Jag råkar översätta den här artikeln som han skrev James Bottomley, teknisk rådgivare för Linux Foundation, som började sätta ihop en pre-bootloader så att du kan starta Linux.
Som jag förklarade i mitt tidigare inlägg har vi koden för Linux Foundation pre-bootloader på plats. Det fanns dock en dröjsmål medan vi hade tillgång till Microsofts signeringssystem.
Det första du ska göra är betala $ 99 till Verisign (nu Symantec) och har en nyckel verifierad av Verisign. Vi gjorde det för Linux Foundation, och allt de vill göra är att ringa huvudkontoret för att verifiera. Nyckeln returneras i en URL som är installerad i din webbläsare, men vanliga Linux SSL-verktyg kan användas för att extrahera den och skapa ett vanligt PEM-certifikat och nyckel. Det har inget att göra med UEFI-signering, men används för att validera systemet sysdev Microsoft att du är den du säger att du är. Innan du kan skapa ett sysdev-konto måste du testa det signera en körbar de ger dig och ladda upp den. De ställer strikta krav på att du signerar det på en specifik Windows-plattform, men sbsign åtminstone det fungerade och bingo vårt konto skapades.
När kontot har skapats kan du fortfarande inte ladda upp UEFI-binärer för att underteckna utan först underteckna ett papperskontrakt. Erbjudandena är mycket betungande, inklusive många uteslutna licenser (inklusive alla GPL: er för drivrutiner, men inte för bootloaders). Den mest betungande delen är att avtalen verkar komma bortom UEFI-objekten du undertecknar. Advokater för Linux Foundation drog slutsatsen att det mestadels är ofarligt för LF eftersom vi inte säljer produkter, men det kan vara äckligt för andra företag. Enligt Matthew Garrett är Microsoft villig att förhandla om specialavtal med distributioner för att mildra några av dessa problem.
När avtalen har undertecknats, är det verkliga teknisk kul. Du kan inte bara ladda upp en UEFI-binär och få den signerad. Först måste du slå in den i en .cab-fil. Lyckligtvis finns det ett open source-projekt som kan skapa skåpfiler som kallas lcab. Då måste du signera .cab-filen med Verisign-nyckeln. Återigen finns det ett annat open source-projekt som kan göra det: osslsigncode. För alla som behöver dessa verktyg finns de i mitt openSuse Build Service UEFI-arkiv. Det sista problemet är att ladda upp filen kräver silverljus. Tyvärr verkar månsken inte fungera och även med förhandsgranskning av version 4 blir uppladdningsrutan tom så det är dags att använda Windows 7 under en kvm (kärnbaserad virtuell maskin). När du kommer till den delen måste du också intyga att den binära "som ska undertecknas, får inte licensieras under GPLv3 eller liknande open source-licenser”. Jag antar att det är av rädsla för avslöjande av nycklar men det är inte klart alls (detsamma med "liknande open source-licenser").
När uppladdningen är klar slutar skåpfilen genom sju steg. Tyvärr stannade den första testklättringen låst i steg 6 (filernas signatur). Efter 6 dagar skickade jag ett supportmeddelande till Microsoft där jag frågade vad som hände. Svaret: ”Felkoden som slogs av signeringsprocessen är att din fil är inte ett giltigt Win32-program. Är det ett giltigt Win32-program? ”. Svar: uppenbarligen inte, det är en giltig 64-bitars UEFI-binär. Det fanns inga fler svar.
Jag försökte igen. Den här gången fick jag ett nedladdningsmeddelande för den signerade filen och styrelsen säger det det undertecknade misslyckades. Jag laddade ner den och verifierade. Binären fungerar på säkerhetsstödplattformen och signeras med nyckeln
subject = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
emittent = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Jag frågade support varför processen indikerade ett misslyckande men jag hade en giltig nedladdning och efter en massa e-post svarade de "använd inte den filen som var fel undertecknat. Jag kommer tillbaka till dig. " Jag är fortfarande inte säker på vad problemet är, men om du tittar på ämnet för signeringsnyckeln, det finns inget i nyckeln som kan ange Linux FoundationDärför misstänker jag att problemet är att binären signeras med en generisk Microsoft-nyckel istället för en specifik (och återkallbar) nyckel knuten till Linux Foundation.
Detta är dock statusen: Vi kommer att fortsätta vänta på att Microsoft ger Linux Foundation en signerad och validerad pre-bootloader. När det händer laddas det upp till Linux Foundation-webbplatsen för alla att använda.
Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Dra dina slutsatser, men detta kommer att ta tid.
