Rastis të përkthej këtë artikull që ai shkroi James Bottomley, këshilltar teknik i Linux Foundation, i cili filloi së bashku një para-bootloader kështu që ju mund të boot Linux.
Siç e shpjegova në postimin tim të mëparshëm, ne kemi kodin për para-bootloader Foundation Foundation. Megjithatë, nuk ishte një vonesë ndërsa ne kishim qasje në sistemin e nënshkrimit të Microsoft.
Gjëja e parë për të bërë është paguani 99 dollarë për Verisign (tani Symantec) dhe keni një çelës të verifikuar nga Verisign. Ne e bëmë atë për Fondacionin Linux, dhe gjithçka që ata duan të bëjnë është të telefonojnë selitë për të verifikuar. Çelësi kthehet në një URL që është instaluar në shfletuesin tuaj, por mjetet standarde Linux SSL mund të përdoren për ta nxjerrë atë dhe për të krijuar çertifikatën dhe çelësin e zakonshëm PEM. Nuk ka asnjë lidhje me nënshkrimin e UEFI, por përdoret për të vërtetuar sistemin sysdev Microsoft që jeni ata që thoni se jeni. Para se të krijoni një llogari sysdev, duhet ta provoni nënshkrimin e një ekzekutues që ju japin dhe ngarkimin e tij. Ata bëjnë kërkesa të rrepta që ju ta nënshkruani atë në një platformë specifike të Windows, por sbsign të paktën funksionoi dhe u krijua llogaria jonë bingo.
Pasi të krijohet llogaria, përsëri nuk mund të ngarkoni binarë të UEFI-së për nënshkrim pa parë nënshkruaj një kontratë letre. Marrëveshjet janë shumë të vështira, duke përfshirë shumë licenca të përjashtuara (përfshirë të gjitha GPL-të për drejtuesit, por jo për bootloaders). Pjesa më e rëndë është se marrëveshjet duket se arrijnë përtej objekteve të UEFI-së që nënshkruani. Avokatët e Fondacionit Linux arritën në përfundimin se ajo është kryesisht e padëmshme për LF sepse nuk shesim produkte, por mund të jetë e neveritshme për ndërmarrjet e tjera. Sipas Matthew Garrett, Microsoft është i gatshëm të negociojë marrëveshje të veçanta me shpërndarjet për të zbutur disa nga ato probleme.
Sapo të nënshkruhen marrëveshjet, e vërteta argëtim teknik. Ju nuk mund të ngarkoni thjesht një binar të UEFI dhe ta keni të nënshkruar. Së pari ju duhet të përfundojë atë në një skedar .cab. Për fat të mirë, ekziston një projekt me burim të hapur që mund të krijojë skedarë kabineti të quajtur lcab. Atëherë ju duhet të nënshkruani skedarin .cab me tastin Verisign. Përsëri, ekziston një tjetër projekt me burim të hapur që mund ta bëjë këtë: osslsigncode. Për këdo që ka nevojë për ato mjete, ato janë të disponueshme në depon time openSuse Build Service UEFI. Problemi i fundit është që ngarkimi i skedarit kërkon dritë argjendi. Për fat të keq drita e hënës nuk duket se funksionon dhe madje edhe me pamjen paraprake të versionit 4, kutia e ngarkimit mbetet e zbrazët, kështu që është koha për të përdorur Windows 7 nën një kvm (makinë virtuale e bazuar në kernel). Kur të arrini në atë pjesë, duhet gjithashtu të vërtetoni se binari "që do të nënshkruhet, nuk duhet të licencohet sipas GPLv3 ose licencave të ngjashme me burim të hapur” Supozoj se është nga frika e zbulimit të çelësave, por nuk është aspak e qartë (e njëjta gjë me "licencat e ngjashme me burim të hapur").
Pasi ngarkimi të ketë përfunduar, skedari i kabinetit ndalet në shtatë faza. Për fat të keq, ngjitja e parë provë qëndroi mbyllur në fazën 6 (nënshkrimi i dosjeve). Pas 6 ditësh, unë i dërgova një email mbështetje Microsoft-it duke kërkuar se çfarë po ndodhte. Përgjigja: “Kodi i gabimit i hedhur nga procesi i nënshkrimit është ai skedari juaj nuk është një aplikacion i vlefshëm Win32. A është një aplikacion i vlefshëm Win32? ”. Përgjigje: padyshim që jo, është një binar i vlefshëm 64 bit UEFI. Nuk kishte më përgjigje...
