ฉันบังเอิญแปลบทความนี้ที่เขาเขียน เจมส์บอททอมลีย์ที่ปรึกษาด้านเทคนิคของ มูลนิธิลินุกซ์ที่เริ่มต้นร่วมกัน pre-bootloader เพื่อให้คุณสามารถบูต Linux ได้.
ดังที่ฉันได้อธิบายไว้ในโพสต์ก่อนหน้าของฉันเรามีโค้ดสำหรับ Linux Foundation pre-bootloader อยู่แล้ว อย่างไรก็ตามมีไฟล์ ล่าช้า ในขณะที่เราสามารถเข้าถึงระบบการลงนามของ Microsoft
สิ่งแรกที่ต้องทำคือ จ่าย $ 99 ให้กับ Verisign (ปัจจุบันคือไซแมนเทค) และได้รับการยืนยันคีย์โดย Verisign เราทำเพื่อ Linux Foundation และสิ่งที่พวกเขาต้องการคือโทรหาสำนักงานใหญ่เพื่อตรวจสอบ คีย์จะส่งคืนใน URL ที่ติดตั้งในเบราว์เซอร์ของคุณ แต่สามารถใช้เครื่องมือ Linux SSL มาตรฐานเพื่อแยกและสร้างใบรับรองและคีย์ PEM ตามปกติ ไม่มีส่วนเกี่ยวข้องกับการลงนาม UEFI แต่ใช้เพื่อตรวจสอบความถูกต้องของระบบ ระบบ Microsoft ว่าคุณเป็นอย่างที่คุณพูดว่าคุณเป็น ก่อนจะสร้างบัญชี sysdev ได้คุณต้องทดสอบก่อน ลงนามในปฏิบัติการที่พวกเขาให้คุณและอัปโหลด. พวกเขากำหนดข้อกำหนดที่เข้มงวดเพื่อให้คุณลงนามบนแพลตฟอร์ม Windows ที่เฉพาะเจาะจง แต่อย่างน้อยก็ใช้งานได้และบิงโกบัญชีของเราถูกสร้างขึ้น
เมื่อสร้างบัญชีแล้วคุณจะยังไม่สามารถอัปโหลดไบนารี UEFI สำหรับการลงชื่อได้โดยไม่ต้องลงชื่อก่อน เซ็นสัญญากระดาษ. ข้อตกลงมีความยุ่งยากมากรวมถึงใบอนุญาตที่ยกเว้นจำนวนมาก (รวมถึง GPL ทั้งหมดสำหรับไดรเวอร์ แต่ไม่ใช่สำหรับโปรแกรมโหลดบูต) ส่วนที่ยุ่งยากที่สุดคือดูเหมือนว่าข้อตกลงจะมาถึง นอกเหนือจากวัตถุ UEFI ที่คุณเซ็นชื่อ. ทนายความของ Linux Foundation สรุปว่าส่วนใหญ่ไม่เป็นอันตรายต่อ LF เพราะเราไม่ได้ขายผลิตภัณฑ์ แต่อาจเป็นที่น่ารังเกียจสำหรับ บริษัท อื่น ๆ จากข้อมูลของ Matthew Garrett Microsoft ยินดีที่จะเจรจาข้อตกลงพิเศษกับการแจกจ่ายเพื่อบรรเทาปัญหาเหล่านั้น
เมื่อมีการลงนามข้อตกลงจริง ความสนุกทางเทคนิค. คุณไม่สามารถอัปโหลดไบนารี UEFI และลงนามได้ ก่อนอื่นคุณต้องทำ ห่อเป็นไฟล์. cab. โชคดีที่มีโครงการโอเพ่นซอร์สที่สามารถสร้างไฟล์ cabinet ที่เรียกว่า lcab แล้วคุณจะต้อง เซ็นชื่อไฟล์. cab ด้วยคีย์ Verisign. อีกครั้งมีโครงการโอเพ่นซอร์สอีกโครงการหนึ่งที่สามารถทำได้: osslsigncode สำหรับใครก็ตามที่ต้องการเครื่องมือเหล่านั้นมีอยู่ในที่เก็บ UEFI ของ openSuse Build Service ของฉัน ปัญหาสุดท้ายคือการอัปโหลดไฟล์ ต้องใช้แสงสีเงิน. น่าเสียดายที่แสงจันทร์ดูเหมือนจะไม่ทำงานและแม้จะมีตัวอย่างเวอร์ชัน 