Ik vertaal toevallig dit artikel dat hij schreef James Bottomly, technisch adviseur van de Linux Foundation, die begon samen te stellen een pre-bootloader zodat je Linux kunt opstarten.
Zoals ik in mijn vorige bericht heb uitgelegd, hebben we de code voor de Linux Foundation pre-bootloader. Er was echter een vertraging terwijl we toegang hadden tot het ondertekeningssysteem van Microsoft.
Het eerste wat je moet doen is betaal de $ 99 aan Verisign (nu Symantec) en laat een sleutel verifiëren door Verisign. We deden het voor de Linux Foundation, en het enige wat ze willen doen is het hoofdkantoor bellen om te verifiëren. De sleutel keert terug in een URL die in uw browser is geïnstalleerd, maar standaard Linux SSL-tools kunnen worden gebruikt om deze uit te pakken en het gebruikelijke PEM-certificaat en -sleutel te maken. Het heeft niets te maken met UEFI-ondertekening, maar wordt gebruikt om het systeem te valideren systeemdev Microsoft dat je bent wie je zegt dat je bent. Voordat u een sysdev-account kunt maken, moet u deze testen het ondertekenen van een uitvoerbaar bestand dat ze u geven en het uploaden. Ze stellen strikte eisen dat u het ondertekent op een specifiek Windows-platform, maar sbsign het werkte tenminste en bingo onze account is gemaakt.
Nadat het account is gemaakt, kunt u nog steeds geen UEFI-binaire bestanden uploaden om te ondertekenen zonder eerst teken een papieren contract. De overeenkomsten zijn erg omslachtig, inclusief veel uitgesloten licenties (inclusief alle GPL's voor stuurprogramma's, maar niet voor bootloaders). Het meest bezwarende deel is dat de afspraken lijken te komen buiten de UEFI-objecten die u ondertekent. Advocaten van de Linux Foundation concludeerden dat het grotendeels onschadelijk is voor de LF omdat we geen producten verkopen, maar het kan walgelijk zijn voor andere bedrijven. Volgens Matthew Garrett is Microsoft bereid om speciale deals te sluiten met distributies om een aantal van die problemen te verminderen.
Zodra de overeenkomsten zijn ondertekend, is het echte technisch plezier. U kunt niet zomaar een UEFI-binair bestand uploaden en laten ondertekenen. Eerst moet je wikkel het in een .cab-bestand. Gelukkig is er een open source-project dat cabinetbestanden genaamd lcab kan maken. Dan moet je onderteken het .cab-bestand met de Verisign-sleutel. Nogmaals, er is een ander open source-project dat dat kan doen: osslsigncode. Voor iedereen die deze tools nodig heeft, zijn ze beschikbaar in mijn openSuse Build Service UEFI-repository. Het laatste probleem is dat het uploaden van het bestand vereist zilverlicht. Helaas lijkt maanlicht niet te werken en zelfs met versie 4 preview wordt de upload box leeg dus het is tijd om Windows 7 te gebruiken onder een kvm (op kernel gebaseerde virtuele machine). Wanneer u bij dat deel komt, moet u ook verklaren dat het binaire bestand 'moet worden ondertekend, mag niet worden gelicentieerd onder GPLv3 of vergelijkbare open source-licenties”. Ik neem aan dat het is uit angst voor belangrijke openbaarmaking, maar het is helemaal niet duidelijk (hetzelfde geldt voor "soortgelijke open source-licenties").
Zodra het uploaden is voltooid, stopt het cabinetbestand door zeven fasen. Helaas bleef de eerste testklim opgesloten in fase 6 (de handtekening van de bestanden). Na 6 dagen stuurde ik een ondersteuningsmail naar Microsoft met de vraag wat er aan de hand was. Het antwoord: “De foutcode die door het ondertekeningsproces wordt gegenereerd, is dat uw bestand is geen geldige Win32-toepassing. Is het een geldige Win32-applicatie? ”. Antwoord: uiteraard niet, het is een geldig 64 bit UEFI binair bestand. Er waren geen antwoorden meer...
