D'Abenteuer an der UEFI Ënnerschrëft vu Microsoft

Ech iwwregens dësen Artikel iwwersetzen deen hie geschriwwen huet James Bottomley, technesche Beroder vun der Linux Foundation, deen ugefaang huet zesummenzestellen e Pre-Bootloader fir datt Dir Linux boote kënnt.

Wéi ech a mengem fréiere Post erkläert hunn, hu mir de Code fir de Linux Foundation Pre-Bootloader op der Plaz. Allerdéngs war et e Verspéidung wärend mir Zougang zum Microsoft Ënnerschreiwe System haten.

Déi éischt Saach ze maachen ass bezilt den $ 99 op Verisign (elo Symantec) an hunn e Schlëssel verifizéiert vu Verisign. Mir hunn et fir d'Linux Foundation gemaach, an alles wat se maache wëllen ass den Headquarter ze ruffen fir ze verifizéieren. De Schlëssel kënnt zréck an eng URL déi an Ärem Browser installéiert ass, awer Standard Linux SSL Tools kënne benotzt ginn fir se ze extrahieren an de gewéinleche PEM Zertifika a Schlëssel ze kreéieren. Et huet näischt mat UEFI Ënnerschrëft ze dinn, awer benotzt fir de System ze validéieren sysdev Microsoft datt Dir sidd wien Dir sot Dir sidd. Ier Dir e Sysdev Kont erstelle kënnt, musst Dir et testen en Ausféierbar z'ënnerschreiwen, déi se Iech ginn an eroplueden. Si stellen strikt Viraussetzungen datt Dir et op enger spezifescher Windows Plattform ënnerschreift, awer sbsign op d'mannst huet et geschafft a Bingo eise Kont gouf erstallt.

Wann de Kont erstallt ass, kënnt Dir ëmmer nach net UEFI Binarien eropluede fir z'ënnerschreiwen ouni als éischt e Pabeiervertrag ënnerschreiwen. D'Accorden si ganz schwéier, och vill ausgeschloss Lizenzen (och all GPLs fir Treiber, awer net fir Bootloaders). De gréissten Deel ass datt d'Accorden anscheinend ukommen iwwer d'UEFI Objekter déi Dir ënnerschreift. Affekote fir d'Linux Foundation hunn ofgeschloss datt et meeschtens harmlos fir den LF ass, well mir keng Produkter verkafen, awer et kann eekleg fir aner Firmen sinn. Geméiss dem Matthew Garrett, Microsoft ass bereet speziell Deals mat Distributiounen ze verhandelen fir e puer vun dëse Probleemer ze reduzéieren.

Soubal d'Accorden ënnerschriwwe sinn, ass déi richteg technesche Spaass. Dir kënnt net nëmmen en UEFI Binär eroplueden an en ënnerschreiwe loossen. Als éischt musst Dir packt et an eng .cab Datei. Glécklecherweis ass et en Open Source Projet deen Cabinet Dateie mam Numm lcab kann erstellen. Da musst Dir ënnerschreift d'.cab Datei mam Verisign Schlëssel. Elo ass et en aneren Open Source Projet deen dat kann maachen: osslsigncode. Fir jiddereen deen dës Tools brauch, si sinn a mengem openSuse Build Service UEFI Repository verfügbar. De leschte Problem ass datt d'Datei eropgeluede gëtt verlaangt Silverlight. Leider schéngt Moundliicht net ze schaffen an och mat der Versioun 4 Virschau, gëtt d'Uploads Këscht eidel, also et ass Zäit Windows 7 ze benotzen ënner engem kvm (kernel-baséiert virtueller Maschinn). Wann Dir op deen Deel kënnt, musst Dir och bestätegen datt de Binär "ënnerschriwwe gëtt, däerfen net ënner GPLv3 oder ähnlechen Open Source Lizenzen lizenzéiert sinn”. Ech huelen un datt et aus Angscht virun der Schlësselverëffentlechung ass awer et ass guer net kloer (d'selwecht mat "ähnlechen Open Source Lizenzen").

Soubal den Upload fäerdeg ass, stoppt de Cabinetdatei duerch siwe Stufen. Leider blouf den éischten Test klammen an der Bühn 6 gespaart (d'Ënnerschrëft vun den Dateien). No 6 Deeg hunn ech e Support-E-Mail u Microsoft geschéckt a gefrot wat geschitt. D'Äntwert: "De Feelercode deen duerch den Ënnerschreiwe Prozess geheit ass Är Datei ass keng gëlteg Win32 Uwendung. Ass et eng gëlteg Win32 Uwendung? “. Äntwert: offensichtlech net, et ass e gültege 64 Bit UEFI Binär. Et goufe keng Äntwerten méi...

