Náhodou preložím tento článok, ktorý napísal James Bottomley, technický poradca Linux Foundation, ktorí sa začali dávať dokopy pred zavedením, aby ste mohli zaviesť systém Linux.
Ako som vysvetlil v mojom predchádzajúcom príspevku, máme zavedený kód pre-bootloader Linux Foundation. Existovala však a meškanie zatiaľ čo sme mali prístup k podpisovému systému Microsoftu.
Prvá vec, ktorú musíte urobiť, je zaplatiť 99 dolárov spoločnosti Verisign (teraz Symantec) a nechajte si kľúč overiť spoločnosťou Verisign. Urobili sme to pre Linux Foundation a jediné, čo chcú, je zavolať na ústredie a overiť si to. Kľúč sa vracia v adrese URL, ktorá je nainštalovaná vo vašom prehliadači, ale na jeho extrakciu a vytvorenie obvyklého certifikátu a kľúča PEM je možné použiť štandardné nástroje Linux SSL. Nemá to nič spoločné s podpisom UEFI, ale slúži na overenie platnosti systému sysdev Microsoft, že ste tým, za koho sa považujete. Pred vytvorením účtu sysdev ho musíte otestovať podpísanie spustiteľného súboru, ktorý vám dajú, a jeho nahranie. Robia prísne požiadavky, aby ste to podpísali na konkrétnej platforme Windows, ale sbsign to aspoň fungovalo a bingo bolo vytvorené.
Po vytvorení účtu stále nemôžete nahrať binárne súbory UEFI na podpis bez predchádzajúceho prihlásenia podpísať papierovú zmluvu. Dohody sú veľmi náročné, vrátane mnohých vylúčených licencií (vrátane všetkých licencií GPL pre ovládače, nie však pre bootloadery). Najťažšou časťou je, že dohody akoby dospeli mimo objekty UEFI, ktoré podpisujete. Právnici pre Linux Foundation dospeli k záveru, že pre LF je to väčšinou neškodné, pretože nepredávame výrobky, ale môže to byť nechutné pre iné spoločnosti. Podľa Matthewa Garretta je Microsoft ochotný rokovať o zvláštnych dohodách s distribúciami, aby zmiernil niektoré z týchto problémov.
Akonáhle budú dohody podpísané, skutočné technická zábava. Nemôžete len nahrať binárny súbor UEFI a nechať ho podpísať. Najprv musíte zabaľte ho do súboru .cab. Našťastie existuje projekt s otvoreným zdrojom, ktorý dokáže vytvárať súbory kabinetu s názvom lcab. Potom musíte podpíšte súbor .cab kľúčom Verisign. Opäť existuje ďalší otvorený projekt, ktorý to dokáže: osslsigncode. Pre každého, kto tieto nástroje potrebuje, sú dostupné v mojom úložisku openSuse Build Service UEFI. Posledným problémom je načítanie súboru vyžaduje strieborné svetlo. Zdá sa, že mesačný svit bohužiaľ nefunguje a aj pri ukážke verzie 4 sa pole na nahrávanie vyprázdni, takže je čas použiť Windows 7 pod kvm (virtuálny stroj založený na jadre). Keď sa dostanete do tejto časti, musíte tiež potvrdiť, že binárny „podpis, nesmie mať licenciu podľa GPLv3 alebo podobných licencií otvoreného zdroja“. Predpokladám, že je to zo strachu pred zverejnením kľúča, ale nie je to vôbec jasné (to isté platí pre „podobné licencie typu open source“).
Po dokončení nahrávania sa súbor skrinky zastaví v siedmich fázach. Bohužiaľ, prvé testovacie stúpanie zostalo uzamknutý v 6. etape (podpis súborov). Po 6 dňoch som spoločnosti Microsoft poslal e-mail s podporou s otázkou, čo sa deje. Odpoveď: „Kód chyby vyvolaný procesom podpisovania je taký váš súbor nie je platnou aplikáciou Win32. Je to platná aplikácia Win32? “. Odpoveď: zjavne nie, je to platný 64-bitový binárny súbor UEFI. Viac odpovedí už nebolo...