4 ช่องอัปโหลดก็ว่างเปล่าดังนั้น ถึงเวลาใช้ windows 7 ภายใต้ kvm (เครื่องเสมือนที่ใช้เคอร์เนล) เมื่อคุณไปถึงส่วนนั้นคุณต้องรับรองด้วยว่าไบนารี“ จะลงนาม ต้องไม่ได้รับอนุญาตภายใต้ GPLv3 หรือใบอนุญาตโอเพนซอร์สที่คล้ายกัน”. ฉันคิดว่าเป็นเพราะกลัวการเปิดเผยคีย์ แต่ไม่ชัดเจนเลย (เช่นเดียวกันกับ "ใบอนุญาตโอเพนซอร์สที่คล้ายกัน")
เมื่อการอัปโหลดเสร็จสมบูรณ์ไฟล์ cabinet จะหยุดผ่านเจ็ดขั้นตอน น่าเสียดายที่การไต่ทดสอบครั้งแรกยังคงอยู่ ถูกขังอยู่ในขั้นตอนที่ 6 (ลายเซ็นของไฟล์) หลังจาก 6 วันฉันส่งอีเมลสนับสนุนไปยัง Microsoft เพื่อถามว่าเกิดอะไรขึ้น คำตอบ:“ รหัสข้อผิดพลาดที่เกิดจากกระบวนการเซ็นชื่อนั้น ไฟล์ของคุณไม่ใช่แอปพลิเคชัน Win32 ที่ถูกต้อง. เป็นแอปพลิเคชัน Win32 ที่ถูกต้องหรือไม่” คำตอบ: ไม่ชัดเจนมันเป็นไบนารี UEFI 64 บิตที่ถูกต้อง ไม่มีคำตอบเพิ่มเติม...
ฉันพยายามอีกครั้ง คราวนี้ฉันได้รับอีเมลดาวน์โหลดสำหรับไฟล์ที่ลงชื่อและบอร์ดแจ้งว่า การลงนามล้มเหลว. ฉันดาวน์โหลดและตรวจสอบแล้ว ไบนารีทำงานบนแพลตฟอร์ม secureboot และเซ็นชื่อด้วยคีย์
เรื่อง = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
ผู้ออก = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011ฉันถามฝ่ายสนับสนุนว่าทำไมกระบวนการถึงระบุว่าล้มเหลว แต่ฉันมีการดาวน์โหลดที่ถูกต้องและหลังจากมีอีเมลวุ่นวายพวกเขาตอบว่า "อย่าใช้ไฟล์นั้น ลงนามผิด. ฉันจะกลับไปหาคุณ” ฉันยังไม่แน่ใจว่าปัญหาคืออะไร แต่ถ้าคุณดูหัวเรื่องของคีย์การลงนาม ไม่มีสิ่งใดในคีย์ที่จะระบุถึง Linux Foundationดังนั้นฉันจึงสงสัยว่าปัญหาคือไบนารีถูกเซ็นชื่อด้วยคีย์ Microsoft ทั่วไปแทนที่จะเป็นคีย์เฉพาะ (และเพิกถอนได้) ที่เชื่อมโยงกับ Linux Foundation
อย่างไรก็ตามนี่คือสถานะ: เราจะยังคงรอให้ Microsoft มอบเครื่องโหลดก่อนบูตที่ลงนามและตรวจสอบความถูกต้องให้กับ Linux Foundation เมื่อเป็นเช่นนั้นระบบจะอัปโหลดไปยังไซต์ Linux Foundation เพื่อให้ทุกคนใช้งานได้
Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
สรุปข้อสรุปของคุณ แต่จะต้องใช้เวลา
หากปัญหาของพีซีที่มี win8 OEM ที่มาพร้อมกับระบบ UEFI ได้รับการแก้ไขโดยการปิดใช้งาน UEFI จาก BIOS ดูเหมือนว่าฉันจะมีข้อผิดพลาดที่ทั้ง Linux foundation และ Fedora, Ubuntu และฉันไม่ทราบว่า distro อื่นจ่าย สำหรับใบรับรองและยอมรับข้อ จำกัด ที่กำหนดโดย Microsoft
เราต้องหยุดการเป็นลูกแกะ !!!!!
