Приключения в подписи Microsoft UEFI

Мне довелось переводить эту статью, которую он написал Джеймс Боттомли, технический советник Linux Foundation, которые начали собирать предзагрузчик, чтобы вы могли загружать Linux.

Как я объяснял в своем предыдущем посте, у нас есть код для предзагрузчика Linux Foundation. Однако был задержка пока у нас был доступ к системе подписи Microsoft.

Первое, что нужно сделать, это заплатить 99 долларов Verisign (теперь Symantec) и иметь ключ, проверенный Verisign. Мы сделали это для Linux Foundation, и все, что им нужно, - это позвонить в штаб-квартиру для проверки. Ключ возвращается в виде URL-адреса, установленного в вашем браузере, но для его извлечения и создания обычного сертификата и ключа PEM можно использовать стандартные инструменты SSL Linux. Это не имеет ничего общего с подписью UEFI, но используется для проверки системы. системный разработчик Microsoft, что вы такой, какой вы себя называете. Прежде чем вы сможете создать учетную запись sysdev, вы должны ее протестировать подписывать исполняемый файл, который они вам дают, и загружать его. Они предъявляют строгие требования, чтобы вы подписали его на определенной платформе Windows, но, по крайней мере, это сработало, и наша учетная запись была создана.

После создания учетной записи вы по-прежнему не можете загружать двоичные файлы UEFI для подписи без предварительной подписать бумажный договор. Соглашения очень обременительны, включая множество исключенных лицензий (включая все GPL для драйверов, но не для загрузчиков). Самая обременительная часть заключается в том, что соглашения, кажется, приходят помимо подписываемых вами объектов UEFI. Адвокаты Linux Foundation пришли к выводу, что это в основном безвредно для LF, потому что мы не продаем продукты, но это может вызывать отвращение для других компаний. По словам Мэтью Гаррета, Microsoft готова заключать специальные сделки с дистрибутивами, чтобы смягчить некоторые из этих проблем.

После подписания соглашений настоящая техническое развлечение. Вы не можете просто загрузить двоичный файл UEFI и подписать его. Сначала тебе нужно заверните его в файл .cab. К счастью, есть проект с открытым исходным кодом, который может создавать CAB-файлы под названием lcab. Тогда вам нужно подпишите .cab файл ключом Verisign. Опять же, есть еще один проект с открытым исходным кодом, который может это сделать: osslsigncode. Для всех, кому нужны эти инструменты, они доступны в моем репозитории OpenSuse Build Service UEFI. Последняя проблема заключается в том, что загрузка файла требуется серебряный свет. К сожалению, лунный свет, похоже, не работает, и даже при предварительном просмотре версии 4 поле загрузки становится пустым, поэтому пришло время использовать windows 7 под kvm (виртуальная машина на основе ядра). Когда вы дойдете до этой части, вы также должны подтвердить, что двоичный файл «должен быть подписан, не должны лицензироваться по GPLv3 или аналогичным лицензиям с открытым исходным кодом». Я предполагаю, что это из-за страха раскрытия ключа, но это совсем не ясно (то же самое с «аналогичными лицензиями с открытым исходным кодом»).

После завершения загрузки CAB-файл останавливается через семь этапов. К сожалению, первое тестовое восхождение осталось заблокирован на стадии 6 (подпись файлов). Через 6 дней я отправил в Microsoft письмо службы поддержки с вопросом, что происходит. Ответ: «Код ошибки, вызванный процессом подписания, заключается в том, что ваш файл не является допустимым приложением Win32. Это действующее приложение Win32? ». Ответ: очевидно, нет, это действительный 64-битный двоичный код UEFI. Больше не было ответов...

Я попробовал еще раз. На этот раз я получил электронное письмо для загрузки подписанного файла, и на доске написано, что подписанный не удалось. Скачал и проверил. Бинарный файл работает на платформе secureboot и подписан ключом

subject = / C = US / ST = Вашингтон / L = Редмонд / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
эмитент = / C = US / ST = Вашингтон / L = Редмонд / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011

Я спросил службу поддержки, почему процесс показал сбой, но у меня была действующая загрузка, и после шквала писем они ответили: «Не используйте этот файл, который был неправильно подписанный. Я вернусь к тебе. " Я все еще не уверен, в чем проблема, но если вы посмотрите на тему ключа подписи, в ключе нет ничего, что можно было бы указать Linux Foundation, поэтому я подозреваю, что проблема в том, что двоичный файл подписан общим ключом Microsoft, а не конкретным (и отзывным) ключом, привязанным к Linux Foundation.

Тем не менее, это статус: мы продолжим ждать, пока Microsoft предоставит Linux Foundation подписанный и проверенный предзагрузчик. Когда это произойдет, он будет загружен на сайт Linux Foundation для всеобщего пользования.

источник: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/

Делайте выводы, но на это потребуется время.


25 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Роло сказал

    Если действительно проблема ПК с OEM-производителем win8, которые поставляются с системой UEFI, решена путем отключения UEFI из BIOS, мне кажется ошибкой, что как Linux Foundation, так и Fedora, Ubuntu и я не знаю, какой другой дистрибутив платит для сертификата и принимаете ограничения, наложенные Microsoft.