Ech hunn nach eng Kéier probéiert. Dës Kéier krut ech e Download E-Mail fir d'ënnerschriwwe Datei an de Comité seet dat déi ënnerschriwwen ausgefall. Ech hunn et erofgelueden a bestätegt. De Binär funktionnéiert op der SecureBoot Plattform a gëtt mam Schlëssel ënnerschriwwen

Sujet = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
Emittent = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011

Ech hunn d'Ënnerstëtzung gefrot firwat de Prozess e Feeler uginn awer ech hunn e gültege Download an no engem Floss vun E-Mailen hunn se geäntwert "benotzt dës Datei net déi war falsch ënnerschriwwen. Ech kommen zréck bei Iech. " Ech sinn nach ëmmer net sécher wat de Problem ass, awer wann Dir de Sujet vum Ënnerschreiwe Schlëssel kuckt, et gëtt näischt am Schlëssel fir der Linux Foundation unzeginn, dofir vermuten ech datt de Problem ass datt de Binär mat engem generesche Microsoft Schlëssel ënnerschriwwe gëtt amplaz vun engem spezifeschen (a réckgänglechen) Schlëssel gebonne mat der Linux Foundation.

Wéi och ëmmer, dëst ass de Status: Mir wäerte weider waarden op Microsoft fir d'Linux Foundation eng ënnerschriwwen a validéiert Pre-Bootloader ze ginn. Wann dat passéiert, gëtt et op de Linux Foundation Site eropgelueden fir all ze benotzen.

Source: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/

Zitt Är Conclusiounen, awer dëst wäert Zäit daueren.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

25 Kommentaren, loosst ären

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.

  1.   rolo sot

    Wann wierklech d'Fro vu PCe mat win8 OEM, déi mam UEFI System kommen, geléist gëtt andeems UEFI aus dem BIOS deaktivéiert ass, schéngt et mir e Feeler ze sinn datt béid Linux Foundation an Fedora, Ubuntu an ech weess net wéi eng aner Distro, bezuelt fir de Certificat an akzeptéiert d'Aschränkunge vu Microsoft.

    MIR MUSSEN OPHALEN LAMMER ze sinn !!!!!

    1.    sieg84 sot

      awer ech weess Windows 8 bleift onbootéiert

      1.    Blaire Pascal sot

        Hehehe, et war kee grousse Deal. Gutt, op d'mannst fir mech. Et ass eng perséinlech Meenung, ech wëll kee beleidegen.

    2.    Shiba87 sot

      UEFI kann net aus dem BIOS deaktivéiert ginn, well UEFI ass d'Firmware déi de méi wéi laangliewende BIOS ersetzt.

      Wat mir schwätzen ass Secure Boot, eng UEFI Feature déi d'Authentizitéit vun der Software verifizéiert mat där mir de Computer mat digitalen Ënnerschrëften starten, et ass Secure Boot dee sollt ausgeschalt ginn.

      Et ass net sou einfach wéi de Secure Boot auszeschalten an dat ass et, et ass noutwendeg datt den Hiersteller d'Iwwerleeung hat e Menü mat abegraff deen et erlaabt de Secure Boot auszeschalten, wann den Hiersteller net wëllt deaktivéieren ass et ganz komplizéiert fir de Benotzer et fäeg ze sinn maacht dat, méiglecherweis an d'extremst vun der Motherboard Firmware duerch eng inoffiziell ze ersetzen.

      D'Léisung vun der Linux Foundation wier eng "universell" Léisung fir all Hardware déi vun dëser Krankheet betrëfft an erlaabt et all System ze installéieren eng eenzeg digital Ënnerschrëft ze bezuelen nëmmen eemol, wat sécher ass wat se Angscht mécht a firwat se sou vill maachen bieden

      1.    msx sot

        «Et ass net sou einfach wéi de Secure Boot auszeschalten an dat ass et, et ass noutwendeg datt den Hiersteller d'Iwwerleeung hat e Menü mat anzebauen, deen de Benotzer erlaabt de Secure Boot auszeschalten, wann den Hiersteller net wëllt datt se deaktivéiert ass ass et ganz komplizéiert fir de Benotzer fir et kënnen ze maachen, »

        Also wat Dir maache musst ass eng digital Alphabetiséierungscampagne wou et de Benotzer erkläert gëtt datt si Computere mat där Charakteristik fuerderen an amplaz aner ze kafen.

      2.    Taregon sot

        All dëst ass fir Suen ze maachen andeems ee validéiert wat mat a sécherem Boot kann a wat net boote kann.

  2.   anti sot

    Total Inkompetenz ass net z'ënnerscheeden vu schlechten Intentiounen.

