウェアを非公式のものと交換しなければならないという極端なことになるでしょう。

      Linux Foundationのソリューションは、この病気の影響を受けたハードウェアの「ユニバーサル」ソリューションであり、単一のデジタル署名をXNUMX回だけ支払うだけでシステムをインストールできるようになります。これが、彼らを怖がらせ、多くの祈りをしている理由です。

      1.    MSX

        «セキュアブートを無効にするほど簡単ではありません。それだけです。メーカーがセキュアブートを無効にしたくない場合は、ユーザーがセキュアブートを無効にできるメニューを含めることを検討する必要があります。ユーザーがそれを実行できるようにするのは複雑です»

        つまり、あなたがしなければならないのは、デジタルリテラシーキャンペーンです。そこでは、ユーザーがその機能を備えたコンピューターを要求し、他のコンピューターを購入しないかどうかをユーザーに説明します。

      2.    タレゴン

        これはすべて、セキュアブートで起動できるものとできないものを検証することでお金を稼ぐことです。

  2.  

    完全な無能は悪意と見分けがつかない。

  3.   ヒューゴー

    Robert J. Hanlonによる有名なフレーズがありますが、「愚かさによって適切に説明される悪意に帰することは決してありません」、Microsoftの特定のケースでは、より良いもののためにおそらくよく考えられ、考案されたプロセスに非常に多くの愚かな困難がありますセキュリティ上、Linux Foundationを妨害しているという印象を与え続けているため、UEFIを搭載した新しいPCにLinuxをインストールできないため、Microsoftとの競争はありません。

    1.    ブレアパスカル

      正確です。 私はその考えが好きではありません、想定される安全なスタート...それは私を怖がらせます。 マイクロソフトには非常に...マフィアの目的があるように私には思えます。

      1.    バムラー

        私はマイクロソフトとその操作にうんざりしているだけでなく、その意図も恐れており、市場に存在する各PCまたはデバイスを支配するふりをしていることにうんざりしています。

        Linuxが一斉に離陸し、エンドユーザーの間で普及し、Windowsが最終的に、OSのがらくたのために、完全に取り残されることを願っています。

        1.    ヒューゴー

          これは、デフォルトのシステムが制限されているマイクロソフトに付与された特許を思い出させます。その可能性を最大限に引き出したり、サードパーティのプログラムをインストールしたりするには、もちろんユーザーまたはユーザーが支払う必要のあるライセンスが必要です。アプリケーションをオペレーティングシステムにインストールすることを希望するサードパーティ。 彼らがまだそれを実装していないということは、彼らがそうするつもりがないという意味ではありません、そして私はUEFIがこれのための土台を準備しているという印象を受けます。

  4.   エルナモジャズ

    私が驚いたのは、64bistバイナリが失敗し、32ビットバイナリを強制することです…。 それらは逆行性であり、市場に新しい86ビットx32アーキテクチャプロセッサはほとんどありません。 64ビットで動作するはずです。

    uu

  5.   ヨルゲマンジャレスレルマ

    デジタル署名またはセキュアブートは、システム以外の「何か」が起動しないようにしようとしています。 また、いわゆる著作権侵害やプロプライエタリソフトウェアの違法コピーを回避するためでもあります。

    分析を行い、自慢のセキュアブートを備えたいわゆるWin8セーフを調査したところ、最近セキュリティホールが発見されたため、その無能さが示されました。

    上記の理由により、博士号などの業界の天才である必要はなく、これは、クローズドアップルスタイルのシステムになるというマイクロソフトの前提を伴うマーケティングの概念にすぎないと推測できます。

    個人的なレビュー、コンサルティング、調査個人的な観点から言えば、UEFI / Secure Bootは詐欺であり、マイクロソフトのプロジェクトがエコシステムを完全に閉鎖することを強制およびサポートすることのみを目的としており、特定の機能を実行できるという事実を利用しています。パーソナルコンピューティングセグメントの圧力。

  6.   パブロコ

    この休暇は、マイクロソフトを訴える方法を見つけるつもりです。 彼らのことが嫌いです。

    1.    ブレアパスカル

      ふふふ、もし私に欲望と時間があれば、私もそれらを要求するでしょう。 それは自由の侵害です。 彼らが契約を受け入れることによってあなたが他のソフトウェアをインストールしないことに固執していると彼らが指定する悪名高いEULAの別のバージョンを作らない限り、それは私を驚かせません。

