Onun yazdığı bu makaleyi tercüme ediyorum James Bottomleyteknik danışmanı Linux Vakfı, kim bir araya getirmeye başladı önyükleyici bir önyükleyici, böylece Linux'u başlatabilirsiniz.
Önceki yazımda da açıkladığım gibi, Linux Foundation ön önyükleyicisinin koduna sahibiz. Ancak, bir gecikme Microsoft imzalama sistemine erişimimiz varken.
Yapılacak ilk şey Verisign'a 99 $ ödeyin (şimdi Symantec) ve Verisign tarafından doğrulanmış bir anahtara sahip olun. Bunu Linux Vakfı için yaptık ve onların tek yapmak istedikleri doğrulama için karargahı aramak. Anahtar, tarayıcınızda yüklü olan bir URL'de geri döner, ancak onu çıkarmak ve normal bir PEM sertifikası ve anahtarı oluşturmak için standart Linux SSL araçları kullanılabilir. UEFI imzalamayla ilgisi yoktur, ancak sistemi doğrulamak için kullanılır sistem dev Microsoft, söylediğiniz kişi olduğunuzu. Bir sysdev hesabı oluşturmadan önce onu test etmelisiniz size verdikleri ve yükledikleri bir yürütülebilir dosyayı imzalamak. Belirli bir Windows platformunda imzalamanız için katı şartlar getiriyorlar, ancak en azından işe yaradı ve hesabımız oluşturuldu.
Hesap oluşturulduktan sonra, önce imzalamak için UEFI ikili dosyalarını hala yükleyemezsiniz kağıt sözleşmesi imzalamak. Anlaşmalar, çok sayıda hariç tutulan lisans dahil (sürücüler için tüm GPL'ler dahil, ancak önyükleyiciler için değil) çok külfetli. En zahmetli kısım, anlaşmaların varmış gibi görünmesidir. imzaladığınız UEFI nesnelerinin ötesinde. Linux Vakfı'nın avukatları, ürün satmadığımız için LF'ye çoğunlukla zararsız olduğu sonucuna vardı, ancak bu diğer şirketler için iğrenç olabilir. Matthew Garrett'a göre Microsoft, bu sorunlardan bazılarını hafifletmek için dağıtımlarla özel anlaşmalar yapmaya isteklidir.
Anlaşmalar imzalandıktan sonra gerçek teknik eğlence. Bir UEFI ikili dosyası yükleyip imzalatamazsınız. Önce yapmalısın bir .cab dosyasına sarın. Neyse ki, lcab adında dolap dosyaları oluşturabilen açık kaynaklı bir proje var. O zaman yapmalısın .cab dosyasını Verisign anahtarıyla imzalayın. Yine, bunu yapabilen başka bir açık kaynaklı proje var: osslsigncode. Bu araçlara ihtiyaç duyan herkes için, bunlar openSuse Build Service UEFI depomda mevcuttur. Son sorun, dosyanın yüklenmesi gümüş ışık gerektirir. Ne yazık ki, ay ışığı çalışmıyor gibi görünüyor ve sürüm 4 önizlemesinde bile yükleme kutusu Windows 7 kullanma zamanı bir kvm (çekirdek tabanlı sanal makine) altında. Bu kısma geldiğinizde, ikilinin "imzalanacağını, GPLv3 veya benzer açık kaynak lisansları altında lisanslanmamalıdır”. Bunun anahtar ifşa korkusu için olduğunu varsayıyorum, ancak hiç net değil ("benzer açık kaynak lisansları" ile aynı).
Yükleme tamamlandığında, dolap dosyası yedi aşamada durur. Maalesef ilk test tırmanışı kaldı 6. aşamada kilitli (dosyaların imzası). 6 gün sonra Microsoft'a neler olduğunu soran bir destek e-postası gönderdim. Cevap: "İmzalama işlemi tarafından atılan hata kodu, dosyanız geçerli bir Win32 uygulaması değil. Geçerli bir Win32 uygulaması mı? ”. Cevap: Açıkçası hayır, geçerli bir 64 bit UEFI ikili dosyasıdır. Daha fazla cevap yoktu...