Skúsil som to znova. Tentokrát som dostal podpísaný súbor na stiahnutie a doska to hovorí podpísaný zlyhal. Stiahol som to a overil. Binárny súbor funguje na platforme secureboot a je podpísaný kľúčom
subject = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
emitent = / C = USA / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Požiadal som podporu, prečo proces naznačoval zlyhanie, ale mal som platné stiahnutie a po návale e-mailov odpovedali „nepoužívajte ten súbor, ktorý bol neprávom podpísaná. Vrátim sa k vám. “ Stále si nie som istý, v čom je problém, ale ak sa pozriete na Predmet podpisového kľúča, v kľúči nie je nič, čo by naznačovalo Linux Foundation, preto mám podozrenie, že problém je v tom, že binárna verzia je podpísaná skôr všeobecným kľúčom spoločnosti Microsoft ako konkrétnym (a odvolateľným) kľúčom viazaným na Linux Foundation.
Toto je však stav: Budeme naďalej čakať na to, kým Microsoft dá Linux Foundation podpísaný a overený bootloader. Keď sa to stane, bude to nahrané na stránku Linux Foundation pre všetky použitie.
Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Urobte svoje závery, ale bude to chvíľu trvať.
Ak sa skutočne problém s počítačmi s procesorom win8 OEM dodávaným so systémom UEFI vyrieši vypnutím systému UEFI v systéme BIOS, zdá sa mi chybou, že tak nadácia Linux, ako aj Fedora, Ubuntu a neviem, ktorá iná distribúcia, platia pre certifikát a akceptujte obmedzenia stanovené spoločnosťou Microsoft.
MUSÍME prestať byť JAHNIAMI !!!!!
ale viem, že Windows 8 ostáva odštartovaný
Hehehe, ani veľký problém. Teda aspoň pre mňa. Je to osobný názor, nechcem nikoho uraziť.
V systéme BIOS nie je možné deaktivovať UEFI, pretože UEFI je firmvér, ktorý nahradí viac než dlhodobý systém BIOS.
Hovoríme o Secure Boot, funkcii UEFI, ktorá overuje autenticitu softvéru, pomocou ktorého počítač spúšťame prostredníctvom digitálnych podpisov, práve Secure Boot by mal byť zakázaný.
Nie je to také jednoduché ako vypnutie funkcie Secure Boot a to je všetko, je potrebné, aby výrobca zvážil zahrnutie ponuky, ktorá používateľom umožní vypnúť funkciu Secure Boot, ak výrobca nechce, aby bolo zakázané, bude to veľmi komplikované. aby to mohol používateľ urobiť, prípadne až do krajnosti, keď bude musieť vymeniť firmvér základnej dosky za neoficiálny.
Riešenie Linux Foundation by bolo „univerzálnym“ riešením pre akýkoľvek hardvér postihnutý touto chorobou a umožnilo by inštaláciu ľubovoľného systému s platbou jediného digitálneho podpisu iba raz, čo ich určite desí a prečo sa toľko modlia
«Nie je to také jednoduché ako vypnutie zabezpečeného spustenia a to je všetko, je potrebné, aby výrobca zvážil zahrnutie ponuky, ktorá používateľom umožní vypnúť zabezpečené spustenie, pokiaľ výrobca nechce, aby bolo vypnuté, bude veľmi užitočné komplikované pre používateľa, aby to dokázal, »
Čo teda treba urobiť, je kampaň zameraná na digitálnu gramotnosť, v rámci ktorej sa používateľom vysvetľuje, že požadujú počítače s touto funkciou a namiesto nich kupujú ďalšie.
Toto všetko je zarobiť si peniaze overením toho, čo sa môže a nemôže nabootovať pomocou zabezpečeného bootovania.
Totálna neschopnosť je na nerozoznanie od zlých úmyslov.
