Piedzīvojumi Microsoft UEFI parakstā

Man gadās tulkot šo viņa rakstīto rakstu Džeimss Bottomley, tehniskais padomnieks Linux fonds, kurš sāka salikt pirms bootloader, lai jūs varētu boot Linux.

Kā es paskaidroju savā iepriekšējā ierakstā, mums ir uzstādīts Linux Foundation pirms bootloader kods. Tomēr bija a kavēšanās kamēr mums bija pieeja Microsoft parakstīšanas sistēmai.

Pirmais, kas jādara, ir samaksājiet Verisign 99 USD (tagad Symantec) un atslēgu pārbauda Verisign. Mēs to izdarījām Linux Foundation labā, un viss, ko viņi vēlas darīt, ir piezvanīt galvenajai mītnei, lai to pārbaudītu. Atslēga tiek atgriezta URL, kas ir instalēts jūsu pārlūkprogrammā, bet standarta Linux SSL rīkus var izmantot, lai to izvilktu un izveidotu parasto PEM sertifikātu un atslēgu. Tam nav nekāda sakara ar UEFI parakstīšanu, bet tiek izmantots sistēmas validēšanai sysdev Microsoft, ka tu esi tas, ko tu saki. Pirms jūs varat izveidot sysdev kontu, jums tas ir jāpārbauda parakstot izpildāmo failu, kuru viņi jums dod, un augšupielādējot to. Viņi izvirza stingras prasības, lai jūs to parakstītu konkrētā Windows platformā, bet sbsign vismaz tas darbojās un tika izveidots mūsu konts.

Kad konts ir izveidots, joprojām nevarat augšupielādēt UEFI bināros failus parakstīšanai parakstīt papīra līgumu. Līgumi ir ļoti apgrūtinoši, ieskaitot daudz izslēgto licenču (ieskaitot visus GPL vadītājiem, bet ne bootloaderiem). Visnopietnākais ir tas, ka nolīgumi, šķiet, ir noslēgti ārpus jūsu parakstītajiem UEFI objektiem. Linux fonda advokāti secināja, ka tas galvenokārt ir nekaitīgs LF, jo mēs nepārdodam produktus, bet tas var būt pretīgi citiem uzņēmumiem. Pēc Metjū Gareta teiktā, Microsoft ir gatava vienoties par īpašiem darījumiem ar izplatīšanu, lai mazinātu dažas no šīm problēmām.

Kad līgumi ir parakstīti, īstie tehniska izklaide. Jūs nevarat vienkārši augšupielādēt UEFI bināro failu un parakstīt to. Vispirms jums tas jādara aptiniet to .cab failā. Par laimi ir atvērta pirmkoda projekts, kas var izveidot kabineta failus ar nosaukumu lcab. Tad jums tas jādara parakstiet .cab failu ar atslēgu Verisign. Atkal ir vēl viens atvērtā koda projekts, kas to var izdarīt: osslsigncode. Ikvienam, kam nepieciešami šie rīki, tie ir pieejami manā openSuse Build Service UEFI repozitorijā. Pēdējā problēma ir faila augšupielāde nepieciešama sudraba gaisma. Diemžēl mēness gaisma, šķiet, nedarbojas, un pat ar 4. versijas priekšskatījumu augšupielādes lodziņš paliek tukšs, tāpēc ir pienācis laiks izmantot Windows 7 zem kvm (kodola virtuālā mašīna). Kad esat nonācis līdz šai daļai, jums arī jāapstiprina, ka binārs “parakstāms, nedrīkst būt licencētas saskaņā ar GPLv3 vai līdzīgām atvērtā pirmkoda licencēm”. Es pieņemu, ka tas ir jābaidās no galvenās informācijas izpaušanas, bet tas vispār nav skaidrs (tas pats ar "līdzīgām atvērtā koda licencēm").

Kad augšupielāde ir pabeigta, kabineta fails tiek pārtraukts septiņos posmos. Diemžēl pirmais testa kāpiens palika aizslēgts 6. posmā (lietu paraksts). Pēc 6 dienām es nosūtīju Microsoft atbalsta e-pastu ar jautājumu, kas notiek. Atbilde: “Kļūdas kods, ko izmet parakstīšanas process, ir tāds jūsu fails nav derīga Win32 lietojumprogramma. Vai tā ir derīga Win32 lietojumprogramma? ”. Atbilde: acīmredzami nē, tas ir derīgs 64 bitu UEFI binārs. Atbildes vairs nebija...