แต่ฉันรู้ว่า Windows 8 ยังคงไม่ได้บูต
มันไม่ใช่เรื่องใหญ่ อย่างน้อยก็สำหรับฉัน เป็นความคิดเห็นส่วนตัวไม่ได้ต้องการรุกรานใคร
ไม่สามารถปิดใช้งาน UEFI จาก BIOS ได้เนื่องจาก UEFI เป็นเฟิร์มแวร์ที่มาแทนที่ BIOS ที่มีอายุการใช้งานยาวนาน
สิ่งที่เรากำลังพูดถึงคือ Secure Boot ซึ่งเป็นคุณลักษณะ UEFI ที่ตรวจสอบความถูกต้องของซอฟต์แวร์ที่เราเริ่มต้นคอมพิวเตอร์โดยใช้ลายเซ็นดิจิทัลเป็น Secure Boot ที่ควรปิดใช้งาน
ไม่ง่ายเหมือนการปิด Secure Boot และนั่นเป็นสิ่งจำเป็นที่ผู้ผลิตจะต้องพิจารณารวมถึงเมนูที่อนุญาตให้ผู้ใช้ปิดการใช้งาน Secure Boot หากผู้ผลิตไม่ต้องการให้ปิดการใช้งานมันจะซับซ้อนมาก เพื่อให้ผู้ใช้สามารถทำได้อาจถึงขั้นต้องเปลี่ยนเฟิร์มแวร์ของเมนบอร์ดด้วยเฟิร์มแวร์ที่ไม่เป็นทางการ
โซลูชันของ Linux Foundation จะเป็นโซลูชัน "สากล" สำหรับฮาร์ดแวร์ใด ๆ ที่ได้รับผลกระทบจากโรคนี้และจะอนุญาตให้ติดตั้งระบบใด ๆ ที่จ่ายลายเซ็นดิจิทัลเพียงครั้งเดียวซึ่งแน่นอนว่าเป็นสิ่งที่ทำให้พวกเขากลัวและทำไมพวกเขาถึงอธิษฐานอย่างมาก
«มันไม่ง่ายเหมือนการปิดการใช้งาน Secure Boot และนั่นเป็นสิ่งจำเป็นที่ผู้ผลิตจะต้องพิจารณารวมถึงเมนูที่อนุญาตให้ผู้ใช้ปิดการใช้งาน Secure Boot หากผู้ผลิตไม่ต้องการให้ปิดการใช้งานมันจะมาก ซับซ้อนเพื่อให้ผู้ใช้สามารถทำได้»
ดังนั้นสิ่งที่คุณต้องทำคือแคมเปญการรู้หนังสือดิจิทัลซึ่งจะอธิบายให้ผู้ใช้ทราบว่าพวกเขาต้องการคอมพิวเตอร์ที่มีลักษณะดังกล่าวและซื้อเครื่องอื่นแทน
ทั้งหมดนี้คือการสร้างรายได้โดยการตรวจสอบสิ่งที่สามารถและไม่สามารถบูตด้วยการบูตที่ปลอดภัย
การไร้ความสามารถโดยรวมแยกไม่ออกจากเจตนาที่ไม่ดี
แม้ว่าจะมีวลีที่มีชื่อเสียงของ Robert J. Hanlon ที่กล่าวว่า: "อย่าอ้างถึงความอาฆาตพยาบาทที่อธิบายได้อย่างเพียงพอโดยความโง่เขลา" ในกรณีเฉพาะของ Microsoft ปัญหาที่โง่เขลามากมายสำหรับกระบวนการที่คิดและวางแผนไว้อย่างดีเพื่อให้ดีขึ้น ความปลอดภัยทำให้รู้สึกว่าพวกเขากำลังขัดขวาง Linux Foundation ทำให้ไม่สามารถติดตั้ง linux บนพีซีเครื่องใหม่ที่มี UEFI ได้ดังนั้น Microsoft จึงไม่มีการแข่งขัน
