Jeg oversetter tilfeldigvis denne artikkelen som han skrev James Bottomley, teknisk rådgiver for Linux Foundation, som begynte å sette sammen en pre-bootloader slik at du kan starte Linux.
Som jeg forklarte i mitt forrige innlegg, har vi koden for Linux Foundation pre-bootloader på plass. Imidlertid var det en forsinkelse mens vi hadde tilgang til Microsofts signeringssystem.
Den første tingen å gjøre er betale $ 99 til Verisign (nå Symantec) og få en nøkkel bekreftet av Verisign. Vi gjorde det for Linux Foundation, og alt de vil gjøre er å ringe hovedkvarter for å bekrefte. Nøkkelen returnerer i en URL som er installert i nettleseren din, men standard Linux SSL-verktøy kan brukes til å trekke den ut og opprette det vanlige PEM-sertifikatet og nøkkelen. Det har ingenting med UEFI-signering å gjøre, men brukes til å validere systemet sysdev Microsoft at du er den du sier du er. Før du kan opprette en sysdev-konto, må du teste den signere en kjørbar de gir deg og laste den opp. De stiller strenge krav til at du signerer den på en bestemt Windows-plattform, men sbsign fungerte i det minste og bingo vår konto ble opprettet.
Når kontoen er opprettet, kan du fortsatt ikke laste opp UEFI-binærfiler for å signere uten først signere en papirkontrakt. Avtalene er veldig belastende, inkludert mange ekskluderte lisenser (inkludert alle GPL-er for drivere, men ikke for bootloadere). Den mest belastende delen er at avtalene ser ut til å komme utover UEFI-objektene du signerer. Advokater for Linux Foundation konkluderte med at det for det meste er ufarlig for LF fordi vi ikke selger produkter, men det kan være ekkelt for andre selskaper. I følge Matthew Garrett er Microsoft villig til å forhandle om spesielle avtaler med distribusjoner for å dempe noen av disse problemene.
Når avtalene er signert, den virkelige teknisk moro. Du kan ikke bare laste opp en UEFI-binær og få den signert. Først må du pakk den inn i en .cab-fil. Heldigvis er det et open source-prosjekt som kan lage kabinettfiler kalt lcab. Da må du signere .cab-filen med Verisign-nøkkelen. Igjen er det et annet open source-prosjekt som kan gjøre det: osslsigncode. For alle som trenger disse verktøyene, er de tilgjengelige i mitt openSuse Build Service UEFI-depot. Det siste problemet er at du laster opp filen krever silverlight. Dessverre ser ikke måneskinn ut til å fungere, og selv med forhåndsvisning av versjon 4 blir opplastingsboksen tom, så det er på tide å bruke Windows 7 under en kvm (kjernebasert virtuell maskin). Når du kommer til den delen, må du også bekrefte at binæren “som skal signeres, må ikke være lisensiert under GPLv3 eller lignende open source-lisenser”. Jeg antar at det er av frykt for nøkkelinformasjon, men det er ikke klart i det hele tatt (det samme med "lignende open source-lisenser").
Når opplastingen er fullført, stopper kabinettfilen gjennom syv trinn. Dessverre ble den første testklatringen værende låst i trinn 6 (signaturen til filene). Etter 6 dager sendte jeg en support-e-post til Microsoft og spurte hva som skjedde. Svaret: “Feilkoden som ble kastet av signeringsprosessen er at filen din er ikke et gyldig Win32-program. Er det et gyldig Win32-program? ”. Svar: åpenbart ikke, det er en gyldig 64-bit UEFI-binær. Det var ikke flere svar...
Jeg prøvde igjen. Denne gangen mottok jeg en nedlastings-e-post for den signerte filen, og styret sier det den signerte mislyktes. Jeg lastet ned den og bekreftet. Binæren fungerer på Secure Boot-plattformen og er signert med nøkkelen
subject = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
utsteder = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Jeg spurte støtten hvorfor prosessen indikerte en feil, men jeg hadde en gyldig nedlasting, og etter en mengde e-postmeldinger svarte de "ikke bruk den filen som var feil signert. Jeg kommer tilbake til deg. " Jeg er fortsatt ikke sikker på hva problemet er, men hvis du ser på emnet til signeringsnøkkelen, det er ingenting i nøkkelen som kan indikere Linux FoundationDerfor mistenker jeg at problemet er at binærsystemet er signert med en generisk Microsoft-nøkkel i stedet for en spesifikk (og tilbakekallbar) nøkkel knyttet til Linux Foundation.
Dette er imidlertid status: Vi vil fortsette å vente på at Microsoft skal gi Linux Foundation en signert og validert pre-bootloader. Når det skjer, blir det lastet opp til Linux Foundation-nettstedet slik at alle kan bruke det.
Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Trekk konklusjonene dine, men dette kommer til å ta tid.