Es mēģināju vēlreiz. Šoreiz es saņēmu parakstīta faila lejupielādes e-pastu, un tā saka parakstītais neizdevās. Es to lejupielādēju un pārbaudīju. Binārs darbojas drošās sāknēšanas platformā un tiek parakstīts ar atslēgu

tēma = / C = ASV / ST = Vašingtona / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI draiveru izdevējs
emitents = / C = ASV / ST = Vašingtona / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011

Es jautāju atbalsta dienestam, kāpēc process liecināja par neveiksmi, taču man bija derīga lejupielāde, un pēc satricinoša e-pasta ziņojuma viņi atbildēja: “neizmantojiet to failu, nepareizi parakstīts. Es atgriezīšos pie jums. " Es joprojām nezinu, kāda ir problēma, bet, ja paskatās uz parakstīšanas atslēgas tēmu, atslēgā nekas neliecina par Linux Foundation, tāpēc man ir aizdomas, ka problēma ir tā, ka binārs ir parakstīts ar vispārēju Microsoft atslēgu, nevis īpašu (un atsaucamu) atslēgu, kas saistīta ar Linux Foundation.

Tomēr tas ir statuss: Mēs turpināsim gaidīt, kamēr Microsoft piešķirs Linux Foundation parakstītu un apstiprinātu pirms bootloader. Kad tas notiks, tas tiks augšupielādēts Linux Foundation vietnē, lai visi tos varētu izmantot.

Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/

Izdariet savus secinājumus, taču tam būs vajadzīgs laiks.


25 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   rolo teica

    Ja patiešām jautājums par datoriem ar win8 OEM, kas nāk ar UEFI sistēmu, tiek atrisināts, atspējojot UEFI no BIOS, man šķiet kļūda, ka gan Linux pamats, gan Fedora, Ubuntu un es nezinu, kurš cits izplatītājs maksā par sertifikātu un pieņem Microsoft noteiktos ierobežojumus.

    MUMS JĀPĀRTRAUC LAMBAS !!!!!

    1.    84 teica

      bet es zinu, ka Windows 8 joprojām nav palaista

      1.    Blērs paskals teica

        Hehehe, pat nav liels darījums. Nu, vismaz man. Tas ir personīgs viedoklis, es negribu nevienu aizvainot.

    2.    Šiba87 teica

      UEFI nevar atspējot no BIOS, jo UEFI ir programmaparatūra, kas aizstāj BIOS, kas ir ilgāks par ilgu.

      Tas, par ko mēs runājam, ir droša sāknēšana, UEFI funkcija, kas pārbauda programmatūras autentiskumu, ar kuru mēs startējam datoru, izmantojot digitālos parakstus, tā ir jāatspējo drošā sāknēšana.

      Tas nav tik vienkārši, kā atspējot drošu sāknēšanu, un viss, ir nepieciešams, lai ražotājs apsvērtu iespēju iekļaut izvēlni, kas lietotājiem ļauj atspējot drošu sāknēšanu, ja ražotājs nevēlas, lai tā tiktu atspējota, lietotājam būs ļoti sarežģīti rīkojieties šādi, iespējams, izejot no mātesplatē esošās programmaparatūras ar neoficiālu.

      Linux Foundation risinājums būtu "universāls" risinājums jebkurai aparatūrai, kuru skārusi šī slimība, un ļautu instalēt jebkuru sistēmu, maksājot par vienu digitālo parakstu tikai vienu reizi, kas, protams, viņus biedē un kāpēc viņi dara tik daudz lūgties

      1.    MSX teica

        «Tas nav tik vienkārši, kā atspējot drošu sāknēšanu, un viss, ir nepieciešams, lai ražotājs apsvērtu iespēju iekļaut izvēlni, kas lietotājiem ļauj atspējot drošu sāknēšanu, ja ražotājs nevēlas, lai tā tiktu atspējota, lietotājam tas būs ļoti sarežģīti lai varētu to izdarīt, »

        Tātad, kas jādara, ir digitālās pratības kampaņa, kurā lietotājiem tiek paskaidrots, ka viņi pieprasa datorus ar šo funkciju un tā vietā pērk citus.

      2.    taregons teica

        Tas viss ir pelnīt naudu, pārbaudot to, ko var un ko nevar palaist ar drošu sāknēšanu.

  2.   antidempinga teica

    Pilnīgu nespēju atšķirt no sliktiem nodomiem.

