Saya kebetulan menerjemahkan artikel ini yang ditulisnya James Bottomley, penasihat teknikal Yayasan Linux, yang mula mengumpulkan pre-bootloader supaya anda dapat boot Linux.
Seperti yang saya jelaskan dalam catatan sebelumnya, kami mempunyai kod untuk pra-bootloader Linux Foundation. Walau bagaimanapun, terdapat kelewatan sementara kami mempunyai akses ke sistem penandatanganan Microsoft.
Perkara pertama yang perlu dilakukan adalah bayar $ 99 kepada Verisign (sekarang Symantec) dan mempunyai kunci yang disahkan oleh Verisign. Kami melakukannya untuk Linux Foundation, dan semua yang ingin mereka lakukan adalah menghubungi ibu pejabat untuk mengesahkan. Kunci kembali dalam URL yang dipasang di penyemak imbas anda, tetapi alat SSL Linux standard boleh digunakan untuk mengekstraknya dan membuat sijil dan kunci PEM biasa. Ini tidak ada kaitan dengan penandatanganan UEFI, tetapi digunakan untuk mengesahkan sistem sysdev Microsoft bahawa anda adalah siapa yang anda katakan. Sebelum anda dapat membuat akaun sysdev, anda harus mengujinya menandatangani yang boleh dilaksanakan yang mereka berikan dan memuat naiknya. Mereka membuat syarat yang ketat bahawa anda menandatanganinya di platform Windows tertentu, tetapi sekurang-kurangnya ia berfungsi dan bingo akaun kami telah dibuat.
Setelah akaun dibuat, anda masih tidak boleh memuat naik binari UEFI untuk masuk tanpa terlebih dahulu menandatangani kontrak kertas. Perjanjian ini sangat membebankan, termasuk banyak lesen yang dikecualikan (termasuk semua GPL untuk pemandu, tetapi tidak untuk pemuat but). Bahagian yang paling membebankan adalah bahawa perjanjian nampaknya sudah tiba melebihi objek UEFI yang anda tandatangani. Peguam untuk Yayasan Linux menyimpulkan bahawa kebanyakannya tidak berbahaya bagi LF kerana kami tidak menjual produk, tetapi boleh menjijikkan syarikat lain. Menurut Matthew Garrett, Microsoft bersedia untuk merundingkan perjanjian khas dengan pengedaran untuk mengurangkan beberapa masalah tersebut.
Setelah perjanjian ditandatangani, sebenarnya keseronokan teknikal. Anda tidak boleh memuat naik perduaan UEFI sahaja dan menandatanganinya. Mula-mula anda mesti bungkusnya dalam fail .cab. Nasib baik, ada projek sumber terbuka yang dapat membuat fail kabinet yang disebut lcab. Maka anda mesti tandatangani fail .cab dengan kekunci Verisign. Sekali lagi, terdapat satu lagi projek sumber terbuka yang boleh melakukannya: osslsigncode. Bagi sesiapa yang memerlukan alat tersebut, alat ini boleh didapati di repositori openSuse Build Service UEFI saya. Masalah terakhir ialah memuat naik fail memerlukan cahaya perak. Malangnya, cahaya bulan nampaknya tidak berfungsi dan walaupun dengan pratonton versi 4, kotak muat naik menjadi kosong, jadi sudah tiba masanya untuk menggunakan windows 7 di bawah kvm (mesin maya berasaskan kernel). Apabila anda sampai ke bahagian itu, anda juga harus mengesahkan bahawa binari "untuk ditandatangani, tidak boleh dilesenkan di bawah GPLv3 atau lesen sumber terbuka yang serupa" Saya menganggap ini kerana takut akan pendedahan utama tetapi sama sekali tidak jelas (sama dengan "lesen sumber terbuka serupa").
Setelah muat naik selesai, fail kabinet berhenti melalui tujuh peringkat. Malangnya, pendakian ujian pertama masih ada terkunci di tahap 6 (tandatangan fail). Selepas 6 hari saya menghantar e-mel sokongan kepada Microsoft bertanya apa yang berlaku. Jawapannya: "Kod kesalahan yang dilemparkan oleh proses penandatanganan adalah fail anda bukan aplikasi Win32 yang sah. Adakah aplikasi Win32 yang sah? ”. Jawapan: jelas tidak, ia adalah binari UEFI 64 bit yang sah. Tidak ada lagi jawapan...