  3.   Hugo sot

    Och wann et e berühmten Ausdrock vum Robert J. Hanlon ass, dee seet: "Nie attribuéiere Béisaartegkeet dat, wat adäquat duerch Dommheet erkläert gëtt", am besonnesche Fall vu Microsoft, sou vill domm Schwieregkeeten zu engem vermeintlech gutt konzipéierten an ausgeduechtene Prozess fir e besser Sécherheet, et hält den Androck datt se d'Linux Foundation hinderen sou datt Linux net op nei PCe mat UEFI installéiert ka ginn, sou datt Microsoft kee Konkurrenz huet.

    1.    Blaire Pascal sot

      Genau. Ech hunn d'Iddi net gär, e vermeintleche séchere Start ... Et mécht mir Angscht. Et schéngt mir datt Microsoft ganz ... Mafia Zwecker huet.

      1.    Bamler sot

        Ech si méi wéi midd vu Microsoft a senge Manipulatiounen, an ech hunn esouguer Angscht viru seng Intentiounen, a midd vu sengem Virworf all vun de PCen oder Geräter ze dominéieren, déi um Maart existéieren.

        Ech hoffen datt Linux fäerdeg ass massiv ofzeleeën an ënner Endbenotzer herrscht a Windows ass endlech marginaliséiert, total, fir d'OS Schäiss datt et ass.

        1.    Hugo sot

          Dëst erënnert mech un de Patent dat Microsoft krut mat Hëllef vun deem de System als Standard limitéiert ass, a fir säi ganzt Potenzial z'erspären oder en Drëtt-Partei-Programm z'installéieren, Lizenze sinn néideg fir déi natierlech entweder de Benotzer oder d'Benotzer musse bezuelen. Drëtt Parteien déi wëllen datt hir Uwendungen um Betribssystem installéiert ginn. Datt se et nach net ëmgesat hunn, heescht net datt se net wëlles hunn, an ech hunn den Androck datt d'UEFI den Terrain dofir preparéiert.

  4.   ErunamoJAZZ sot

    Wat mech iwwerrascht ass datt 64bist Binarien ausfalen an 32bit Binarien forcéieren .... Si si retrograd, et gi kaum nei 86-Bit x32 Architektur Prozessoren um Maart. Et sollt bei 64bits funktionnéieren.

    uu

  5.   jorgemanjarrezlerma sot

    Déi digital Ënnerschrëft oder e séchere Boot probéiert ze verhënneren datt "eppes" anescht wéi de System bootst. Et ass och fir déi sougenannte Piraterei oder illegal Kopie vu propriétaire Software ze vermeiden.

    Eng Analyse ze maachen an eng Recherche ze maachen iwwer de sougenannte Win8 Safe mat sengem vill gewielte séchere Boot huet seng Inkompetenz gewisen wéi se viru kuerzem e Sécherheetslach entdeckt hunn.

    Wéinst dem uewe genannten, an ouni en Industriegenie mussen ze sinn, mat Doktoren an anerer kann et ofgeleet ginn datt et nëmmen e Marketingskonzept ass begleet vun der Viraussetzung vu Microsoft fir en zouenen Apfel-Stil System ze ginn.

    Perséinlech iwwerpréiwen, consultéieren a studéieren kann ech aus menger perséinlecher Perspektiv soen datt UEFI / Secure Boot e Bedruch ass an e Betrug deen nëmmen als Zil ass de Microsoft Projet ze forcéieren fir säin Ökosystem komplett zouzemaachen, profitéiert vun der Tatsaach datt et ëmmer nach Drock am Personal Computing Segment.

  6.   Pavloco sot

    Dës Vakanz wäert ech e Wee fannen fir Microsoft ze verklot. Ech haassen se.

    1.    Blaire Pascal sot

      Hehehe, wann ech de Wonsch an d'Zäit hätt, géif ech se och fuerderen. Et ass eng Verletzung vu Fräiheet. Ausser se maachen eng aner Versioun vun der berüchtegter EULA wou se präziséieren datt Dir duerch de Kontrakt akzeptéiert Iech drun hält keng aner Software ze installéieren lol, wat mech net géif iwwerraschen.

    2.    Bamler sot

      +1

  7.   nosferatux sot

    Mir kucken wéi Microsoft mat sengem win8 a sengem UEFI / secureboot mécht, vläicht verléiert et e puer vum Maart zu Gonschte vum Macbook oder dem Chromebook.

    A wien weess, vläicht kënnt enges Daags e PC Hiersteller dohinner fir Linux an aner gratis Systemer.

  8.   nosferatux sot

    mmm a wann Linux Gemeinschaften "um Internet Dag a Programméiererdag" manifestéiert "sinn, zum Beispill virun iergendenger HP Store (fir ze soen am mannsten) hir Unerkennung fir d'Mark ze weisen awer hiren Desaccord mat Windows ze benotzen?.