    2.    バムラー

      +1

  7.   ノスフェラタックス

    マイクロソフトがwin8とUEFI / securebootをどのように使用するかを見ていきます。おそらく、MacBookまたはChromebookを支持して市場を失うことになるでしょう。

    そして、誰が知っているか、多分いつかいくつかのPCメーカーがLinuxや他の無料システムを支持してそこに現れるでしょう。

  8.   ノスフェラタックス

    うーん、そしてLinuxコミュニティがインターネットの日やプログラマーの日に「現れた」場合、たとえば、いくつかのhpストアの前で(控えめに言っても)ブランドへの感謝を示していますが、Windowsの使用に反対していますか?

    そして、当時、「インストールフェスト」が通りや公共広場に出かけたとしたら?

    1.    ヒューゴー

      悲しい現実は、すべてのLinuxユーザーを合わせてWindowsユーザーの一部を占めるため、ハードウェアメーカーは当然、市場シェアが最も高いオペレーティングシステムを優先します。 ですから、デモによって状況が変わる可能性は低いと思います。

      私の意見では、たとえば、Linuxをアプリケーションやゲームにとってより魅力的なプラットフォームにすることは、MSに対する多くのデモンストレーションよりも大きな影響を与える可能性があります。 しかし、これには時間(およびリソース)がかかります。

  9.   チャーリー・ブラウン

    Micro $ oftとそのSecureBootを攻撃することは問題ありませんが、OSがXNUMXつしかないかのように、デフォルトでUEFIに組み込まれているのはマザーボードの製造元であることを忘れないでください。 マイクロソフトの...彼らは間違った道をたどった。 ケースを考えると、将来的には、特定の製品のROMで現在行っているように、ボードのUEFIを「リリース済み」バージョンでフラッシュすることを余儀なくされるように思われます。 幸いなことに、自由を熱望する人々の創意工夫は、自由を根絶しようとする人々の創意工夫よりも強いことが証明されています。

    1.    芝87

      男....ハードウェアにセキュアブートを含めるかどうかをメーカーが選択するほど簡単ではありません。マイクロソフトが独占であり、実際には独占であり、メーカーとしてマイクロソフトにノーと言っていることを忘れてはなりません。弁護士と面会したり、ライセンスのコストを上げて機器をはるかに高価にしたり、国内市場の80%を失ったりすることを意味する場合があります。

      私が彼らを擁護しているわけではありませんが、マイクロソフトがその方法を正確に知っている場合、恐喝と独占に基づいて課す場合、唯一の選択肢は、すべての製造業者または少なくとも大多数が同意して一度に停止することです、しかしそれが起こるのは非常に困難であり、単一の会社は、どんなに大きくても、マイクロソフトが求めているものがどれほど不公平/忍び寄る/ばかげているとしても、ビジネスを危険にさらす前によく考えます。

  10.   アルフ

    さまざまなブログやフォーラムでこのトピックについて多くの話がありましたが、何かを考える日があります。それは私のナンセンスかもしれませんが、Linuxマシンを販売しているDELLとHP(他の会社は知りません)の場合、セキュアブートは外れますか?

    1.    ヒューゴー

      これらの場合、メーカーはデュアルUEFI / BIOSシステムを配置しているので、UEFIを無効にすると、BIOSにフォールバックすることを読んだと思います。 これは当然コストを増加させるはずです。

      BIOSテクノロジーは古く、制限が課せられているため、最終的には、UEFIまたは他のより優れた標準が支持されていることがわかっているため、BIOSは消滅する必要があります。

  11.   芝87

    紳士、この問題に関するFSF請願書への署名:

    署名者である私たちは、UEFIのいわゆる「セキュアブート」を実装するすべてのコンピューターメーカーに、無料のオペレーティングシステムのインストールを可能にする方法で実装することをお勧めします。 ユーザーの自由を尊重し、安全を真に保護するために、メーカーはコンピューターの所有者が起動制限を無効にすることを許可するか、選択した無料のオペレーティングシステムをインストールして実行するための信頼できるシステムを提供する必要があります。 私たちは、ユーザーからこの重大な自由を奪うコンピューターを購入または推奨しないこと、そしてコミュニティの人々にそのようなケージシステムを避けるよう積極的に奨励することを誓います。

    http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement

    1.    MSX

      コメントありがとうございます。完璧なリクエストに署名し、LUGやその他のウェブと共有しました。