Saya mencuba lagi. Kali ini saya menerima e-mel muat turun untuk fail yang ditandatangani dan lembaga itu mengatakannya yang ditandatangani gagal. Saya memuat turunnya dan mengesahkan. Perduaan berfungsi pada platform safeboot dan ditandatangani dengan kunci
subjek = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Penerbit Pemacu Microsoft Windows UEFI
penerbit = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Saya meminta sokongan mengapa proses tersebut menunjukkan kegagalan tetapi saya mempunyai muat turun yang sah dan, setelah banyak e-mel, mereka menjawab "jangan gunakan fail yang salah ditandatangani. Saya akan kembali kepada anda. " Saya masih tidak pasti apa masalahnya, tetapi jika anda melihat Subjek kunci penandatanganan, tidak ada apa-apa kunci untuk menunjukkan kepada Linux Foundation, oleh itu saya mengesyaki bahawa masalahnya adalah bahawa perduaan ditandatangani dengan kunci Microsoft generik dan bukannya kunci khusus (dan boleh dicabut) yang terikat pada Linux Foundation.
Walau bagaimanapun, ini adalah statusnya: Kami akan terus menunggu Microsoft memberi Linux Foundation pra-bootloader yang ditandatangani dan disahkan. Apabila itu berlaku, ia akan dimuat naik ke laman Linux Foundation untuk digunakan oleh semua.
Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Buat kesimpulan anda, tetapi ini akan memakan masa.
Sekiranya benar-benar masalah PC dengan win8 OEM yang disertakan dengan sistem UEFI diselesaikan dengan mematikan UEFI dari BIOS, nampaknya saya ralat bahawa kedua-dua yayasan Linux dan Fedora, Ubuntu dan saya tidak tahu distro lain, bayar untuk sijil dan terima had yang dikenakan oleh Microsoft.
KAMI HARUS BERHENTI MENJADI LAMBANG !!!!!
tapi saya tahu Windows 8 masih belum di-boot
Hehehe, itu bukan masalah besar. Sekurang-kurangnya untuk saya. Itu adalah pendapat peribadi, saya tidak mahu menyinggung perasaan sesiapa.
UEFI tidak dapat dilumpuhkan dari BIOS, kerana UEFI adalah Firmware yang datang untuk menggantikan BIOS yang lebih lama daripada yang lama.
Apa yang kita bicarakan ialah Secure Boot, ciri UEFI yang mengesahkan keaslian perisian yang kita mulakan komputer menggunakan tandatangan digital, itu adalah Boot Selamat yang harus dilumpuhkan.
Ia tidak semudah menonaktifkan Secure Boot dan hanya itu, perlunya pihak pembuat mempertimbangkan untuk memasukkan menu yang membolehkan pengguna mematikan Secure Boot, jika pengeluar tidak mahu ia dilumpuhkan, ia akan menjadi sangat rumit agar pengguna dapat melakukannya, mungkin akan memerlukan penggantian firmware motherboard dengan yang tidak rasmi.
Penyelesaian Linux Foundation akan menjadi penyelesaian "universal" untuk mana-mana perkakasan yang terkena penyakit ini dan akan membenarkan sistem dipasang dengan membayar satu tanda tangan digital sekali sahaja, yang pasti menakutkan mereka dan mengapa mereka melakukan banyak perkara berdoa
«Tidak sesederhana melumpuhkan Secure Boot dan hanya itu, perlu kerana pengeluar telah mempertimbangkan untuk memasukkan menu yang membolehkan pengguna mematikan Secure Boot, jika pengeluar tidak mahu ia dilumpuhkan, akan sangat rumit untuk pengguna dapat melakukannya, »
Oleh itu, apa yang harus anda lakukan ialah kempen literasi digital di mana dijelaskan kepada pengguna bahawa mereka menuntut komputer dengan ciri tersebut dan sebaliknya membeli yang lain.
Semua ini adalah untuk menjana wang dengan mengesahkan apa yang boleh dan tidak boleh boot dengan boot selamat.
Ketidakcekapan total tidak dapat dibezakan dari niat buruk.