Ik heb het opnieuw geprobeerd. Deze keer ontving ik een download-e-mail voor het ondertekende bestand en dat zegt het bord het ondertekende is mislukt. Ik heb het gedownload en geverifieerd. Het binaire bestand werkt op het secureboot-platform en is ondertekend met de sleutel
subject = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
uitgever = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Ik vroeg de ondersteuning waarom het proces een mislukking aangaf, maar ik had een geldige download en na een golf van e-mails antwoordden ze: 'Gebruik dat bestand niet dat verkeerd getekend. Ik kom bij je terug. " Ik weet nog steeds niet wat het probleem is, maar als je naar het onderwerp van de ondertekeningssleutel kijkt, er staat niets in de sleutel om aan te geven aan de Linux Foundationdaarom vermoed ik dat het probleem is dat het binaire bestand is ondertekend met een generieke Microsoft-sleutel in plaats van een specifieke (en herroepbare) sleutel die is gekoppeld aan de Linux Foundation.
Dit is echter de status: we zullen blijven wachten tot Microsoft de Linux Foundation een ondertekende en gevalideerde pre-bootloader geeft. Wanneer dat gebeurt, wordt het geüpload naar de Linux Foundation-site zodat iedereen het kan gebruiken.
bron: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Trek uw conclusies, maar dit zal tijd kosten.
Als echt het probleem van pc's met win8 OEM die bij het UEFI-systeem worden geleverd, wordt opgelost door UEFI uit het BIOS uit te schakelen, lijkt het mij een fout dat zowel de Linux-stichting als Fedora, Ubuntu en ik niet weten welke andere distro, betalen voor het certificaat en accepteer de beperkingen opgelegd door Microsoft.
WE MOETEN STOPPEN MET LAMMEN !!!!!
maar ik weet dat Windows 8 niet wordt opgestart
Hehehe, niet eens een probleem. Nou ja, in ieder geval voor mij. Het is een persoonlijke mening, ik wil niemand beledigen.
UEFI kan niet worden uitgeschakeld vanuit het BIOS, aangezien UEFI de firmware is die het meer dan langdurige BIOS komt vervangen.
Waar we het over hebben is Secure Boot, een UEFI-functie die de authenticiteit verifieert van de software waarmee we de computer starten door middel van digitale handtekeningen, het is Secure Boot dat moet worden uitgeschakeld.
Het is niet zo eenvoudig als het uitschakelen van Secure Boot en dat is het, het is noodzakelijk dat de fabrikant heeft overwogen om een menu op te nemen waarmee gebruikers Secure Boot kunnen uitschakelen, als de fabrikant niet wil dat het wordt uitgeschakeld, zal het erg moeilijk zijn voor de gebruiker om dit te kunnen doen, mogelijk tot het uiterste dat de moederbordfirmware moet worden vervangen door een niet-officiële.
De oplossing van de Linux Foundation zou een 'universele' oplossing zijn voor alle hardware die door deze ziekte is getroffen en zou het mogelijk maken dat elk systeem wordt geïnstalleerd door slechts één enkele digitale handtekening te betalen, wat hen zeker bang maakt en waarom ze zo vaak bidden.
«Het is niet zo eenvoudig als het uitschakelen van Secure Boot en dat is het, het is noodzakelijk dat de fabrikant heeft overwogen om een menu op te nemen waarmee gebruikers Secure Boot kunnen uitschakelen, als de fabrikant niet wil dat het wordt uitgeschakeld, zal het erg zijn ingewikkeld voor de gebruiker om het te kunnen doen, »
Dus wat u moet doen, is een campagne voor digitale geletterdheid waarin aan gebruikers wordt uitgelegd dat ze computers met dat kenmerk eisen en zo niet, dan kopen ze andere.
Dit alles is om geld te verdienen door te valideren wat wel en niet kan opstarten met veilig opstarten.
Totale incompetentie is niet te onderscheiden van slechte bedoelingen.
