Aventurile în semnătura UEFI a Microsoft

Se întâmplă să traduc acest articol pe care l-a scris el James Bottomley, consilier tehnic al Linux Foundation, care a început să pună cap la cap un pre-bootloader pentru a putea porni Linux.

După cum am explicat în postarea mea anterioară, avem la dispoziție codul pentru pre-bootloader-ul Linux Foundation. Cu toate acestea, a existat un întârziere în timp ce aveam acces la sistemul de semnare Microsoft.

Primul lucru de făcut este plătiți 99 USD către Verisign (acum Symantec) și au o cheie verificată de Verisign. Am făcut-o pentru Linux Foundation și tot ce vor să facă este să sune la sediul central pentru a verifica. Cheia revine într-o adresă URL instalată în browserul dvs., dar instrumentele standard SSL Linux pot fi folosite pentru a o extrage și a crea un certificat și o cheie PEM obișnuite. Nu are nicio legătură cu semnarea UEFI, dar este utilizată pentru validarea sistemului sysdev Microsoft că ești cine spui că ești. Înainte de a putea crea un cont sysdev, trebuie să-l testați semnând un executabil pe care vi-l oferă și încărcându-l. Acestea impun cerințe stricte ca să îl semnați pe o anumită platformă Windows, dar sbsign cel puțin a funcționat și bingo a fost creat contul nostru.

Odată ce contul este creat, nu puteți încărca încă binare UEFI pentru semnare fără mai întâi semnează un contract pe hârtie. Acordurile sunt foarte oneroase, incluzând o mulțime de licențe excluse (inclusiv toate GPL-urile pentru drivere, dar nu și pentru bootloadere). Cea mai grea parte este că acordurile par să ajungă dincolo de obiectele UEFI pe care le semnați. Avocații pentru Linux Foundation au concluzionat că este în mare parte inofensiv pentru LF deoarece nu vindem produse, dar poate fi dezgustător pentru alte companii. Potrivit lui Matthew Garrett, Microsoft este dispusă să negocieze acorduri speciale cu distribuții pentru a atenua unele dintre aceste probleme.

Odată ce acordurile sunt semnate, realul distracție tehnică. Nu puteți încărca doar un binar UEFI și să îl semnați. Mai întâi trebuie înfășurați-l într-un fișier .cab. Din fericire, există un proiect open source care poate crea fișiere cabinet numite lcab. Atunci trebuie semnează fișierul .cab cu tasta Verisign. Din nou, există un alt proiect open source care poate face acest lucru: osslsigncode. Pentru oricine are nevoie de aceste instrumente, acestea sunt disponibile în depozitul meu openSuse Build Service UEFI. Ultima problemă este că încărcarea fișierului necesită silverlight. Din păcate, lumina lunii pare să nu funcționeze și chiar și cu previzualizarea versiunii 4, caseta de încărcare rămâne necompletată este timpul să folosiți Windows 7 sub un kvm (mașină virtuală bazată pe kernel). Când ajungeți la acea parte, trebuie să certificați că binarul „care urmează să fie semnat, nu trebuie să fie licențiat sub GPLv3 sau licențe open source similare”. Presupun că este de teama dezvăluirii cheii, dar nu este deloc clar (la fel cu „licențe open source similare”).

După finalizarea încărcării, fișierul cabinet se oprește în șapte etape. Din păcate, primul test de urcare a rămas blocat în etapa 6 (semnătura dosarelor). După 6 zile am trimis un e-mail de asistență la Microsoft întrebându-mă ce se întâmplă. Răspunsul: „Codul de eroare aruncat de procesul de semnare este că fișierul dvs. nu este o aplicație Win32 validă. Este o aplicație Win32 validă? ”. Răspuns: evident că nu, este un binar UEFI pe 64 de biți valid. Nu mai existau răspunsuri...