Walaupun ada ungkapan terkenal oleh Robert J. Hanlon yang mengatakan: "Jangan sekali-kali mengaitkan dengan niat jahat yang cukup dijelaskan oleh kebodohan", dalam kes tertentu Microsoft, begitu banyak kesulitan konyol untuk proses yang seharusnya difahami dan dirancang untuk Lebih Baik keselamatan, ia terus memberi kesan bahawa mereka menghalangi Linux Foundation sehingga linux tidak dapat dipasang pada PC baru dengan UEFI, sehingga Microsoft tidak memiliki persaingan.
Tepat. Saya tidak menyukai idea, permulaan yang sepatutnya selamat ... Ini menakutkan saya. Nampaknya bagi saya bahawa Microsoft mempunyai tujuan ... Mafia.
Saya lebih bosan dengan Microsoft dan manipulasinya, malah saya takut akan niatnya, dan bosan berpura-pura menguasai setiap PC atau peranti yang ada di pasaran.
Saya berharap Linux selesai beramai-ramai dan berlaku di kalangan pengguna akhir dan Windows akhirnya terpinggir, total, untuk omong kosong OS yang ada.
Ini mengingatkan saya akan hak paten yang diberikan kepada Microsoft yang mana sistemnya secara lalai adalah terhad, dan untuk membuka potensi sepenuhnya atau memasang program pihak ketiga, lesen diperlukan yang tentunya pengguna atau pengguna mempunyai untuk membayar.pihak ketiga yang mahu aplikasinya dipasang pada sistem operasi. Mereka belum melaksanakannya, bukan berarti mereka tidak berniat, dan saya mendapat kesan bahawa UEFI sedang menyiapkan alasan untuk ini.
Yang mengejutkan saya ialah binari 64bist gagal dan memaksa binari 32bit…. Mereka mundur, hampir tidak ada pemproses seni bina x86 32-bit baru di pasaran. Ia mesti berfungsi pada 64 bit.
awak
Tanda tangan digital atau but selamat cuba menghalang "sesuatu" selain sistem daripada boot. Ini juga untuk mengelakkan apa yang disebut pembajakan atau penyalinan perisian proprietari secara haram.
Melakukan analisis dan membuat sedikit kajian mengenai apa yang disebut Win8 safe dengan boot amannya yang sangat tersembunyi telah menunjukkan ketidakcekapannya kerana mereka baru-baru ini menemui lubang keselamatan.
Kerana perkara di atas dan tanpa harus menjadi jenius industri, dengan PhD dan lain-lain, dapat disimpulkan bahawa hanya konsep pemasaran yang disertai dengan premis Microsoft untuk menjadi sistem gaya epal tertutup.
Meninjau, berunding dan belajar secara peribadi Saya dapat mengatakan dari perspektif peribadi saya bahawa UEFI / Secure Boot adalah penipuan dan penipuan yang hanya bertujuan untuk memaksa dan menyokong projek Microsoft untuk menutup ekosistemnya sepenuhnya, dengan memanfaatkan fakta bahawa ia masih dapat menjalankan tekanan dalam segmen pengkomputeran peribadi.
Percutian ini saya akan mencari jalan untuk menuntut Microsoft. Saya benci mereka.
Hehehe, jika saya mempunyai keinginan dan masa saya juga akan menuntut mereka. Ini adalah pelanggaran kebebasan. Kecuali mereka membuat versi lain EULA yang terkenal di mana mereka menyatakan bahawa dengan menerima kontrak anda bersetuju untuk tidak memasang perisian lol lain, yang tidak akan mengejutkan saya.
+1
Kita akan melihat bagaimana microsoft melakukannya dengan win8 dan UEFI / safebootnya, mungkin ia akan kehilangan beberapa pasaran yang memihak kepada macbook atau chromebook.
Dan siapa tahu, mungkin suatu hari pengeluar pc akan muncul di luar sana memihak kepada linux dan sistem percuma lain.
mmm, dan jika komuniti linux "terserlah" pada hari internet dan hari pengaturcara misalnya, di hadapan beberapa kedai hp (paling tidak) menunjukkan penghargaan mereka terhadap jenama tersebut tetapi tidak setuju dengan penggunaan tingkap?