Om verkligen frågan om datorer med win8 OEM som kommer med UEFI-systemet löses genom att inaktivera UEFI från BIOS, verkar det som ett fel att både Linux-stiftelsen och Fedora, Ubuntu och jag inte vet vilken annan distro, betalar för certifikatet och acceptera de begränsningar som Microsoft ålägger.
VI MÅSTE Sluta vara lampor !!!!!
men jag vet att Windows 8 förblir obotat
Hehehe, inte ens en stor sak. Åtminstone för mig. Det är en personlig åsikt, jag vill inte förolämpa någon.
UEFI kan inte inaktiveras från BIOS, eftersom UEFI är den fasta programvaran som ersätter det mer än långlivade BIOS.
Vad vi pratar om är Secure Boot, en UEFI-funktion som verifierar äktheten hos programvaran som vi startar datorn med genom digitala signaturer, det är Secure Boot som ska inaktiveras.
Det är inte så enkelt som att inaktivera Secure Boot och det är det, det är nödvändigt att tillverkaren har övervägt att inkludera en meny som tillåter användare att inaktivera Secure Boot, om tillverkaren inte vill att den ska inaktiveras blir det mycket komplicerat för att användaren ska kunna göra det, eventuellt gå till det yttersta att behöva byta ut moderkortets firmware med en inofficiell.
Linux Foundation-lösningen skulle vara en "universell" lösning för all hårdvara som drabbats av denna sjukdom och skulle tillåta att alla system installeras genom att betala en enda digital signatur bara en gång, vilket säkert är det som skrämmer dem och varför de gör så mycket av det be
«Det är inte så enkelt som att inaktivera Secure Boot och det är det, det är nödvändigt att tillverkaren har övervägt att inkludera en meny som tillåter användare att inaktivera Secure Boot, om tillverkaren inte vill att den ska inaktiveras kommer det att vara mycket komplicerat för användaren att kunna göra det, »
Så vad som behöver göras är en digital kompetenskampanj där det förklaras för användare att de kräver datorer med den funktionen och istället köper andra.
Allt detta är för att tjäna pengar genom att validera vad som kan och inte kan starta med säker start.
Total inkompetens kan inte skiljas från dåliga avsikter.
Även om det finns en berömd fras av Robert J. Hanlon som säger: "Tillskriv aldrig ondska det som förklaras på ett adekvat sätt av dumhet", i det speciella fallet Microsoft, så många dumma svårigheter till en förmodligen väl genomtänkt och utformad process för en bättre säkerhet, fortsätter det att ge intryck av att de hindrar Linux Foundation så att Linux inte kan installeras på nya datorer med UEFI, så att Microsoft inte har någon konkurrens.
Exakt. Jag gillar inte idén, en förmodad säker start ... Det skrämmer mig. Det verkar för mig att Microsoft har mycket ... maffianändamål.
Jag är mer än trött på Microsoft och dess manipulationer, och jag är till och med rädd för dess avsikter, och trött på att det låtsas dominera på alla datorer eller enheter som finns på marknaden.
Jag hoppas att Linux slutar ta massor och råder bland slutanvändare och Windows är äntligen marginaliserat, totalt för OS-skit det är.
Detta påminner mig om patentet som beviljats Microsoft genom vilket standardsystemet är begränsat, och för att låsa upp dess fulla potential eller installera något tredjepartsprogram krävs licenser för vilka naturligtvis antingen användaren eller användarna måste betala. Tredjeparter som vill att deras applikationer ska installeras i operativsystemet. Att de inte har implementerat det ännu betyder inte att de inte tänker det, och jag får intrycket att UEFI förbereder marken för detta.
Vad som förvånar mig är att 64bist-binärer misslyckas och tvingar 32-bitars binärer .... De är retrograd, det finns knappast några nya 86-bitars x32-arkitekturprocessorer på marknaden. Det ska fungera vid 64 bitar.
U u
Den digitala signaturen eller den säkra starten försöker förhindra att "något" annat än systemet startar. Det är också för att undvika så kallad piratkopiering eller olaglig kopiering av egen programvara.
Att göra en analys och undersöka det så kallade Win8-värdeskåpet med sin mycket hyllade säkra start har visat sin inkompetens eftersom de nyligen upptäckte ett säkerhetshål.
På grund av ovanstående, och utan att behöva vara ett branschgeni, med doktorer och andra, kan man dra slutsatsen att det bara är ett marknadsföringskoncept som åtföljs av Microsofts förutsättning att bli ett slutet system i äppleform.