Am încercat din nou. De data aceasta am primit un e-mail de descărcare pentru fișierul semnat și bordul spune asta semnatul a eșuat. L-am descărcat și l-am verificat. Binarul funcționează pe platforma secureboot și este semnat cu cheia

subject = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
emitent = / C = SUA / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011

Am cerut asistență de ce procesul a indicat un eșec, dar am avut o descărcare validă și, după o mulțime de e-mailuri, mi-au răspuns „nu folosiți fișierul care era semnat greșit. Ma voi intoarce la tine. " Încă nu sunt sigur care este problema, dar dacă te uiți la subiectul cheii de semnare, nu există nimic în cheie care să indice Linux Foundation, prin urmare, bănuiesc că problema este că binarul este semnat cu o cheie Microsoft generică mai degrabă decât cu o cheie specifică (și revocabilă) legată de Linux Foundation.

Cu toate acestea, acesta este starea: Vom continua să așteptăm ca Microsoft să ofere Linux Foundation un pre-bootloader semnat și validat. Când se întâmplă acest lucru, acesta va fi încărcat pe site-ul Linux Foundation pentru ca toți să îl poată folosi.

Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/

Trageți concluziile, dar acest lucru va necesita timp.


25 comentarii, lasă-le pe ale tale

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   Rolo el a spus

    Dacă problema PC-urilor cu win8 OEM care vine cu sistemul UEFI este rezolvată prin dezactivarea UEFI din BIOS, mi se pare o eroare că atât fundația Linux, cât și Fedora, Ubuntu și nu știu ce altă distribuție, plătesc certificatul și acceptă limitările impuse de Microsoft.

    TREBUIE SĂ OPRIM DE A FI MIELI !!!!!

    1.    sieg84 el a spus

      dar știu că Windows 8 rămâne fără pornire

      1.    Blaire pascal el a spus

        Hehehe, nici măcar mare lucru. Ei bine, cel puțin pentru mine. Este o părere personală, nu vreau să jignesc pe nimeni.

    2.    Shiba87 el a spus

      UEFI nu poate fi dezactivat din BIOS, deoarece UEFI este firmware-ul care vine să înlocuiască BIOS-ul mai mult decât de lungă durată.

      Despre ce vorbim este Secure Boot, o caracteristică UEFI care verifică autenticitatea software-ului cu care pornim computerul prin semnături digitale, este Secure Boot care ar trebui să fie dezactivat.

      Nu este la fel de simplu ca dezactivarea Secure Boot și atât, este necesar ca producătorul să aibă în vedere includerea unui meniu care să permită utilizatorilor să dezactiveze Secure Boot, dacă producătorul nu dorește dezactivarea acestuia, va fi foarte complicat pentru utilizator să poată faceți acest lucru, eventual ajungând la extremul în care trebuie să înlocuiți firmware-ul plăcii de bază cu unul neoficial.

      Soluția Linux Foundation ar fi o soluție „universală” pentru orice hardware afectat de această boală și ar permite instalarea oricărui sistem plătind o singură semnătură digitală o singură dată, ceea ce sigur îi sperie și de ce fac atât de mult roaga-te

      1.    MSX el a spus

        «Nu este la fel de simplu ca dezactivarea Secure Boot și atât, este necesar ca producătorul să aibă în vedere includerea unui meniu care să permită utilizatorilor să dezactiveze Secure Boot, dacă producătorul nu dorește ca acesta să fie dezactivat, va fi foarte complicat pentru utilizator să o pot face, »

        Deci, ceea ce trebuie făcut este o campanie de alfabetizare digitală, în care se explică utilizatorilor că cer computere cu această caracteristică și, în schimb, cumpără altele.

      2.    taregon el a spus

        Toate acestea sunt de a câștiga bani prin validarea a ceea ce poate și nu poate porni cu o încărcare sigură.

  2.   anti el a spus

    Incompetența totală nu se distinge de intențiile rele.

  3.   Hugo el a spus

    Deși există o celebră frază a lui Robert J. Hanlon care spune: „Nu atribui niciodată răutății ceea ce este explicat în mod adecvat de prostie”, în cazul particular al Microsoft, atâtea dificultăți stupide pentru un proces presupus bine conceput și conceput pentru un O securitate mai bună, dă impresia că împiedică Linux Foundation, astfel încât Linux să nu poată fi instalat pe PC-uri noi cu UEFI, astfel încât Microsoft să nu aibă concurență.