Dan jika pada masa itu "pemasangan festival" keluar ke jalan atau dataran awam?
Kenyataan yang menyedihkan adalah bahawa semua pengguna Linux digabungkan membentuk sebahagian kecil pengguna Windows, jadi pengeluar perkakasan secara semula jadi mengutamakan sistem operasi dengan pangsa pasar tertinggi. jadi saya melihat bahawa demonstrasi tidak akan mengubah keadaan.
Pada pendapat saya, misalnya, menjadikan Linux sebagai platform yang lebih menarik untuk aplikasi dan permainan boleh mempunyai pengaruh yang lebih besar daripada banyak demonstrasi terhadap MS. Tetapi ini memerlukan masa (dan sumber).
Tidak masalah menyerang Micro $ oft dan Secure Bootnya, tetapi ingat bahawa pengeluar papan induk telah memasukkannya secara lalai dalam UEFI, seolah-olah hanya ada satu OS; Microsoft ... mereka telah mengambil jalan yang salah. Mengingat kes itu, menurut saya pada masa akan datang kita akan dipaksa untuk memancarkan papan UEFI dengan versi "dilepaskan" seperti yang kita lakukan hari ini dengan ROM produk tertentu. Nasib baik, kepintaran mereka yang berhasrat untuk kebebasan telah terbukti lebih kuat daripada mereka yang berusaha untuk membasmi itu.
Man .... Tidak semudah pengeluar memilih sama ada mahu memasukkan boot selamat dalam perkakasannya, kita tidak boleh lupa bahawa Microsoft adalah Monopoli, sebenarnya itu adalah Monopoli dan sebagai pengeluar, mengatakan tidak kepada Microsoft boleh bererti dengan berdepan dengan peguam mereka, meningkatkan kos lesen yang menjadikan peralatan anda jauh lebih mahal, atau bahkan kehilangan 80% pasaran domestik.
Bukan membela mereka, tetapi jika sesuatu yang Microsoft tahu bagaimana caranya adalah tepatnya, memaksakan berdasarkan pemerasan dan Monopoli, satu-satunya pilihan adalah semua pengeluar atau sekurang-kurangnya majoriti bersetuju dan menghentikan langkahnya sekaligus, tetapi itu sangat sukar untuk terjadi dan satu syarikat, tidak kira seberapa besarnya, akan berfikir dua kali sebelum mempertaruhkan perniagaannya, tidak kira betapa tidak adil / menjalar / tidak masuk akal apa yang diminta oleh Microsoft.
Telah banyak perbincangan mengenai topik ini di pelbagai blog dan forum, tetapi saya berhari-hari memikirkan sesuatu, mungkin itu adalah kebodohan saya tetapi, dalam kes DELL dan HP (saya tidak tahu syarikat lain) yang menjual mesin Linux , adakah but selamat akan dilepaskan?
Saya rasa saya telah membaca bahawa dalam kes ini, pengeluar meletakkan sistem UEFI / BIOS dwi sehingga jika anda mematikan UEFI, anda akan kembali ke BIOS. Ini semestinya akan meningkatkan kos.
Akhirnya BIOS akan hilang seperti yang kita ketahui memihak kepada UEFI atau standard lain yang lebih baik yang dipercayai, kerana teknologi BIOS sudah tua dan oleh itu mengenakan batasan.
Tuan-tuan, tandatangan petisyen FSF mengenai perkara ini:
Kami, para penandatangan, mendesak semua pengeluar komputer yang melaksanakan "Secure Boot" UEFI untuk melakukannya dengan cara yang membolehkan pemasangan sistem operasi percuma. Untuk menghormati kebebasan pengguna dan benar-benar melindungi keselamatan mereka, pengeluar mesti membenarkan pemilik komputer mematikan sekatan boot, atau menyediakan sistem yang boleh dipercayai untuk memasang dan menjalankan sistem operasi percuma pilihan mereka. Kami berjanji bahawa kami tidak akan membeli atau mengesyorkan komputer yang merampas kebebasan kritikal ini dari pengguna, dan bahawa kami akan secara aktif mendorong orang-orang di komuniti kami untuk mengelakkan sistem sangkar tersebut.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Sempurna, minta ditandatangani dan dikongsi dengan LUG dan seluruh web, terima kasih atas komen.