Personligen granska, konsultera och studera kan jag säga ur mitt personliga perspektiv att UEFI / Secure Boot är ett bedrägeri och en bluff som bara syftar till att tvinga och stödja Microsofts projekt för att stänga sitt ekosystem helt, och dra nytta av det faktum att det fortfarande kan utöva vissa trycket i segmentet för personlig dator.
Denna semester ska jag hitta ett sätt att stämma Microsoft. Jag hatar dem.
Hehehe, om jag hade lust och tid skulle jag kräva dem också. Det är ett intrång i friheten. Om de inte gör en annan version av den ökända EULA där de anger att genom att acceptera avtalet går du med på att inte installera någon annan programvara lol, vilket inte skulle förvåna mig.
+1
Vi kommer att se hur microsoft gör med sin win8 och sin UEFI / secureboot, kanske kommer den att förlora en del av marknaden till förmån för macbook eller chromebook.
Och vem vet, kanske en dag kommer en datortillverkare att dyka upp där till förmån för Linux och andra fria system.
mmm och om linux-samhällen "manifesterades" på internetdag och programmeringsdag till exempel framför någon hp-butik (minst sagt) visar deras uppskattning för varumärket men deras oenighet med att använda windows?
Och om "installationsfesten" på den tiden går ut på gatorna eller offentliga torg?
Den sorgliga verkligheten är att alla Linux-användare tillsammans utgör en bråkdel av Windows-användare, så hårdvarutillverkare prioriterar naturligtvis operativsystemet med den högsta marknadsandelen. så jag ser det osannolikt att en demonstration kommer att förändra saker.
Enligt min mening kan till exempel att göra Linux till en mer attraktiv plattform för applikationer och spel ha mer inflytande än många demonstrationer mot MS. Men det tar tid (och resurser).
Det går bra att attackera Micro $ oft och dess Secure Boot, men kom ihåg att det är moderkortstillverkarna som har inkluderat det som standard i UEFI, som om det bara fanns ett operativsystem; Microsofts ... de har gått fel väg. Med tanke på fallet verkar det som om vi i framtiden kommer att tvingas blinka UEFI för brädorna med "släppta" versioner som vi gör idag med ROM för vissa produkter. Lyckligtvis har uppfinningsrikedomen hos dem som strävar efter frihet visat sig starkare än dem som försöker utrota den.
Man ... det är inte så enkelt som tillverkaren att välja om den ska inkludera säker start i hårdvaran eller inte, vi får inte glömma att Microsoft är ett monopol, faktiskt är det monopolet och som tillverkare kan man säga nej till Microsoft betyda från att behöva möta sina advokater, öka kostnaden för licenser som gör din utrustning mycket dyrare eller till och med förlora 80% av hemmamarknaden.
Det är inte så att det försvarar dem, men om något som Microsoft vet hur man gör är just det, påtvinga på grundval av utpressning och monopol, skulle det enda alternativet vara att alla tillverkare eller åtminstone majoriteten skulle komma överens och stoppa det på en gång , men det är oerhört svårt för det att hända och ett enda företag, oavsett hur stort det är, kommer att tänka två gånger innan det riskerar sin verksamhet, oavsett hur orättvist / krypande / absurt det Microsoft ber om.
Det har pratats mycket om denna fråga i olika bloggar och forum, men jag har dagar på att tänka på något, kanske är det min dårskap, men i fallet med DELL och HP (jag känner inte andra företag) som säljer Linux-maskiner , kommer den säkra start att lossna?
Jag tror att jag har läst att tillverkarna i dessa fall placerar ett dubbelt UEFI / BIOS-system så att om du inaktiverar UEFI kommer du att falla tillbaka till BIOS. Detta borde naturligtvis öka kostnaderna.
Så småningom måste BIOS försvinna som vi vet det till förmån för UEFI eller andra bättre standarder som man tror, eftersom BIOS-tekniken är gammal och därför inför begränsningar.
Mina herrar, en underskrift till FSF: s framställning i denna fråga:
Vi, undertecknarna, uppmanar alla datortillverkare som implementerar UEFI: s så kallade "Secure Boot" att göra det på ett sätt som möjliggör installation av gratis operativsystem. För att respektera användarens frihet och verkligen skydda deras säkerhet måste tillverkare tillåta datorägare att inaktivera startbegränsningar eller tillhandahålla ett tillförlitligt system för att installera och köra ett gratis operativsystem efter eget val. Vi lovar att vi inte kommer att köpa eller rekommendera datorer som tar bort denna kritiska frihet från användaren, och att vi aktivt kommer att uppmuntra människor i våra samhällen att undvika sådana bursystem.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Perfekt, begäran signerad och delad med LUG och resten av webben, tack för kommentaren.