Unë u përpoqa përsëri. Këtë herë kam marrë një email shkarkimi për skedarin e nënshkruar dhe bordi e thotë këtë e nënshkruar dështoi. E shkarkova dhe verifikova. Binari punon në platformën safeboot dhe nënshkruhet me çelësin
subjekti = / C = SH.B.A. / Uashingtoni / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Botues i Shoferit
lëshuesi = / C = SHBA / ST = Uashington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Unë pyeta mbështetjen pse procesi tregoi një dështim, por unë kisha një shkarkim të vlefshëm dhe, pas një stërmundje postash elektronike, ata u përgjigjën "mos e përdorni atë skedar që ishte nënshkruar gabimisht. Unë do të kthehem te ti ". Ende nuk jam i sigurt se cili është problemi, por nëse shikoni Subjektin e çelësit të nënshkrimit, nuk ka asgjë në çelësin për t'i treguar Fondacionit Linux, prandaj dyshoj se problemi është se binari është nënshkruar me një çelës gjenerik të Microsoft në vend të një çelësi specifik (dhe të revokueshëm) të lidhur me Linux Foundation.
Sidoqoftë, ky është statusi: Ne do të vazhdojmë të presim që Microsoft t'i japë Linux Foundation një bootloader të nënshkruar dhe të vërtetuar. Kur kjo të ndodhë, ajo do të ngarkohet në faqen e Fondacionit Linux për t'u përdorur nga të gjithë.
Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Nxirrni përfundimet tuaja, por kjo do të marrë kohë.
Nëse me të vërtetë çështja e PC me Win8 OEM që vijnë me sistemin UEFI zgjidhet duke çaktivizuar UEFI nga BIOS, më duket një gabim që të dy fondacioni Linux dhe Fedora, Ubuntu dhe unë nuk e di cilën distro tjetër, paguaj për certifikatën dhe pranoni kufizimet e vendosura nga Microsoft.
DUHET T ST NDALOJM QENGJAT !!!!!
por unë e di që Windows 8 mbetet i pabotuar
Hehehe, as edhe një punë e madhe. Epo, të paktën për mua. Ashtë një mendim personal, nuk dua të ofendoj askënd.
UEFI nuk mund të çaktivizohet nga BIOS, pasi UEFI është Firmware që vjen për të zëvendësuar BIOS më shumë se jetëgjatë.
Ajo për të cilën po flasim është Secure Boot, një tipar i UEFI që verifikon vërtetësinë e softuerit me të cilin ne fillojmë kompjuterin përmes nënshkrimeve dixhitale, është Secure Boot që duhet të çaktivizohet.
Nuk është aq e thjeshtë sa çaktivizimi i Secure Boot dhe kaq, është e nevojshme që prodhuesi të ketë marrë në konsideratë përfshirjen e një menuje që lejon përdoruesit të çaktivizojnë Secure Boot, nëse prodhuesi nuk dëshiron që ajo të çaktivizohet do të jetë shumë e komplikuar që përdoruesi të jetë në gjendje ta bëjë këtë, ndoshta duke shkuar në ekstremin e detyrimit për të zëvendësuar firmware e pllakës amë me një jozyrtare.
Zgjidhja e Fondacionit Linux do të ishte një zgjidhje "universale" për çdo pajisje të prekur nga kjo sëmundje dhe do të lejojë që çdo sistem të instalohet duke paguar një nënshkrim të vetëm dixhital vetëm një herë, e cila është sigurisht ajo që i frikëson ata dhe pse ata po bëjnë kaq shumë lutje
«Nuk është aq e thjeshtë sa çaktivizimi i Secure Boot dhe kaq, është e nevojshme që prodhuesi të ketë marrë në konsideratë përfshirjen e një menuje që lejon përdoruesit të çaktivizojnë Secure Boot, nëse prodhuesi nuk dëshiron që ajo të çaktivizohet do të jetë shumë e komplikuar që përdoruesi të jetë në gjendje ta bëjë atë, »
Pra, ajo që duhet të bësh është një fushatë e shkrim-leximit dixhital ku u shpjegohet përdoruesve se ata kërkojnë kompjuterë me atë karakteristikë dhe në vend të kësaj blejnë të tjerët.
E gjithë kjo është për të fituar para duke vërtetuar atë që mund dhe nuk mund të boot me boot sigurt.
Papërshtatshmëria totale nuk dallohet nga qëllimet e këqija.