  3.   Hugo teica

    Lai gan ir kāda slavena Roberta J. Hanlona frāze, kas saka: "Nekad nepiedēvējiet ļaunprātībai to, kas tiek pietiekami izskaidrots ar stulbumu", konkrētajā Microsoft gadījumā tik daudz dumju grūtību ir it kā labi izdomāts un izdomāts process Labāka drošība joprojām rada iespaidu, ka tie kavē Linux Foundation, lai Linux nevarētu instalēt jaunos datoros ar UEFI, lai Microsoft nebūtu konkurences.

    1.    Blērs paskals teica

      Precīzi. Man nepatīk ideja, it kā drošs sākums ... Tas mani biedē. Man šķiet, ka Microsoft ir ļoti ... mafijas mērķi.

      1.    Bamlers teica

        Man ir vairāk nekā apnicis Microsoft un tā manipulācijas, un es pat baidos no tā nodomiem, un man ir apnicis izlikties, ka dominēju katrā no datoriem vai ierīcēm, kas pastāv tirgū.

        Es ceru, ka Linux beidz masveidīgi pacelties un dominē galalietotāju vidū, un Windows ir visbeidzot atstumts, ņemot vērā OS crap, kāds tas ir.

        1.    Hugo teica

          Tas man atgādina par Microsoft piešķirto patentu, ar kura palīdzību sistēma pēc noklusējuma ir ierobežota, un, lai pilnībā izmantotu tā potenciālu vai instalētu jebkuru trešo personu programmu, ir nepieciešamas licences, par kurām, protams, jāmaksā vai nu lietotājam, vai lietotājiem. Trešās puses, kuras vēlas, lai viņu lietojumprogrammas tiktu instalētas operētājsistēmā. Tas, ka viņi to vēl nav ieviesuši, nenozīmē, ka viņi to nedomā, un man rodas iespaids, ka UEFI tam sagatavo augsni.

  4.   erunamoJAZZ teica

    Mani pārsteidz tas, ka 64bist binārie faili neizdodas un piespiež 32 bitu bināros failus. Tie ir retrogrādi, tirgū gandrīz nav jaunu 86 bitu x32 arhitektūras procesoru. Tam vajadzētu darboties ar 64 bitu ātrumu.

    uu

  5.   jorgemanjarrezlerma teica

    Digitālais paraksts vai drošā sāknēšana mēģina neļaut sāknēt “kaut ko”, izņemot sistēmu. Tas ir arī tāpēc, lai izvairītos no tā sauktā pirātisma vai patentētas programmatūras nelegālas kopēšanas.

    Veicot analīzi un veicot dažus pētījumus par tā saukto Win8 seifu ar daudz slavēto drošu sāknēšanu, tas ir pierādījis savu nekompetenci, jo viņi nesen atklāja drošības caurumu.

    Sakarā ar iepriekš minēto un bez doktora grādiem un citiem, kam nav jābūt nozares ģēnijam, var secināt, ka tas ir tikai mārketinga jēdziens, ko papildina Microsoft pieņēmums kļūt par slēgtu ābolu stila sistēmu.

    Personīgi pārskatot, konsultējoties un studējot, no savas personiskās perspektīvas varu teikt, ka UEFI / Secure Boot ir krāpšana un krāpšana, kuras mērķis ir tikai piespiest un atbalstīt Microsoft projektu pilnībā slēgt savu ekosistēmu, izmantojot to, ka tā joprojām var izmantot noteiktus spiediens personālo skaitļošanas segmentā.

  6.   Pavloko teica

    Šajā atvaļinājumā es atradīšu veidu, kā iesūdzēt Microsoft. ES viņus ienīstu.

    1.    Blērs paskals teica

      Hehehe, ja man būtu vēlme un laiks, es arī tos prasītu. Tas ir brīvības pārkāpums. Ja vien viņi neizveido citu bēdīgi slavenās EULA versiju, kur viņi norāda, ka, pieņemot līgumu, jūs piekrītat neinstalēt nevienu citu programmatūru, kas mani nepārsteigtu.

    2.    Bamlers teica

      +1

  7.   nosferatux teica

    Mēs redzēsim, kā Microsoft darbojas ar savu win8 un savu UEFI / secureboot, varbūt tas zaudēs kādu tirgu par labu macbook vai chromebook.

    Un kas zina, varbūt kādu dienu kāds pc ražotājs parādīsies par labu linux un citām bezmaksas sistēmām.

  8.   nosferatux teica

    mmm, un, ja, piemēram, interneta dienā un programmētāja dienā Linux kopienas "izpaudās", piemēram, kāda hp veikala priekšā (lai neteiktu vairāk), parādot savu atzinību par zīmolu, bet nepiekrītot logu izmantošanai?