Aj keď existuje slávna fráza Roberta J. Hanlona, ktorá hovorí: „Nikdy neprisudzujte zlobe to, čo sa primerane vysvetľuje hlúposťou“, v konkrétnom prípade spoločnosti Microsoft toľko hlúpych ťažkostí údajne dobre koncipovanému a vymyslenému procesu pre lepšie bezpečnosť, stále budí dojem, že bránia Linux Foundation, aby na nových počítačoch s UEFI nemohol byť nainštalovaný linux, aby Microsoft nemal konkurenciu.
Presne. Nepáči sa mi táto myšlienka, predpokladaný bezpečný štart ... Desí ma to. Zdá sa mi, že Microsoft má veľmi ... mafiánske účely.
Som viac ako unavený z Microsoftu a jeho manipulácií a dokonca sa bojím jeho zámerov a unavuje ho predstieranie, že dominuje nad každým z počítačov alebo zariadení, ktoré existujú na trhu.
Dúfam, že Linux skončí hromadne a prevláda medzi koncovými používateľmi a Windows je konečne na okraji spoločnosti, pre všetky kecy OS, ktoré to sú.
Pripomína mi to patent udelený spoločnosti Microsoft, ktorým je obmedzený predvolený systém. Na uvoľnenie celého jeho potenciálu alebo na inštaláciu ľubovoľného programu tretej strany sú potrebné licencie, ktoré samozrejme musia platiť buď používatelia, alebo používatelia. Tretie strany, ktoré požadujú inštaláciu svojich aplikácií v operačnom systéme. To, že to ešte neimplementovali, ešte neznamená, že to nemajú v úmysle, a mám dojem, že UEFI na to pripravuje pôdu.
Čo ma prekvapuje je, že binárne súbory 64bist zlyhajú a vynútia si 32bitové binárne súbory…. Sú retrográdne, na trhu nie sú takmer žiadne nové 86-bitové procesory architektúry x32. Mal by fungovať na 64 bitoch.
uu
Digitálny podpis alebo bezpečné spustenie sa snaží zabrániť spusteniu „niečoho“ iného ako systému. Je to tiež preto, aby sa zabránilo takzvanému pirátstvu alebo nelegálnemu kopírovaniu chráneného softvéru.
Urobiť analýzu a vykonať prieskum takzvaného trezoru Win8 s jeho veľmi vychvaľovaným bezpečným bootovaním ukázalo jeho nekompetentnosť, pretože nedávno objavili bezpečnostnú dieru.
Z vyššie uvedeného a bez toho, aby to musel byť odborník v odbore doktorandov a ďalších, možno odvodiť, že ide iba o marketingový koncept sprevádzaný predpokladom spoločnosti Microsoft, že sa stane uzavretým systémom v štýle jabĺk.
Pri osobnom preskúmaní, konzultácii a štúdiu môžem z mojej osobnej perspektívy povedať, že UEFI / Secure Boot je podvod a podvod, ktorého cieľom je iba prinútiť a podporiť projekt spoločnosti Microsoft, aby úplne uzavrel svoj ekosystém, pričom využije skutočnosť, že stále môže vykonávať určité tlak v segmente osobných počítačov.
Túto dovolenku nájdem spôsob, ako žalovať spoločnosť Microsoft. Nenávidím ich.
Hehehe, keby som mal chuť a čas, vyžadoval by som ich tiež. Je to porušenie slobody. Pokiaľ teda neurobia inú verziu neslávne známej EULA, kde upresnia, že prijatím zmluvy dodržiavate neinštalovanie iného softvéru lol, čo by ma neprekvapilo.
+1
Uvidíme, ako si Microsoft poradí s win8 a UEFI / secureboot, možno stratí časť trhu v prospech macbooku alebo chromebooku.
A ktovie, možno sa jedného dňa objaví nejaký výrobca počítačov v prospech linuxu a ďalších bezplatných systémov.
mmm a ak sa linuxové komunity „prejavili“ napríklad v deň internetu a v deň programátora, pred nejakým HP obchodom (povedané) prejavujúc svoju vďaku za značku, ale nesúhlas s používaním systému Windows?
A ak v tých dňoch vyjde „install fest“ do ulíc alebo na verejné námestia?