Megjithëse ekziston një frazë e famshme nga Robert J. Hanlon që thotë: "Asnjëherë mos ia atribuo keqdashjes atë që shpjegohet në mënyrë adekuate nga marrëzia", në rastin e veçantë të Microsoft, kaq shumë vështirësi pa kuptim për një proces të menduar mirë sigurinë, vazhdon të krijojë përshtypjen se ato po e pengojnë Linux Foundation në mënyrë që linux të mos instalohet në PC të rinj me UEFI, në mënyrë që Microsoft të mos ketë konkurrencë.
Saktë Nuk më pëlqen ideja, një fillim i supozuar i sigurt ... Më tremb. Më duket se Microsoft ka shumë ... qëllime mafioze.
Unë jam më se i lodhur nga Microsoft dhe manipulimet e tij, dhe madje kam frikë nga synimet e tij dhe jam lodhur nga pretendimi i tij për të dominuar secilin nga PC-të ose pajisjet që ekzistojnë në treg.
Shpresoj që Linux të mbarojë masivisht dhe të mbizotërojë në mesin e përdoruesve përfundimtarë dhe Windows më në fund është i margjinalizuar, gjithsej, për skrapet e sistemit operativ që është.
Kjo më kujton patentën e dhënë Microsoft me të cilën sistemi i paracaktuar është i kufizuar dhe për të zhbllokuar potencialin e tij të plotë ose për të instaluar ndonjë program të palës së tretë, licencat janë të nevojshme për të cilat, sigurisht, ose përdoruesi ose përdoruesit duhet të paguajnë. palë të treta që duan që aplikacionet e tyre të instalohen në sistemin operativ. Që ata nuk e kanë zbatuar atë ende nuk do të thotë se nuk kanë ndërmend dhe unë kam përshtypjen se UEFI po përgatit terrenin për këtë.
Ajo që më habit është se binaret 64bist dështojnë dhe detyrojnë binare 32bit bit. Ata janë retrogradë, vështirë se ka ndonjë procesor të ri 86-bit x32 në treg. Duhet të funksionojë në 64bit.
uu
Nënshkrimi dixhital ose boot i sigurt po përpiqet të parandalojë "diçka" tjetër përveç sistemit nga boot. Alsoshtë gjithashtu në mënyrë që të shmanget e ashtuquajtura pirateri ose kopjimi i paligjshëm i softverit pronësor.
Bërja e një analize dhe bërja e disa hulumtimeve mbi të ashtuquajturin kasafortë Win8 me çizmën e saj të sigurt të paepur ka treguar paaftësinë e saj pasi ata kohët e fundit zbuluan një vrimë sigurie.
Për shkak të sa më sipër, dhe pa qenë nevoja të jeni një gjeni i industrisë, me PhD dhe të tjerë, mund të konkludohet se ai është vetëm një koncept marketingu i shoqëruar nga premisa e Microsoft për t'u bërë një sistem i mbyllur i stilit të mollës.
Personalisht duke rishikuar, konsultuar dhe studiuar mund të them nga perspektiva ime personale se UEFI / Secure Boot është një mashtrim dhe një mashtrim që synon vetëm të detyrojë dhe mbështesë projektin e Microsoft-it për të mbyllur plotësisht ekosistemin e saj, duke përfituar nga fakti se ai ende mund të ushtrojë disa presioni në segmentin personal të llogaritjes.
Këtë pushim do të gjej një mënyrë për të paditur Microsoft. I urrej ata.
Hehehe, po të kisha dëshirë dhe kohë, do t'i kërkoja edhe ata. Ashtë shkelje e lirisë. Nëse nuk bëjnë një version tjetër të EULA famëkeq, ku specifikojnë se duke pranuar kontratën po i përmbaheni mos instalimit të ndonjë softveri tjetër, gjë që nuk do të më habiste.
+1
Ne do të shohim se si bën Microsoft me Win8 dhe UEFI / safeboot, ndoshta do të humbasë një treg në favor të Macbook ose Chromebook.
Dhe kush e di, mbase një ditë një prodhues i kompjuterave do të shfaqet atje në favor të linux dhe sistemeve të tjera falas.
mmm dhe nëse bashkësitë linux "manifestohen" në ditën e internetit dhe ditën e programuesit për shembull, përpara ndonjë dyqani hp (për të thënë më pak) duke treguar vlerësimin e tyre për markën, por mosmarrëveshjen e tyre për përdorimin e dritareve?
Dhe nëse në ato ditë "instaloni fest" del në rrugë ose sheshe publike?