Tekrar denedim Bu sefer imzalanan dosya için bir indirme e-postası aldım ve pano şunu söylüyor: imzalanamadı. İndirdim ve doğruladım. İkili, güvenli önyükleme platformunda çalışır ve anahtarla imzalanır
konu = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
veren = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Desteğe işlemin neden bir başarısızlık gösterdiğini sordum, ancak geçerli bir indirme işlemi yaptım ve bir dizi e-postanın ardından, "o dosyayı kullanma yanlış imzalanmış. Sana geri döneceğim. " Hala sorunun ne olduğundan emin değilim, ancak imzalama anahtarının Konusuna bakarsanız, anahtarda Linux Foundation'a gösterilecek hiçbir şey yok, bu nedenle sorunun, Linux Foundation'a bağlı belirli (ve iptal edilebilir) bir anahtar yerine genel bir Microsoft anahtarı ile imzalanmasından şüpheleniyorum.
Ancak durum şudur: Microsoft'un Linux Foundation'a imzalı ve doğrulanmış bir ön önyükleyici vermesini beklemeye devam edeceğiz. Bu olduğunda, herkesin kullanması için Linux Foundation sitesine yüklenecektir.
kaynak: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Sonuçlarınızı çıkarın, ancak bu zaman alacak.
Gerçekten UEFI sistemiyle birlikte gelen win8 OEM'li bilgisayarların sorunu, UEFI'yi BIOS'tan devre dışı bırakarak çözülürse, bana hem Linux temeli hem de Fedora, Ubuntu ve benim hangi dağıtımın ödediğini bilmediğim bir hata gibi görünüyor. sertifika için ve Microsoft tarafından getirilen sınırlamaları kabul edin.
KUZU OLMAYI DURDURMALIYIZ !!!!!
ama Windows 8'in önyüklenmediğini biliyorum
Hehehe, önemli bir şey bile değil. Peki, en azından benim için. Bu kişisel bir görüş, kimseyi gücendirmek istemiyorum.
UEFI, uzun ömürlü BIOS'tan daha fazlasını değiştirmeye gelen Firmware olduğundan, UEFI BIOS'tan devre dışı bırakılamaz.
Bahsettiğimiz şey, bilgisayarı dijital imzalarla başlattığımız yazılımın gerçekliğini doğrulayan bir UEFI özelliği olan Secure Boot, devre dışı bırakılması gereken Secure Boot.
Güvenli Önyüklemeyi devre dışı bırakmak kadar basit değil ve işte bu, üreticinin, kullanıcıların Güvenli Önyüklemeyi devre dışı bırakmasına izin veren bir menü eklemeyi düşünmesi gerekir, eğer üretici devre dışı bırakılmasını istemezse, çok karmaşık olacaktır. Kullanıcının bunu yapabilmesi için, muhtemelen anakart aygıt yazılımını resmi olmayan bir yazılımla değiştirmek zorunda kalmanın en uç noktasına gidecek.
Linux Foundation'ın çözümü, bu hastalıktan etkilenen herhangi bir donanım için "evrensel" bir çözüm olacak ve herhangi bir sistemin yalnızca bir kez tek bir dijital imza ödeyerek kurulmasına izin verecek, kesinlikle onları korkutan şey ve neden bu kadar dua ediyorlar.
«Güvenli Önyüklemeyi devre dışı bırakmak kadar basit değil ve bu kadar, üreticinin, kullanıcıların Güvenli Önyüklemeyi devre dışı bırakmasına olanak tanıyan bir menü eklemeyi düşünmesi gerekir, eğer üretici devre dışı bırakılmasını istemezse, çok olacaktır. kullanıcının bunu yapabilmesi için karmaşık, »
Yani yapılması gereken, kullanıcılara bu özelliğe sahip bilgisayar talep ettiklerinin ve bunun yerine başkalarını satın aldıklarının anlatıldığı bir dijital okuryazarlık kampanyasıdır.
Tüm bunlar, güvenli önyükleme ile neyin önyüklenip başlatılamayacağını doğrulayarak para kazanmaktır.
Tamamen beceriksizlik, kötü niyetlerden ayırt edilemez.
Robert J. Hanlon'un meşhur bir sözü olsa da: "Aptallıkla yeterince açıklanan şeyi asla kötülüğe atfetmeyin", Microsoft'un özel durumunda, sözde iyi tasarlanmış ve daha iyi bir süreç için tasarlanmış birçok aptalca zorluk güvenlik, Linux Foundation'ı engelledikleri izlenimini vermeye devam ediyor, böylece linux, UEFI ile yeni PC'lere yüklenemez, böylece Microsoft'un rekabeti olmaz.