    1.    Blaire pascal el a spus

      Corect. Nu-mi place ideea, un presupus început sigur ... Mă sperie. Mi se pare că Microsoft are scopuri foarte ... mafiote.

      1.    bamler el a spus

        Sunt mai mult decât obosit de Microsoft și de manipulările sale și mă tem chiar de intențiile sale și m-am săturat că pretinde că domină fiecare dintre computerele sau dispozitivele care există pe piață.

        Sper că Linux va termina decolarea în masă și va predomina în rândul utilizatorilor finali, iar Windows va fi în cele din urmă marginalizat, total, pentru mizeria OS care este.

        1.    Hugo el a spus

          Acest lucru îmi amintește de brevetul acordat Microsoft prin care sistemul implicit este limitat și, pentru a-i debloca potențialul maxim sau pentru a instala orice program terț, sunt necesare licențe pentru care, desigur, fie utilizatorul, fie utilizatorii trebuie să plătească. terți care doresc ca aplicațiile lor să fie instalate pe sistemul de operare. Faptul că nu l-au implementat încă, nu înseamnă că nu intenționează, și am impresia că UEFI pregătește terenul pentru asta.

  4.   eunamoJAZZ el a spus

    Ceea ce mă surprinde este faptul că binarele 64bist eșuează și forțează binarele pe 32 biți ... Sunt retrograde, nu există cu greu noi procesoare de arhitectură x86 pe 32 de biți pe piață. Ar trebui să funcționeze la 64 de biți.

    uu

  5.   jorgemanjarrezlerma el a spus

    Semnătura digitală sau boot-ul securizat încearcă să împiedice „altceva” decât sistemul să pornească. Este, de asemenea, pentru a evita așa-numita piraterie sau copierea ilegală a software-ului proprietar.

    Efectuarea unei analize și cercetarea așa-numitului seif Win8 cu boot-ul său securizat mult lăudat și-a dovedit incompetența, deoarece au descoperit recent o gaură de securitate.

    Datorită celor de mai sus și fără a fi nevoie să fie un geniu al industriei, cu doctoranzi și alții, se poate deduce că este doar un concept de marketing însoțit de premisa Microsoft de a deveni un sistem închis în stilul mărului.

    Revizuirea personală, consultarea și studierea pot spune din perspectiva mea personală că UEFI / Secure Boot este o fraudă și o înșelătorie care își propune doar să forțeze și să susțină proiectul Microsoft de a-și închide ecosistemul complet, profitând de faptul că poate exercita încă anumite presiune în segmentul de calcul personal.

  6.   pavloco el a spus

    În această vacanță voi găsi o modalitate de a da în judecată Microsoft. Îi urăsc.

    1.    Blaire pascal el a spus

      Hehehe, dacă aș avea dorința și timpul, le-aș cere și eu. Este o încălcare a libertății. Cu excepția cazului în care fac o altă versiune a infamului EULA, în care specifică că acceptând contractul sunteți de acord să nu instalați niciun alt software lol, ceea ce nu m-ar surprinde.

    2.    bamler el a spus

      +1

  7.   nosferatux el a spus

    Vom vedea cum merge Microsoft cu win8-ul său și cu UEFI / secureboot, poate că va pierde o piață în favoarea MacBook-urilor sau Chromebook-urilor.

    Și cine știe, poate într-o bună zi va apărea vreun producător de PC-uri în favoarea Linux și a altor sisteme gratuite.

  8.   nosferatux el a spus

    mmm și dacă comunitățile Linux s-au „manifestat” în ziua internetului și în ziua programatorului, de exemplu, în fața unui magazin HP (pentru a spune cel puțin) care își arată aprecierea față de marcă, dar dezacordul lor cu utilizarea Windows?

    Și dacă în acele zile „instal fest” iese în stradă sau pe piețele publice?