Hvis problemet med PCer med win8 OEM som følger med UEFI-systemet, løses ved å deaktivere UEFI fra BIOS, virker det som en feil for meg at både Linux-stiftelsen og Fedora, Ubuntu og jeg ikke vet hvilken annen distro, betaler for sertifikatet og godtar begrensningene pålagt av Microsoft.
VI MÅ SLUTTE Å VÆRE LAMMER !!!!!
men jeg vet at Windows 8 forblir ubemerket
Hehehe, ikke en gang en stor sak. I det minste for meg. Det er en personlig mening, jeg vil ikke fornærme noen.
UEFI kan ikke deaktiveres fra BIOS, siden UEFI er fastvaren som kommer til å erstatte mer enn langvarig BIOS.
Det vi snakker om er Secure Boot, en UEFI-funksjon som verifiserer ektheten til programvaren som vi starter datamaskinen med gjennom digitale signaturer. Det er Secure Boot som skal deaktiveres.
Det er ikke så enkelt som å deaktivere Secure Boot, og det er det, det er nødvendig at produsenten har vurdert å inkludere en meny som lar brukerne deaktivere Secure Boot, hvis produsenten ikke vil at den skal deaktiveres, vil det være veldig komplisert for brukeren å kunne gjør det, muligens til det ytterste for å måtte erstatte hovedkortets firmware med en uoffisiell.
Linux Foundation-løsningen vil være en "universell" løsning for maskinvare som er berørt av denne sykdommen, og vil tillate at ethvert system blir installert og kun betaler en enkelt digital signatur en gang, noe som sikkert skremmer dem og hvorfor de gjør så mye av be
«Det er ikke så enkelt som å deaktivere Secure Boot, og det er det, det er nødvendig at produsenten har vurdert å inkludere en meny som lar brukerne deaktivere Secure Boot. Hvis produsenten ikke vil at den skal deaktiveres, vil det være veldig komplisert for brukeren å kunne gjøre det, »
Så det du må gjøre er en digital kompetanse-kampanje der det blir forklart for brukerne at de krever datamaskiner med den egenskapen, og hvis ikke de kjøper andre.
Alt dette er å tjene penger ved å validere hva som kan og ikke kan starte med sikker oppstart.
Total inkompetanse kan ikke skilles fra dårlige intensjoner.
Mens det er en kjent setning av Robert J. Hanlon som sier: "Aldri attribuere til ondskap det som er tilstrekkelig forklart av dumhet", i det spesielle tilfellet av Microsoft, så mange dumme vanskeligheter til en antatt godt unnfanget og utviklet prosess for en Bedre sikkerhet, det gir stadig inntrykk av at de hindrer Linux Foundation slik at linux ikke kan installeres på nye PCer med UEFI, slik at Microsoft ikke har noen konkurranse.
Nøyaktig. Jeg liker ikke ideen, en antatt trygg start ... Det skremmer meg. Det ser ut til at Microsoft har veldig ... mafiaformål.
Jeg er mer enn lei av Microsoft og dets manipulasjoner, og jeg er til og med redd for intensjonene, og lei av at det later til å dominere hver av PCene eller enhetene som finnes på markedet.
Jeg håper at Linux er ferdig med å ta av masse og råder blant sluttbrukere, og Windows er endelig marginalisert, totalt, for OS-dritten som det er.
Dette minner meg om patentet til Microsoft som standardsystemet er begrenset for, og for å låse opp det fulle potensialet eller installere et tredjepartsprogram, er lisenser nødvendig som selvfølgelig brukeren eller brukerne må betale. Tredjeparter som ønsker at applikasjonene deres skal installeres på operativsystemet. At de ikke har implementert det ennå, betyr ikke at de ikke har tenkt det, og jeg får inntrykk av at UEFI forbereder grunnen til dette.
Det som overrasker meg er at 64bist-binærfiler mislykkes og tvinger 32-bits binærfiler ... De er retrograd, det er knapt noen nye 86-biters x32 arkitekturprosessorer på markedet. Det skal fungere på 64bits.
uu
Den digitale signaturen eller den sikre oppstarten prøver å forhindre at "noe" annet enn systemet starter opp. Det er også for å unngå såkalt piratkopiering eller ulovlig kopiering av proprietær programvare.
Å gjøre en analyse og gjøre litt undersøkelser på den såkalte Win8 safe med sin mye hylte sikre boot har vist sin inkompetanse da de nylig oppdaget et sikkerhetshull.
På grunn av det ovennevnte og uten å måtte være et bransjens geni, med doktorgrader og andre, kan det utledes at det bare er et markedsføringskonsept ledsaget av Microsofts premiss om å bli et lukket eple-stil-system.