Hoewel er een beroemde uitdrukking is van Robert J. Hanlon die zegt: "Schrijf nooit iets toe aan kwaadaardigheid dat afdoende wordt verklaard door domheid", in het specifieke geval van Microsoft, zoveel dwaze moeilijkheden voor een zogenaamd goed bedacht en bedacht proces voor een betere security blijft de indruk wekken dat ze de Linux Foundation hinderen, zodat linux niet op nieuwe pc's met UEFI geïnstalleerd kan worden, zodat Microsoft geen concurrentie heeft.
Precies. Ik hou niet van het idee, een veronderstelde veilige start ... Het maakt me bang. Het lijkt mij dat Microsoft zeer ... maffia-doeleinden heeft.
Ik ben Microsoft en zijn manipulaties meer dan beu, en ik ben zelfs bang voor zijn bedoelingen, en ik ben het beu om te doen alsof ze elk van de pc's of apparaten op de markt domineren.
Ik hoop dat Linux massaal van de grond komt en de overhand krijgt onder eindgebruikers, en dat Windows eindelijk gemarginaliseerd wordt, totaal, voor de OS-onzin die het is.
Dit doet me denken aan het patent dat aan Microsoft is verleend waardoor het systeem standaard beperkt is, en om het volledige potentieel te benutten of een programma van derden te installeren, zijn licenties nodig waarvoor de gebruiker of de gebruikers natuurlijk te betalen Derde partijen die willen dat hun applicaties op het besturingssysteem worden geïnstalleerd. Dat ze het nog niet hebben geïmplementeerd, betekent niet dat ze het niet van plan zijn, en ik krijg de indruk dat UEFI de weg hiervoor voorbereidt.
Wat me verbaast is dat 64bist binaries falen en 32bit binaries forceren…. Ze zijn retrograde, er zijn nauwelijks nieuwe 86-bit x32 architectuurprocessors op de markt. Het zou op 64 bits moeten werken.
uu
De digitale handtekening of beveiligd opstarten probeert te voorkomen dat "iets" anders dan het systeem opstart. Het is ook bedoeld om zogenaamde piraterij of illegaal kopiëren van propriëtaire software te voorkomen.
Het uitvoeren van een analyse en het doen van een beetje onderzoek naar de zogenaamde Win8-kluis met zijn veel geroemde veilige boot heeft zijn incompetentie aangetoond toen ze onlangs een beveiligingslek ontdekten.
Vanwege het bovenstaande en zonder een genie in de branche te hoeven zijn, met PhD's en anderen, kan worden afgeleid dat het slechts een marketingconcept is dat vergezeld gaat van het uitgangspunt van Microsoft om een gesloten appelachtig systeem te worden.
Persoonlijk herzien, raadplegen en bestuderen kan ik vanuit mijn persoonlijke perspectief zeggen dat UEFI / Secure Boot een fraude en oplichterij is die alleen bedoeld is om het project van Microsoft te dwingen en te ondersteunen om zijn ecosysteem volledig te sluiten, gebruikmakend van het feit dat het nog steeds bepaalde druk in het personal computersegment.
Deze vakantie ga ik een manier vinden om Microsoft aan te klagen. Ik haat ze.
Hehehe, als ik het verlangen en de tijd had, zou ik ze ook eisen. Het is een schending van de vrijheid. Tenzij ze een andere versie maken van de beruchte EULA waarin ze specificeren dat je door het contract te accepteren, ermee instemt geen andere software te installeren hehehe, wat me niet zou verbazen.
+1
We zullen zien hoe Microsoft het doet met zijn win8 en zijn UEFI / secureboot, misschien verliest het wat markt ten gunste van macbooks of chromebooks.
En wie weet, misschien zal er ooit een pc-fabrikant verschijnen ten gunste van linux en andere gratis systemen.
mmm, en als Linux-gemeenschappen zich op internetdag en programmeursdag 'manifesteerden', bijvoorbeeld voor een of andere hp-winkel (op zijn zachtst gezegd) hun waardering voor het merk toonden, maar hun onenigheid over het gebruik van vensters?