    1.    Hugo el a spus

      Trista realitate este că toți utilizatorii de Linux combinate reprezintă o fracțiune din utilizatorii de Windows, astfel încât producătorii de hardware prioritizează în mod firesc sistemul de operare cu cea mai mare cotă de piață. așa că văd puțin probabil ca o demonstrație să schimbe lucrurile.

      În opinia mea, de exemplu, transformarea Linux într-o platformă mai atractivă pentru aplicații și jocuri ar putea avea mai multă influență decât multe demonstrații împotriva MS. Dar acest lucru necesită timp (și resurse).

  9.   Charlie Brown el a spus

    Este bine să ataceți Micro $ oft și Secure Boot-ul său, dar amintiți-vă că producătorii plăcilor de bază au inclus-o în mod implicit în UEFI, ca și când ar exista un singur sistem de operare; Microsoft ... au luat o cale greșită. Având în vedere cazul, mi se pare că în viitor vom fi obligați să intermitem UEFI-urile plăcilor cu versiuni „lansate” așa cum facem astăzi cu ROM-ul anumitor produse. Din fericire, ingeniozitatea celor care aspiră la libertate s-a dovedit mai puternică decât cea a celor care încearcă să o eradice.

    1.    Shiba87 el a spus

      Omul .... Nu este la fel de simplu ca producătorul să aleagă dacă include sau nu boot-ul securizat în hardware-ul său, nu trebuie să uităm că Microsoft este un monopol, de fapt este monopolul și, în calitate de producător, a spune că nu pentru Microsoft poate însemna să fie nevoit să înfruntați avocații, creșteți costul licențelor care vă scumpesc echipamentele sau chiar pierdeți 80% din piața internă.

      Nu este faptul că îi apăr, dar dacă ceva ce Microsoft știe să facă este tocmai acela, impune pe bază de extorcare și Monopol, singura opțiune ar fi ca toți producătorii sau cel puțin majoritatea să fie de acord și să-l oprească dintr-o dată, dar este extrem de dificil să se întâmple și o singură companie, oricât de mare ar fi, se va gândi de două ori înainte de a-și risca afacerea, indiferent cât de nedrept / târâtor / absurd este ceea ce cere Microsoft.

  10.   Alf el a spus

    S-a vorbit mult despre această problemă în diverse bloguri și forumuri, dar am zile întregi gândindu-mă la ceva, poate este o prostie a mea, dar, în cazul DELL și HP (nu cunosc alte companii) care vând mașini Linux, face boot-ul sigur se va desprinde?

    1.    Hugo el a spus

      Cred că am citit că în aceste cazuri producătorii plasează un sistem dual UEFI / BIOS, astfel încât, dacă dezactivați UEFI, veți reveni la BIOS. Acest lucru ar trebui să crească în mod natural costurile.

      În cele din urmă, BIOS-ul trebuie să dispară așa cum îl cunoaștem în favoarea UEFI sau a altor standarde mai bune care se cred, deoarece tehnologia BIOS este veche și, prin urmare, impune limitări.

  11.   Shiba87 el a spus

    Domnilor, o semnătură a petiției FSF în această privință:

    Noi, semnatarii, îi îndemnăm pe toți producătorii de computere care implementează așa-numita „Secure Boot” a UEFI să facă acest lucru într-un mod care să permită instalarea sistemelor de operare gratuite. Pentru a respecta libertatea utilizatorilor și a-și proteja cu adevărat siguranța, producătorii trebuie să permită proprietarilor de computere să dezactiveze restricțiile de pornire sau să ofere un sistem fiabil pentru a instala și a rula un sistem de operare gratuit la alegere. Ne angajăm că nu vom cumpăra sau recomanda computere care îi răpesc utilizatorului această libertate critică și că vom încuraja în mod activ oamenii din comunitățile noastre să evite aceste tipuri de sisteme în cușcă.

    http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement

    1.    MSX el a spus

      Perfect, cerere semnată și partajată cu LUG și restul web, mulțumesc pentru comentariu.