Kesin. Bu fikri beğenmedim, sözde güvenli bir başlangıç ... Beni korkutuyor. Bana öyle geliyor ki Microsoft'un mafya amaçları var.
Microsoft'tan ve manipülasyonlarından bıktım ve hatta niyetlerinden korkuyorum ve piyasada bulunan her bir PC veya cihaza hükmetme iddiasından bıktım.
Umarım Linux toplu halde yükselişini bitirir ve son kullanıcılar arasında galip gelir ve Windows, OS saçmalığı yüzünden nihayet tamamen marjinalleştirilir.
Bu bana, varsayılan sistemin sınırlandırıldığı Microsoft'a verilen patenti hatırlatıyor ve tüm potansiyelini açığa çıkarmak veya herhangi bir üçüncü taraf programını kurmak için, tabii ki kullanıcının veya kullanıcıların ödeme yapması gereken lisanslar gerekli. Uygulamalarının işletim sistemine yüklenmesini isteyen üçüncü taraflar. Henüz uygulamamış olmaları, niyet etmedikleri anlamına gelmez ve UEFI'nin bunun için zemin hazırladığı izlenimini edindim.
Beni şaşırtan şey, 64bist ikili dosyaların başarısız olması ve 32bit ikili dosyaları zorlaması…. Geriye dönüktürler, piyasada neredeyse hiç yeni 86 bit x32 mimari işlemcisi yoktur. 64 bitte çalışmalıdır.
uu
Dijital imza veya güvenli önyükleme, sistem dışındaki "bir şeyin" önyüklenmesini önlemeye çalışıyor. Ayrıca, özel mülk yazılımın sözde korsanlıktan veya yasadışı kopyalanmasından kaçınmak içindir.
Çok övünen güvenli önyüklemesi ile sözde Win8 kasası üzerinde bir analiz yapmak ve biraz araştırma yapmak, yakın zamanda bir güvenlik açığı keşfettikleri için beceriksizliğini gösterdi.
Yukarıdakilere bağlı olarak ve bir endüstri dehası olmak zorunda kalmadan, doktoralar ve diğerleri ile, bunun yalnızca Microsoft'un kapalı elma tarzı bir sistem olma öncülünün eşlik ettiği bir pazarlama konsepti olduğu sonucuna varılabilir.
Kişisel olarak gözden geçirme, danışmanlık yapma ve eğitim alma Kişisel bakış açımdan, UEFI / Secure Boot'un yalnızca Microsoft'un projesini ekosistemini tamamen kapatmaya zorlamayı ve desteklemeyi amaçlayan bir dolandırıcılık ve bir aldatmaca olduğunu söyleyebilirim. kişisel bilgi işlem segmentindeki baskı.
Bu tatil, Microsoft'u dava etmenin bir yolunu bulacağım. Onları sevmem.
Hehehe, arzum ve zamanım olsaydı, onları da isterdim. Bu bir özgürlük ihlalidir. Kötü şöhretli EULA'nın başka bir sürümünü yapmadıkları sürece, sözleşmeyi kabul ederek başka bir yazılım lol kurmamaya bağlı kaldığınızı belirttikleri sürece, bu beni şaşırtmaz.
+1
Microsoft'un win8 ve UEFI / secureboot ile nasıl çalıştığını göreceğiz, belki pazarın bir kısmını macbook veya chromebook lehine kaybedecektir.
Ve kim bilir, belki bir gün linux ve diğer özgür sistemler lehine bir bilgisayar üreticisi ortaya çıkacaktır.
mmm ve eğer linux toplulukları internet gününde ve programcıların gününde, örneğin bazı hp mağazalarının önünde (en azını söylemek gerekirse) markaya olan minnettarlıklarını ancak pencereleri kullanma konusundaki anlaşmazlıklarını gösteren "ortaya çıktılar".
Ve o günlerde "kurulum festivali" sokaklara veya meydanlara çıkarsa?