แน่นอน ฉันไม่ชอบความคิดการเริ่มต้นที่ปลอดภัย ... มันทำให้ฉันกลัว สำหรับฉันแล้วดูเหมือนว่า Microsoft มี ... จุดประสงค์ของมาเฟียมาก
ฉันเบื่อไมโครซอฟท์และการปรับแต่งของมันมากกว่าและฉันกลัวความตั้งใจของมันด้วยซ้ำและเบื่อกับการแสร้งทำเป็นว่าจะครองพีซีหรืออุปกรณ์แต่ละเครื่องที่มีอยู่ในตลาด
ฉันหวังว่าลินุกซ์จะเสร็จสิ้นการแยกส่วนและเป็นที่ยอมรับในหมู่ผู้ใช้ปลายทางและในที่สุด Windows ก็ถูกลดทอนลงโดยรวมสำหรับระบบปฏิบัติการที่ไร้สาระ
สิ่งนี้ทำให้ฉันนึกถึงสิทธิบัตรที่มอบให้กับ Microsoft โดยวิธีการที่ระบบมีข้อ จำกัด โดยค่าเริ่มต้นและเพื่อปลดล็อกศักยภาพทั้งหมดหรือติดตั้งโปรแกรมของบุคคลที่สามใบอนุญาตเป็นสิ่งที่จำเป็นซึ่งแน่นอนว่าทั้งผู้ใช้หรือผู้ใช้มี จ่ายบุคคลที่สามที่ต้องการให้แอปพลิเคชันของตนติดตั้งบนระบบปฏิบัติการ การที่พวกเขายังไม่ได้นำไปใช้ไม่ได้หมายความว่าพวกเขาไม่ได้ตั้งใจและฉันรู้สึกว่า UEFI กำลังเตรียมความพร้อมสำหรับสิ่งนี้
สิ่งที่ทำให้ฉันประหลาดใจคือไบนารี 64 บิตล้มเหลวและบังคับให้ไบนารี 32 บิต…. พวกเขาถอยหลังเข้าคลองแทบจะไม่มีโปรเซสเซอร์สถาปัตยกรรม x86 32 บิตใหม่ในตลาด ควรทำงานที่ 64 บิต
UU
ลายเซ็นดิจิทัลหรือการบูตแบบปลอดภัยพยายามป้องกันไม่ให้ "บางสิ่ง" อื่นที่ไม่ใช่ระบบบูต นอกจากนี้เพื่อหลีกเลี่ยงสิ่งที่เรียกว่าการละเมิดลิขสิทธิ์หรือการคัดลอกซอฟต์แวร์ที่เป็นกรรมสิทธิ์อย่างผิดกฎหมาย
การวิเคราะห์และทำการวิจัยบางอย่างเกี่ยวกับสิ่งที่เรียกว่า Win8 safe ด้วยการบูตที่ปลอดภัยที่โอ้อวดได้พิสูจน์แล้วว่าไร้ความสามารถเนื่องจากเพิ่งค้นพบช่องโหว่ด้านความปลอดภัย
เนื่องจากข้างต้นและไม่จำเป็นต้องเป็นอัจฉริยะในอุตสาหกรรมด้วยปริญญาเอกและอื่น ๆ จึงสามารถอนุมานได้ว่าเป็นเพียงแนวคิดทางการตลาดที่มาพร้อมกับหลักฐานของ Microsoft ในการเป็นระบบปิดแบบแอปเปิ้ล
การตรวจสอบให้คำปรึกษาและการศึกษาเป็นการส่วนตัวฉันสามารถพูดได้จากมุมมองส่วนตัวของฉันว่า UEFI / Secure Boot เป็นการฉ้อโกงและการหลอกลวงที่มีเป้าหมายเพียงเพื่อบังคับและสนับสนุนโครงการของ Microsoft เพื่อปิดระบบนิเวศอย่างสมบูรณ์โดยใช้ประโยชน์จากข้อเท็จจริงที่ว่ามันยังสามารถใช้ประโยชน์ได้ ความกดดันในส่วนคอมพิวเตอร์ส่วนบุคคล
พักร้อนนี้ฉันจะหาทางฟ้อง Microsoft ฉันเกลียดพวกเขา.