Smutnou realitou je, že všetci používatelia systému Linux spolu tvoria zlomok používateľov systému Windows, takže výrobcovia hardvéru prirodzene uprednostňujú operačný systém s najvyšším podielom na trhu. takže vidím nepravdepodobné, že nejaká demonštrácia zmení veci.
Napríklad podľa môjho názoru môže mať napríklad Linux atraktívnejšiu platformu pre aplikácie a hry väčší vplyv ako mnoho demonštrácií proti MS. Ale to si vyžaduje čas (a zdroje).
Je v poriadku napadnúť Micro $ oft a jeho Secure Boot, ale nezabudnite, že sú to výrobcovia základných dosiek, ktorí ho štandardne zahrnuli do UEFI, akoby existoval iba jeden OS; Microsoft ... sa vydali zlou cestou. Ak vezmeme do úvahy prípad, zdá sa mi, že v budúcnosti budeme nútení flashovať UEFI dosiek s „vydanými“ verziami, ako to dnes robíme s ROM určitých produktov. Našťastie sa vynaliezavosť tých, ktorí sa usilujú o slobodu, ukázala byť silnejšia ako vynaliezavosť tých, ktorí sa ju snažia zbaviť.
Človeče .... Nie je to také jednoduché ako výber výrobcu, či do svojho hardvéru zahrnie bezpečné spustenie, nesmieme zabúdať, že Microsoft je monopol, v skutočnosti je to monopol a ako výrobca hovorí Microsoftu môže znamenať, že musíte čeliť svojim právnikom, zvýšiť náklady na licencie, ktoré vaše zariadenie výrazne predražia, alebo dokonca stratiť 80% domáceho trhu.
Nejde o to, že ich obhajuje, ale ak Microsoft vie, ako to urobiť, je to presne to, čo zavádza na základe vydierania a monopolu, jedinou možnosťou by bolo, aby všetci výrobcovia alebo aspoň väčšina súhlasili a zastavili to naraz , ale je to nesmierne ťažké, aby sa to stalo, a jediná spoločnosť, bez ohľadu na to, aká je veľká, si to dvakrát rozmyslí, než bude riskovať svoje podnikanie, bez ohľadu na to, aké neférové / plazivé / absurdné to Microsoft požaduje.
O tejto problematike sa veľa hovorilo na rôznych blogoch a fórach, ale mám dni o niečom premýšľať, možno je to moja hlúposť, ale v prípade spoločností DELL a HP (iné spoločnosti nepoznám), ktoré predávajú stroje so systémom Linux , dôjde k bezpečnému spusteniu?
Myslím, že som sa dočítal, že v týchto prípadoch výrobcovia umiestňujú duálny systém UEFI / BIOS, takže ak deaktivujete UEFI, vrátite sa k systému BIOS. To by malo prirodzene zvýšiť náklady.
Systém BIOS by mal nakoniec zmiznúť, ako ho poznáme, v prospech UEFI alebo iných lepších štandardov, ktorým sa verí, pretože technológia BIOS je stará a preto predstavuje obmedzenia.
Páni, podpis na petícii FSF v tejto veci:
My, signatári, vyzývame všetkých výrobcov počítačov, ktorí implementujú takzvaný „Secure Boot“ UEFI, aby tak urobili spôsobom, ktorý umožňuje inštaláciu bezplatných operačných systémov. V záujme rešpektovania slobody používateľov a skutočnej ochrany ich bezpečnosti musia výrobcovia umožniť vlastníkom počítačov deaktivovať obmedzenia zavádzania alebo poskytnúť spoľahlivý systém na inštaláciu a spustenie bezplatného operačného systému podľa vlastného výberu. Zaväzujeme sa, že nebudeme kupovať alebo odporúčať počítače, ktoré užívateľom berú túto kritickú slobodu, a že budeme aktívne povzbudzovať ľudí v našich komunitách, aby sa takýmto klietkovým systémom vyhýbali.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Perfektné, žiadosť podpísaná a zdieľaná s LUG a zvyškom webu, ďakujeme za komentár.