    НАМ НУЖНО ПРЕКРАТИТЬ БЫТЬ ЯГНЯТАМИ !!!!!

    1.    Зиг84 сказал

      но я знаю, что Windows 8 не загружается

      1.    Блэр Паскаль сказал

        Хехехе, это было неважно. Ну по крайней мере для меня. Это личное мнение, не хочу никого обидеть.

    2.    Shiba87 сказал

      UEFI не может быть отключен из BIOS, поскольку UEFI - это прошивка, которая приходит на замену более чем долговечному BIOS.

      Речь идет о безопасной загрузке, функции UEFI, которая проверяет подлинность программного обеспечения, с которым мы запускаем компьютер, с помощью цифровых подписей, именно безопасную загрузку следует отключить.

      Это не так просто, как отключить безопасную загрузку, и все, необходимо, чтобы производитель рассмотрел возможность включения меню, которое позволяет пользователям отключать безопасную загрузку, если производитель не хочет, чтобы она была отключена, это будет очень сложно. для того, чтобы пользователь мог сделать это, возможно, доходит до крайности необходимости заменить прошивку материнской платы на неофициальную.

      Решение Linux Foundation было бы «универсальным» решением для любого оборудования, пораженного этой болезнью, и позволило бы установить любую систему с единственной цифровой подписью только один раз, что, безусловно, их пугает и почему они так много молятся

      1.    MSX сказал

        «Это не так просто, как отключить безопасную загрузку, и все, необходимо, чтобы производитель рассмотрел возможность включения меню, которое позволяет пользователям отключать безопасную загрузку, если производитель не хочет, чтобы она была отключена, это будет очень сложно для пользователя сделать это »,

        Итак, что вам нужно сделать, так это провести кампанию цифровой грамотности, в которой пользователям объясняют, что они требуют компьютеры с этой характеристикой, а вместо этого покупают другие.

      2.    тарегон сказал

        Все это делается для того, чтобы зарабатывать деньги, проверяя, что можно, а что нельзя загружать с безопасной загрузкой.

  2.   анти сказал

    Полная некомпетентность неотличима от дурных намерений.

  3.   Хьюго сказал

    Хотя есть известная фраза Роберта Дж. Хэнлона, которая гласит: «Никогда не приписывайте злому умыслу то, что адекватно объясняется глупостью», в конкретном случае Microsoft так много глупых трудностей якобы хорошо продуманный и продуманный процесс для лучшего безопасности, создается впечатление, что они мешают Linux Foundation, поэтому Linux не может быть установлен на новые ПК с UEFI, поэтому у Microsoft нет конкурентов.

    1.    Блэр Паскаль сказал

      Точно. Мне не нравится идея, предполагаемый безопасный старт ... Меня это пугает. Мне кажется, что у Microsoft очень ... мафиозные цели.

      1.    Бамлер сказал

        Я более чем устал от Microsoft и ее манипуляций, я даже боюсь ее намерений и устал от ее претензий на доминирование над каждым из компьютеров или устройств, существующих на рынке.

        Я надеюсь, что Linux перестанет массово распространяться и возьмет верх среди конечных пользователей, а Windows, наконец, будет полностью отстранена от всего дерьма ОС.

        1.    Хьюго сказал

          Это напоминает мне патент, предоставленный Microsoft, посредством которого система по умолчанию ограничена, и для раскрытия ее полного потенциала или установки любой сторонней программы необходимы лицензии, для которых, конечно, либо пользователь, либо пользователи имеют для оплаты третьим лицам, которые хотят, чтобы их приложения были установлены в операционной системе. То, что они его еще не реализовали, не означает, что они не собираются этого делать, и у меня сложилось впечатление, что UEFI готовит почву для этого.

  4.   Эрунамо ДЖАЗ сказал

    Что меня удивляет, так это то, что двоичные файлы 64bist терпят неудачу и вызывают 32-разрядные двоичные файлы…. Они ретроградные, новых 86-битных процессоров с архитектурой x32 на рынке практически нет. Он должен работать на 64 бита.

    уу

  5.   Хорхеманджаррезлерма сказал

    Цифровая подпись или безопасная загрузка пытаются предотвратить загрузку «чего-то», кроме системы. Это также сделано для того, чтобы избежать так называемого пиратства или незаконного копирования проприетарного программного обеспечения.

    Проведение анализа и некоторых исследований так называемого сейфа Win8 с его хваленой защищенной загрузкой показало его некомпетентность, поскольку они недавно обнаружили дыру в безопасности.

    Из-за вышесказанного и без необходимости быть отраслевым гением, с докторской степенью и другими, можно сделать вывод, что это всего лишь маркетинговая концепция, сопровождаемая предпосылкой Microsoft стать закрытой системой в стиле яблока.