En als in die dagen het "install fest" naar de straten of openbare pleinen gaat?
De trieste realiteit is dat alle Linux-gebruikers samen een fractie van de Windows-gebruikers uitmaken, dus hardwarefabrikanten geven natuurlijk prioriteit aan het besturingssysteem met het hoogste marktaandeel. dus ik zie het onwaarschijnlijk dat een demonstratie dingen zal veranderen.
Naar mijn mening zou bijvoorbeeld het aantrekkelijker maken van Linux voor applicaties en games meer invloed kunnen hebben dan veel demonstraties tegen MS. Maar dit kost tijd (en middelen).
Het is prima om Micro $ oft en zijn Secure Boot aan te vallen, maar onthoud dat het de moederbordfabrikanten zijn die het standaard in de UEFI hebben opgenomen, alsof er maar één besturingssysteem is; Microsoft's ... ze hebben een verkeerde weg ingeslagen. Gezien het geval, lijkt het mij dat we in de toekomst gedwongen zullen worden om de UEFI van de boards te flashen met "vrijgegeven" versies zoals we dat vandaag doen met de ROM van bepaalde producten. Gelukkig is de vindingrijkheid van degenen die naar vrijheid streven sterker gebleken dan die van degenen die deze proberen uit te roeien.
Man ... Het is niet zo eenvoudig als de fabrikant om te kiezen om veilig opstarten in zijn hardware op te nemen, we moeten niet vergeten dat Microsoft een monopolie is, in feite is het HET monopolie en als fabrikant nee zeggen tegen Microsoft kan betekenen dat u geconfronteerd wordt met hun advocaten, de licentiekosten verhoogt waardoor uw apparatuur veel duurder wordt, of zelfs 80% van de binnenlandse markt verliest.
Het is niet dat ik ze verdedig, maar als iets Microsoft weet hoe het precies moet doen, is dat, opleggen op basis van afpersing en monopolie, de enige optie zou zijn dat alle fabrikanten of in ieder geval de meerderheid ermee instemmen en stil blijven staan bij een keer, maar dat is enorm moeilijk voor het gebeuren en een enkel bedrijf, hoe groot het ook is, zal twee keer nadenken voordat het zijn zaken op het spel zet, ongeacht hoe oneerlijk / sluipend / absurd waar Microsoft om vraagt.
Er is veel over dit onderwerp gepraat in verschillende blogs en forums, maar ik heb dagen om ergens over na te denken, misschien is het mijn dwaasheid, maar in het geval van DELL en HP (ik ken geen andere bedrijven) die Linux-machines verkopen , komt de beveiligde laars eraf?
Ik denk dat ik heb gelezen dat in deze gevallen de fabrikanten een dubbel UEFI / BIOS-systeem plaatsen zodat als je de UEFI uitschakelt je terugvalt op het BIOS. Dit zou natuurlijk de kosten moeten verhogen.
Uiteindelijk moet het BIOS zoals we het kennen verdwijnen ten gunste van UEFI of andere betere standaarden die worden aangenomen, omdat BIOS-technologie oud is en daarom beperkingen oplegt.
Heren, een handtekening onder de FSF-petitie over deze kwestie:
Wij, de ondertekenaars, dringen er bij alle computerfabrikanten die UEFI's zogenaamde "Secure Boot" implementeren op aan om dit te doen op een manier die de installatie van gratis besturingssystemen mogelijk maakt. Om de vrijheid van gebruikers te respecteren en hun veiligheid echt te beschermen, moeten fabrikanten computerbezitters toestaan opstartbeperkingen uit te schakelen, of een betrouwbaar systeem bieden om een gratis besturingssysteem naar keuze te installeren en uit te voeren. We beloven dat we geen computers zullen kopen of aanbevelen die deze kritische vrijheid van de gebruiker wegnemen, en dat we mensen in onze gemeenschappen actief zullen aanmoedigen om dergelijke gekooide systemen te vermijden.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Perfect, verzoek ondertekend en gedeeld met de LUG en de rest van het web, bedankt voor de reactie.