ฮิฮิถ้าฉันมีความปรารถนาและมีเวลาฉันก็จะเรียกร้องพวกเขาเช่นกัน มันเป็นการละเมิดเสรีภาพ เว้นแต่พวกเขาจะสร้าง EULA ที่น่าอับอายรุ่นอื่นโดยที่พวกเขาระบุว่าโดยการยอมรับสัญญาคุณตกลงที่จะไม่ติดตั้งซอฟต์แวร์อื่น ๆ ซึ่งจะไม่ทำให้ฉันประหลาดใจ
+1
เราจะมาดูกันว่า microsoft ทำอย่างไรกับ win8 และ UEFI / secureboot บางทีมันอาจจะสูญเสียตลาดบางส่วนไปจาก macbooks หรือ chromebooks
และใครจะรู้บางทีวันหนึ่งผู้ผลิตพีซีจะปรากฏตัวที่นั่นเพื่อสนับสนุน linux และระบบฟรีอื่น ๆ
mmm และถ้าชุมชน linux "แสดงให้เห็น" ในวันอินเทอร์เน็ตและวันของโปรแกรมเมอร์เช่นหน้าร้าน hp บางแห่ง (พูดน้อยที่สุด) แสดงความชื่นชมแบรนด์ แต่ไม่เห็นด้วยกับการใช้ windows?
และถ้าในสมัยนั้น "ติดตั้งเทศกาล" ออกไปที่ถนนหรือจัตุรัสสาธารณะ?
ความจริงที่น่าเศร้าก็คือผู้ใช้ Linux ทั้งหมดรวมกันเป็นเศษส่วนของผู้ใช้ Windows ดังนั้นผู้ผลิตฮาร์ดแวร์จึงจัดลำดับความสำคัญของระบบปฏิบัติการที่มีส่วนแบ่งการตลาดสูงสุด ดังนั้นฉันจึงเห็นว่าไม่น่าเป็นไปได้ที่การสาธิตจะเปลี่ยนสิ่งต่างๆ
ในความคิดของฉันตัวอย่างเช่นการทำให้ Linux เป็นแพลตฟอร์มที่น่าสนใจสำหรับแอปพลิเคชันและเกมอาจมีอิทธิพลมากกว่าการสาธิต MS หลายครั้ง แต่ต้องใช้เวลา (และทรัพยากร)
เป็นการดีที่จะโจมตี Micro $ oft และ Secure Boot แต่โปรดจำไว้ว่าเป็นผู้ผลิตเมนบอร์ดที่รวมไว้ใน UEFI โดยค่าเริ่มต้นราวกับว่ามีระบบปฏิบัติการเพียงระบบเดียว Microsoft ... พวกเขาเดินผิดทาง เมื่อพิจารณาถึงกรณีนี้สำหรับฉันแล้วดูเหมือนว่าในอนาคตเราจะถูกบังคับให้แฟลช UEFI ของบอร์ดด้วยเวอร์ชัน "ออกจำหน่าย" เหมือนที่เราทำในปัจจุบันกับ ROM ของผลิตภัณฑ์บางอย่าง โชคดีที่ความเฉลียวฉลาดของผู้ที่ต้องการอิสรภาพได้พิสูจน์แล้วว่าแข็งแกร่งกว่าผู้ที่ต้องการกำจัดมัน
ผู้ชาย .... มันไม่ง่ายอย่างที่ผู้ผลิตเลือกว่าจะรวมการบูตที่ปลอดภัยไว้ในฮาร์ดแวร์หรือไม่เราต้องไม่ลืมว่าไมโครซอฟต์เป็นผู้ผูกขาดในความเป็นจริงมันคือการผูกขาดและในฐานะผู้ผลิตโดยไม่ต้องพูดกับ Microsoft อาจหมายถึงการต้องเผชิญหน้ากับทนายความของพวกเขาเพิ่มต้นทุนใบอนุญาตที่ทำให้อุปกรณ์ของคุณมีราคาแพงขึ้นมากหรือแม้กระทั่งสูญเสีย 80% ของตลาดในประเทศ