    Лично просматривая, консультируясь и изучая, я могу сказать с моей личной точки зрения, что UEFI / Secure Boot - это мошенничество и мошенничество, которое направлено только на то, чтобы заставить и поддержать проект Microsoft, чтобы полностью закрыть свою экосистему, используя тот факт, что он все еще может выполнять определенные давление в сегменте персональных компьютеров.

  6.   Павлоко сказал

    В этот отпуск я найду способ подать в суд на Microsoft. Я ненавижу их.

    1.    Блэр Паскаль сказал

      Хехехе, если бы у меня было желание и время, я бы их тоже потребовал. Это нарушение свободы. Если только они не сделают другую версию печально известного EULA, где они укажут, что, принимая контракт, вы соглашаетесь не устанавливать какое-либо другое программное обеспечение lol, что меня не удивит.

    2.    Бамлер сказал

      +1

  7.   носфератукс сказал

    Мы посмотрим, как Microsoft поступит со своим Win8 и UEFI / secureboot, возможно, он потеряет часть рынка в пользу MacBook или Chromebook.

    И кто знает, может быть, однажды производитель компьютеров выступит в поддержку Linux и других бесплатных систем.

  8.   носфератукс сказал

    ммм, и если сообщества linux «проявились» в день Интернета и дня программиста, например, перед каким-нибудь магазином hp (мягко говоря), демонстрируя свою признательность к бренду, но свое несогласие с использованием Windows?

    А если в те времена «инсталляционный фестиваль» выходит на улицы или площади?

    1.    Хьюго сказал

      Печальная реальность такова, что все пользователи Linux вместе составляют небольшую часть пользователей Windows, поэтому производители оборудования, естественно, отдают приоритет операционной системе с наибольшей долей рынка. поэтому я считаю маловероятным, что демонстрация что-то изменит.

      На мой взгляд, например, превращение Linux в более привлекательную платформу для приложений и игр могло бы иметь большее влияние, чем многие демонстрации против MS. Но это требует времени (и ресурсов).

  9.   Чарли Браун сказал

    Можно атаковать Micro $ oft и его безопасную загрузку, но помните, что именно производители материнских плат включили его по умолчанию в UEFI, как если бы была только одна ОС; Microsoft ... они пошли по неверному пути. Принимая во внимание этот случай, мне кажется, что в будущем мы будем вынуждены прошивать UEFI плат с «выпущенными» версиями, как мы это делаем сегодня с ПЗУ некоторых продуктов. К счастью, изобретательность тех, кто стремится к свободе, оказалась сильнее, чем изобретательность тех, кто стремится ее искоренить.

    1.    Shiba87 сказал

      Чувак ... Это не так просто, как выбор производителя, включать или не включать безопасную загрузку в свое оборудование, мы не должны забывать, что Microsoft - это монополия, на самом деле это монополия, и как производитель, говоря нет Microsoft может означать, что вам придется столкнуться с их юристами, увеличить стоимость лицензий, которые сделают ваше оборудование намного дороже, или даже потерять 80% внутреннего рынка.

      Дело не в том, что он их защищает, но если что-то Microsoft знает, как это сделать, это именно то, что навязывает, основанное на вымогательстве и монополии, единственный вариант для всех производителей или, по крайней мере, большинства, - согласиться и немедленно прекратить свои действия, но Это чрезвычайно сложно для этого, и отдельная компания, независимо от того, насколько она велика, дважды подумает, прежде чем рисковать своим бизнесом, независимо от того, насколько несправедливо / ползучий / абсурдно то, что просит Microsoft.

  10.   Alf сказал

    На эту тему было много разговоров в различных блогах и форумах, но у меня есть дни, когда я думаю о чем-то, может быть, это моя глупость, но в случае DELL и HP (я не знаю других компаний), которые продают Linux-машины , оторвется ли безопасная загрузка?

    1.    Хьюго сказал

      Думаю, я читал, что в этих случаях производители устанавливают систему с двумя UEFI / BIOS, так что, если вы отключите UEFI, вы вернетесь к BIOS. Это, естественно, должно увеличить расходы.

      В конце концов, BIOS должен исчезнуть в том виде, в каком мы его знаем, в пользу UEFI или других более совершенных стандартов, которые, как считается, потому что технология BIOS устарела и поэтому накладывает ограничения.

  11.   Shiba87 сказал

    Господа, подпись под петицией ФСПО по этому поводу:

    Мы, подписавшие, призываем всех производителей компьютеров, которые реализуют так называемую «безопасную загрузку» UEFI, сделать это таким образом, чтобы можно было устанавливать бесплатные операционные системы. Чтобы уважать свободу пользователей и по-настоящему защитить их безопасность, производители должны разрешить владельцам компьютеров отключать ограничения загрузки или предоставить надежную систему для установки и запуска бесплатной операционной системы по их выбору. Мы обязуемся не покупать и не рекомендовать компьютеры, которые лишают пользователя этой критически важной свободы, и что мы будем активно поощрять людей в наших сообществах избегать использования таких закрытых систем.

    http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement

    1.    MSX сказал

      Отлично, запрос подписан и предоставлен LUG и остальной части Интернета, спасибо за комментарий.