Realiteti i trishtuar është se të gjithë përdoruesit e Linux-it së bashku përbëjnë një pjesë të përdoruesve të Windows, kështu që prodhuesit e pajisjeve natyrisht i japin përparësi sistemit operativ me pjesën më të lartë të tregut. kështu që unë e shoh të pamundur që një demonstrim të ndryshojë gjërat.
Për mendimin tim, për shembull, bërja e Linux një platformë më tërheqëse për aplikacione dhe lojëra mund të ketë më shumë ndikim sesa shumë demonstrata kundër MS. Por kjo kërkon kohë (dhe burime).
Fineshtë mirë të sulmosh Micro $ oft shpesh dhe Boot Secure të saj, por mos harroni se janë prodhuesit e pllakave amë ata që e kanë përfshirë atë si parazgjedhje në UEFI, sikur të kishte vetëm një OS; Microsoft-it ... ata kanë marrë një rrugë të gabuar. Duke marrë parasysh rastin, më duket se në të ardhmen ne do të detyrohemi të flashim UEFI të bordeve me versione "të lëshuara" siç bëjmë sot me ROM të produkteve të caktuara. Për fat të mirë, zgjuarsia e atyre që aspirojnë lirinë ka dalë më e fortë se ajo e atyre që kërkojnë ta zhdukin atë.
Njeriu .... Nuk është aq e thjeshtë sa prodhuesi të zgjedhë nëse duhet të përfshijë boot të sigurt në harduerin e tij, nuk duhet të harrojmë se Microsoft është Monopol, në fakt është THE Monopoly dhe si prodhues, duke i thënë jo Microsoft mund të nënkuptojë që të përballeni me avokatët e tyre, të rrisni koston e licencave që i bëjnë pajisjet tuaja shumë më të shtrenjta, ose madje të humbni 80% të tregut të brendshëm.
Nuk është se i mbron ata, por nëse diçka që Microsoft di të bëjë është pikërisht ajo, të vendosë mbi bazën e zhvatjes dhe Monopolit, e vetmja mundësi do të ishte që të gjithë prodhuesit ose të paktën shumica të bien dakord dhe ta ndalojnë atë menjëherë , por kjo është jashtëzakonisht e vështirë që të ndodhë dhe një kompani e vetme, pa marrë parasysh sa e madhe, do të mendojë dy herë para se të rrezikojë biznesin e saj, pa marrë parasysh sa e padrejtë / zvarritëse / absurde kërkon Microsoft.
Blogshtë folur shumë për këtë çështje në bloge dhe forume të ndryshme, por unë kam ditë që mendoj për diçka, ndoshta është marrëzia ime, por, në rastin e DELL dhe HP (nuk njoh kompani të tjera) që shesin makina Linux , a do të dalë çizmja e sigurt?
Unë mendoj se kam lexuar që në këto raste prodhuesit vendosin një sistem të dyfishtë UEFI / BIOS kështu që nëse çaktivizoni UEFI do të ktheheni përsëri në BIOS. Kjo natyrisht duhet të rrisë kostot.
Përfundimisht BIOS duhet të zhduket pasi e njohim në favor të UEFI ose standardeve të tjera më të mira që besohen, sepse teknologjia BIOS është e vjetër dhe për këtë arsye imponon kufizime.
Zotërinj, një nënshkrim i peticionit të FSF-së për këtë çështje:
Ne, nënshkruesit, i nxisim të gjithë prodhuesit e kompjuterave që zbatojnë të ashtuquajturën "Secure Boot" të UEFI-it ta bëjnë këtë në një mënyrë që lejon instalimin e sistemeve operative falas. Për të respektuar lirinë e përdoruesit dhe për të mbrojtur me të vërtetë sigurinë e tyre, prodhuesit duhet të lejojnë që pronarët e kompjuterëve të çaktivizojnë kufizimet e nisjes, ose të sigurojnë një sistem të besueshëm për të instaluar dhe drejtuar një sistem operativ falas të zgjedhur prej tyre. Ne zotohemi që nuk do të blejmë ose rekomandojmë kompjuterë që ia heqin përdoruesit këtë liri kritike dhe se ne do të inkurajojmë në mënyrë aktive njerëzit në komunitetet tona të shmangin këto lloj sistemesh në kafaz.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
E përsosur, kërkesa e nënshkruar dhe e ndarë me NJQV dhe pjesën tjetër të internetit, faleminderit për komentin.