    A wann an deenen Deeg dat "Install Fest" op d'Stroossen oder op ëffentlech Plaaze geet?

    1.    Hugo sot

      Déi traureg Realitéit ass datt all Linux Benotzer kombinéiert eng Fraktioun vu Windows Benotzer ausmaachen, sou datt d'Hardwareproduzenten natierlech de Betribssystem mat dem héchsten Maartundeel prioritéieren. also ech gesinn et onwahrscheinlech datt eng Demonstratioun Saachen ännert.

      A menger Meenung no, zum Beispill, Linux méi attraktiv ze maachen fir Uwendungen a Spiller kéint méi Afloss hunn wéi vill Demonstratioune géint MS. Awer dëst brauch Zäit (a Ressourcen).

  9.   Charlie-Brown sot

    Et ass fein de Micro $ oft a säi Secure Boot z'attackéieren, awer denkt drun datt et Motherboard Hiersteller sinn, déi et par défaut an d'UEFI abegraff hunn, wéi wann et nëmmen en OS wier; Microsoft's ... si hunn e falsche Wee gemaach. Wann Dir de Fall berécksiichtegt, schéngt et fir mech datt mir an der Zukunft gezwonge ginn d'UEFI vun de Boards mat "verëffentlecht" Versiounen ze blénken wéi haut mat der ROM vu bestëmmte Produkter. Glécklecherweis huet d'Ingenitéit vun deenen, déi no Fräiheet ustriewen, méi staark bewisen wéi déi vun deenen, déi se ausradéiere wëllen.

    1.    Shiba87 sot

      Mann .... Et ass net sou einfach wéi de Produzent wielt ob e séchere Boot a seng Hardware abegraff oder net, mir däerfen net vergiessen datt Microsoft e Monopol ass, tatsächlech ass et DE Monopol an als Fabrikant, seet Nee zu Microsoft kann heeschen konfrontéiert mat hiren Affekoten, erhéicht d'Käschte vu Lizenzen, déi Äert Ausrüstung vill méi deier maachen, oder souguer 80% vum Bannemaart verléieren.

      Et ass net datt et se verteidegt, awer wann eppes wat Microsoft weess wéi et mécht ass genau dat, opdrängen baséiert op Erpressung a Monopol, déi eenzeg Optioun wier fir all Hiersteller oder op d'mannst d'Majoritéit averstanen a seng Féiss op eemol ze stoppen, awer dat ass immens schwéier fir et ze geschéien an eng eenzeg Firma, egal wéi grouss et ka sinn, wäert zweemol denken ier e säi Geschäft riskéiert, egal wéi ongerecht / schleppend / absurd wat Microsoft freet.

  10.   Alf sot

    Et gouf vill iwwer dëst Thema a verschiddene Blogs a Foren geschwat, awer ech hunn Deeg iwwer eppes ze denken, vläicht ass et meng Dommheet awer, am Fall vun DELL an HP (ech kennen net aner Firmen) déi Linux Maschinne verkafen, mécht de séchere Boot wäert et ofkommen?

    1.    Hugo sot

      Ech denken datt ech gelies hunn datt an dëse Fäll d'Fabrikanten en duebelen UEFI / BIOS System plazéieren, sou datt wann Dir den UEFI deaktivéiert Dir op de BIOS zréckfällt. Dëst sollt natierlech d'Käschte erhéijen.

      Eventuell sollt de BIOS verschwannen wéi mir et kennen zugonschte vun UEFI oder aner bessere Standarden, déi gegleeft ginn, well d'BIOS Technologie al ass an dofir Aschränkungen imposéiert.

  11.   Shiba87 sot

    Hären, eng Ënnerschrëft vun der FSF Petitioun iwwer dës Matière:

    Mir, d'Ënnerschreiwe fuerderen all Computerproduzenten op, déi UEFI's sougenannte "Secure Boot" implementéieren, sou ze maachen, datt d'Installatioun vu gratis Betribssystemer erlaabt. Fir d'Benotzerfräiheet ze respektéieren an hir Sécherheet wierklech ze schützen, mussen d'Hiersteller Computerbesëtzer erlaben Boot Restriktiounen auszeschalten, oder en zouverléissege System ze bidden fir e gratis Betribssystem vun Ärer Wiel z'installéieren an auszeféieren. Mir verpflichte datt mir Computeren net kafen oder empfeelen déi dës kritesch Fräiheet vum Benotzer ewech huelen, an datt mir d'Leit an eise Gemeinschaften aktiv encouragéiere fir sou gekäppte Systemer ze vermeiden.

    http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement

    1.    msx sot

      Perfekt, Ufro ënnerschriwwen a gedeelt mat der LUG an dem Rescht vum Internet, Merci fir de Kommentar.