Personlig gjennomgang, rådgivning og studier kan jeg si fra mitt personlige perspektiv at UEFI / Secure Boot er en svindel og en svindel som bare tar sikte på å tvinge og støtte Microsofts prosjekt for å lukke økosystemet fullstendig, og utnytte det faktum at det fortsatt kan utøve visse press i personal computing-segmentet.
Denne ferien skal jeg finne en måte å saksøke Microsoft på. Jeg hater dem.
Hehehe, hvis jeg hadde lyst og tid, ville jeg kreve dem også. Det er et brudd på friheten. Med mindre de lager en annen versjon av den beryktede EULA der de spesifiserer at ved å godta kontrakten, godtar du ikke å installere annen programvare hehehe, noe som ikke ville overraske meg.
+1
Vi får se hvordan microsoft gjør med win8 og UEFI / secureboot, kanskje det mister noe marked til fordel for macbook eller chromebook.
Og hvem vet, kanskje en dag vil en PC-produsent dukke opp der til fordel for linux og andre gratis systemer.
mmm, og hvis linux-samfunn "manifesterte" seg på internettdagen og programmørdagen, for eksempel foran en eller annen hp-butikk (mildt sagt) som viser sin takknemlighet for merkevaren, men deres uenighet med å bruke windows?
Og hvis "installasjonsfesten" i disse dager går ut på gatene eller offentlige torg?
Den triste virkeligheten er at alle Linux-brukere til sammen utgjør en brøkdel av Windows-brukere, så maskinvareprodusenter prioriterer naturlig nok operativsystemet med den høyeste markedsandelen. så jeg ser det lite sannsynlig at en demonstrasjon vil forandre ting.
Etter min mening kan for eksempel å gjøre Linux til en mer attraktiv plattform for applikasjoner og spill ha mer innflytelse enn mange demonstrasjoner mot MS. Men dette tar tid (og ressurser).
Det er greit å angripe Micro $ ofte og Secure Boot, men husk at det er hovedkortprodusentene som har tatt det med som standard i UEFI, som om det bare var ett operativsystem; Microsofts ... de har gått feil vei. Tatt i betraktning saken ser det ut til at vi i fremtiden vil bli tvunget til å blinke UEFI av tavlene med "utgitte" versjoner som vi gjør i dag med ROM for visse produkter. Heldigvis har oppfinnsomheten til de som ønsker frihet vist seg sterkere enn den som søker å utrydde den.
Mann .... Det er ikke så enkelt som produsenten å velge om sikker oppstart skal inkluderes i maskinvaren, ikke må vi glemme at Microsoft er et monopol, faktisk er det monopolet og som produsent kan det å si nei til Microsoft bety fra å måtte møte advokatene, øke kostnadene for lisenser som gjør utstyret ditt mye dyrere, eller til og med miste 80% av hjemmemarkedet.
Det er ikke det det forsvarer dem, men hvis noe Microsoft vet hvordan man gjør er nettopp det, pålegge på grunnlag av utpressing og monopol, vil det eneste alternativet være at alle produsenter eller i det minste flertallet er enige og stopper det med en gang, men det er enormt vanskelig for det å skje, og et enkelt selskap, uansett hvor stort det er, vil tenke seg om to ganger før de risikerer sin virksomhet, uansett hvor urettferdig / snikende / absurd det Microsoft ber om.
Det har vært mye snakk om dette problemet i forskjellige blogger og fora, men jeg har dager på å tenke på noe, kanskje det er min dårskap, men når det gjelder DELL og HP (jeg kjenner ikke andre selskaper) som selger Linux-maskiner, gjør den den sikre oppstarten vil den komme av?
Jeg tror jeg har lest at produsentene i disse tilfellene plasserer et dobbelt UEFI / BIOS-system slik at hvis du deaktiverer UEFI, vil du komme tilbake til BIOS. Dette burde naturlig øke kostnadene.
Til slutt må BIOS forsvinne slik vi kjenner det til fordel for UEFI eller andre bedre standarder som man tror, fordi BIOS-teknologi er gammel og derfor pålegger begrensninger.
Mine herrer, en signatur til FSF-begjæringen om denne saken:
Vi, undertegnerne, oppfordrer alle dataprodusenter som implementerer UEFIs såkalte "Secure Boot" til å gjøre det på en måte som gjør det mulig å installere gratis operativsystemer. For å respektere brukerens frihet og virkelig beskytte deres sikkerhet, må produsenter tillate datameiere å deaktivere oppstartsbegrensninger, eller tilby et pålitelig system for å installere og kjøre et gratis operativsystem etter eget valg. Vi lover at vi ikke vil kjøpe eller anbefale datamaskiner som tar bort denne kritiske friheten fra brukeren, og at vi aktivt vil oppmuntre folk i samfunnene våre til å unngå slike bursystemer.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Perfekt, forespørsel signert og delt med LUG og resten av nettet, takk for kommentaren.