Üzücü gerçek şu ki, tüm Linux kullanıcıları bir arada Windows kullanıcılarının bir kısmını oluşturuyor, bu nedenle donanım üreticileri doğal olarak en yüksek pazar payına sahip işletim sistemine öncelik veriyor. bu yüzden bir gösterinin bir şeyleri değiştirmesinin olası olmadığını görüyorum.
Bana göre, örneğin, Linux'u uygulamalar ve oyunlar için daha çekici bir platform haline getirmek, MS'e karşı yapılan birçok gösteriden daha fazla etkiye sahip olabilir. Ancak bu zaman (ve kaynak) gerektirir.
Micro $ oft'a ve Güvenli Önyüklemeye saldırmak sorun değil, ancak bunu varsayılan olarak UEFI'ye, sanki tek bir işletim sistemi varmış gibi dahil eden ana kart üreticileri olduğunu unutmayın; Microsoft ... onlar yanlış bir yola girdiler. Durum göz önüne alındığında, bana öyle geliyor ki, gelecekte bazı ürünlerin ROM'unda yaptığımız gibi, "yayımlanmış" sürümleri olan kartların UEFI'sini flaşlamak zorunda kalacağız. Neyse ki, özgürlüğe talip olanların yaratıcılığının, onu ortadan kaldırmaya çalışanların yaratıcılığından daha güçlü olduğu kanıtlanmıştır.
Adamım .... Donanımına güvenli önyüklemeyi dahil edip etmemeyi üreticinin seçmesi kadar basit değil, Microsoft'un bir Tekel olduğunu, aslında TEKEL olduğunu ve Microsoft'a hayır diyen bir üretici olduğunu unutmamalıyız. avukatlarıyla yüzleşmek, ekipmanınızı çok daha pahalı hale getiren lisansların maliyetini artırmak veya hatta iç pazarın% 80'ini kaybetmek anlamına gelebilir.
Bu onları savunduğu anlamına gelmez, ancak Microsoft'un nasıl yapılacağını bildiği bir şey, tam da haraç ve Tekel temelinde empoze etmekse, tek seçenek tüm üreticilerin veya en azından çoğunluğun kabul edip bir kerede durdurması olacaktır , ancak bunun gerçekleşmesi son derece zor ve tek bir şirket, ne kadar büyük olursa olsun, Microsoft ne kadar adaletsiz / sürünen / saçma olursa olsun, işini riske atmadan önce iki kez düşünecektir.
Bu konu hakkında çeşitli bloglarda ve forumlarda çok fazla konuşma yapıldı, ancak bir şeyler hakkında düşündüğüm günler var, belki bu benim aptallığım ama Linux makineleri satan DELL ve HP (diğer şirketleri tanımıyorum) durumunda , güvenli önyükleme çıkacak mı?
Sanırım bu durumlarda üreticilerin ikili bir UEFI / BIOS sistemi yerleştirdiğini okudum, böylece UEFI'yi devre dışı bırakırsanız BIOS'a geri döneceksiniz. Bu, doğal olarak maliyetleri artırmalıdır.
Sonunda, UEFI veya inanılan diğer daha iyi standartlar lehine bildiğimiz gibi BIOS kaybolmalıdır, çünkü BIOS teknolojisi eskidir ve bu nedenle sınırlamalar getirir.
Beyler, bu konudaki FSF dilekçesine bir imza:
İmza sahipleri olarak, UEFI'nin sözde "Güvenli Önyükleme" özelliğini uygulayan tüm bilgisayar üreticilerini, bunu ücretsiz işletim sistemlerinin kurulmasına izin verecek şekilde yapmaya çağırıyoruz. Kullanıcı özgürlüğüne saygı duymak ve güvenliğini gerçek anlamda korumak için üreticiler, bilgisayar sahiplerinin önyükleme kısıtlamalarını devre dışı bırakmalarına izin vermeli veya seçtikleri ücretsiz bir işletim sistemini kurmaları ve çalıştırmaları için güvenilir bir sistem sağlamalıdır. Kullanıcıdan bu kritik özgürlüğü elinden alan bilgisayarları satın almayacağımızı veya önermeyeceğimizi ve topluluklarımızdaki insanları bu tür kafesli sistemlerden kaçınmaya aktif olarak teşvik edeceğimize söz veriyoruz.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Mükemmel, istek imzalandı ve LKG ve web'in geri kalanıyla paylaşıldı, yorum için teşekkürler.