    Un, ja tajās dienās "instalēt fest" iziet uz ielām vai publiskiem laukumiem?

    1.    Hugo teica

      Bēdīgā realitāte ir tāda, ka visi Linux lietotāji kopā veido daļu no Windows lietotājiem, tāpēc aparatūras ražotāji, protams, par prioritāti izvirza operētājsistēmu ar vislielāko tirgus daļu. tāpēc es uzskatu, ka maz ticams, ka demonstrācija kaut ko mainīs.

      Manuprāt, piemēram, padarot Linux par pievilcīgāku platformu lietojumprogrammām un spēlēm, varētu būt lielāka ietekme nekā daudzām demonstrācijām pret MS. Bet tas prasa laiku (un resursus).

  9.   Čārlijs-Brauns teica

    Ir labi uzbrukt Micro $ oft un tā drošajai sāknēšanai, taču atcerieties, ka tieši mātesplatē ražotāji to pēc noklusējuma ir iekļāvuši UEFI, it kā būtu tikai viena OS; Microsoft ... viņi ir izgājuši nepareizu ceļu. Ņemot vērā gadījumu, man šķiet, ka nākotnē mēs būsim spiesti mirgot dēļu UEFI ar "izlaistajām" versijām, kā mēs to darām šodien ar noteiktu produktu ROM. Par laimi, to cilvēku atjautība, kuri tiecas uz brīvību, ir izrādījusies spēcīgāka nekā to, kuri cenšas to izskaust.

    1.    Šiba87 teica

      Cilvēks .... Tas nav tik vienkārši, kā ražotājs izvēlas, vai iekļaut aparatūrā drošu sāknēšanu, mēs nedrīkstam aizmirst, ka Microsoft ir monopols, patiesībā tas ir THE monopols un kā ražotājs, sakot nē Microsoft, tas var nozīmēt no nepieciešamības saskaras ar viņu advokātiem, palielina licenču izmaksas, kas jūsu aprīkojumu sadārdzina daudz, vai pat zaudē 80% no vietējā tirgus.

      Nav tas, ka es viņus aizstāvu, bet, ja kaut kas, ko Microsoft zina, ir tieši tas, ko uzlikt, pamatojoties uz izspiešanu un monopolu, vienīgā iespēja būtu visiem ražotājiem vai vismaz vairākumam vienoties un uzreiz apturēt kājas, bet tas notiek ārkārtīgi grūti, un viens uzņēmums, lai cik liels tas arī nebūtu, pārdomās, pirms riskēt ar savu biznesu, lai cik negodīgu / rāpojošu / absurdu Microsoft pieprasītu.

  10.   Alf teica

    Par šo tēmu ir daudz runāts dažādos emuāros un forumos, taču man ir dienas, kad es kaut ko domāju, varbūt tā ir mana nejēdzība, bet, ja DELL un HP (es nezinu citus uzņēmumus), kas pārdod Linux mašīnas, veic drošu sāknēšanu. vai tas atdalīsies?

    1.    Hugo teica

      Es domāju, ka esmu lasījis, ka šajos gadījumos ražotāji ievieto dubultu UEFI / BIOS sistēmu, lai, atspējojot UEFI, jūs atgrieztos BIOS. Tam, protams, vajadzētu palielināt izmaksas.

      Galu galā BIOS vajadzētu pazust, kā mēs to zinām, par labu UEFI vai citiem labākiem standartiem, kas tiek uzskatīti, jo BIOS tehnoloģija ir veca un tāpēc uzliek ierobežojumus.

  11.   Šiba87 teica

    Kungi, paraksts FSF petīcijai par šo jautājumu:

    Mēs, parakstītāji, aicinām visus datoru ražotājus, kas ievieš UEFI tā saukto "Secure Boot", darīt to tādā veidā, kas ļauj instalēt bezmaksas operētājsistēmas. Lai ievērotu lietotāju brīvību un patiesi aizsargātu viņu drošību, ražotājiem jāļauj datoru īpašniekiem atspējot sāknēšanas ierobežojumus vai jānodrošina uzticama sistēma, lai instalētu un palaistu brīvu izvēlēto operētājsistēmu. Mēs apņemamies nepirkt un neieteikt datorus, kas atņem lietotājam šo kritisko brīvību, un ka aktīvi mudināsim mūsu kopienu cilvēkus izvairīties no šādām sprostā ievietotām sistēmām.

    http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement

    1.    MSX teica

      Lieliski, pieprasījums parakstīts un kopīgots ar LUG un pārējo tīmekli, paldies par komentāru.