ไม่ใช่ว่าจะปกป้องพวกเขา แต่ถ้าสิ่งที่ Microsoft รู้ว่าต้องทำอย่างไรคือกำหนดโดยการขู่กรรโชกและการผูกขาดทางเลือกเดียวคือสำหรับผู้ผลิตทั้งหมดหรืออย่างน้อยส่วนใหญ่จะเห็นด้วยและหยุดชะงักในคราวเดียว แต่ นั่นเป็นเรื่องยากอย่างมากที่จะเกิดขึ้นและ บริษัท เดียวไม่ว่าจะใหญ่แค่ไหนก็จะคิดทบทวนก่อนที่จะเสี่ยงกับธุรกิจไม่ว่าสิ่งที่ Microsoft ขอจะไม่ยุติธรรม / คืบคลาน / ไร้สาระแค่ไหนก็ตาม
มีการพูดคุยเกี่ยวกับหัวข้อนี้มากมายในบล็อกและฟอรัมต่างๆ แต่ฉันมีวันคิดถึงบางสิ่งบางอย่างอาจจะเป็นความโง่เขลาของฉัน แต่ในกรณีของ DELL และ HP (ฉันไม่รู้จัก บริษัท อื่น) ที่ขายเครื่อง Linux บูตที่ปลอดภัยจะหลุดหรือไม่
ฉันคิดว่าฉันได้อ่านแล้วว่าในกรณีเหล่านี้ผู้ผลิตวางระบบ UEFI / BIOS แบบคู่ดังนั้นหากคุณปิดใช้งาน UEFI คุณจะกลับไปที่ BIOS สิ่งนี้ควรเพิ่มต้นทุนตามธรรมชาติ
ในที่สุด BIOS ควรจะหายไปเนื่องจากเรารู้ว่ามันเป็นประโยชน์ต่อ UEFI หรือมาตรฐานอื่น ๆ ที่ดีกว่าที่เชื่อกันเนื่องจากเทคโนโลยี BIOS นั้นเก่าและทำให้มีข้อ จำกัด
สุภาพบุรุษลายเซ็นของคำร้อง FSF ในเรื่องนี้:
เราซึ่งเป็นผู้ลงนามขอเรียกร้องให้ผู้ผลิตคอมพิวเตอร์ทุกรายที่ใช้ "Secure Boot" ของ UEFI ดำเนินการดังกล่าวในลักษณะที่อนุญาตให้ติดตั้งระบบปฏิบัติการฟรี เพื่อเคารพเสรีภาพของผู้ใช้และปกป้องความปลอดภัยอย่างแท้จริงผู้ผลิตต้องอนุญาตให้เจ้าของคอมพิวเตอร์ปิดการใช้งานข้อ จำกัด ในการบู๊ตหรือจัดหาระบบที่เชื่อถือได้เพื่อติดตั้งและเรียกใช้ระบบปฏิบัติการฟรีที่ตนเลือก เราสัญญาว่าเราจะไม่ซื้อหรือแนะนำคอมพิวเตอร์ที่พรากเสรีภาพที่สำคัญนี้ไปจากผู้ใช้และเราจะสนับสนุนให้คนในชุมชนของเราหลีกเลี่ยงระบบที่ถูกขังอยู่ในกรง
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
สมบูรณ์แบบขอลงชื่อและแชร์กับ LUG และเว็บอื่น ๆ ขอบคุณสำหรับความคิดเห็น