Пригоди у підписі UEFI від Microsoft

Я випадково перекладаю цю статтю, яку він написав Джеймс Боттомлі, технічний радник Linux Foundation, які почали складати попередній завантажувач, щоб ви могли завантажувати Linux.

Як я пояснив у своєму попередньому дописі, у нас є код для попереднього завантажувача Linux Foundation. Однак було затримка поки ми мали доступ до системи підписання Microsoft.

Перше, що потрібно зробити, це заплатіть 99 доларів Verisign (нині Symantec) і мати ключ, перевірений Verisign. Ми зробили це для Linux Foundation, і все, що вони хочуть, - це зателефонувати до штабу для перевірки. Ключ повертається за URL-адресою, встановленою у вашому браузері, але для його вилучення та створення звичайного сертифіката та ключа PEM можна використовувати стандартні інструменти SSL Linux. Це не має нічого спільного з підписанням UEFI, але використовується для перевірки системи sysdev Microsoft, що ти є тим, ким ти кажешся. Перш ніж створити обліковий запис sysdev, його потрібно протестувати підписавши виконуваний файл, який вони вам дають, і завантажте його. Вони встановлюють суворі вимоги, щоб ви підписували його на певній платформі Windows, але sbsign принаймні це спрацювало, і bingo був створений наш обліковий запис.

Після створення облікового запису ви все одно не можете завантажувати двійкові файли UEFI для підписання без попереднього підписати паперовий контракт. Угоди дуже обтяжливі, включаючи багато виключених ліцензій (включаючи всі GPL для драйверів, але не для завантажувачів). Найбільш обтяжливим є те, що домовленості, здається, надходять за межами підписаних вами об'єктів UEFI. Юристи Фонду Linux дійшли висновку, що це здебільшого нешкідливо для НЧ, оскільки ми не продаємо продукцію, але це може викликати огиду для інших компаній. За словами Метью Гарретта, Microsoft готова домовлятися про спеціальні угоди з дистрибутивами, щоб пом'якшити деякі з цих проблем.

Після підписання угод справжня технічне задоволення. Ви не можете просто завантажити двійковий файл UEFI і підписати його. Спочатку ти повинен оберніть його у файл .cab. На щастя, існує проект з відкритим кодом, який може створювати файли кабінету під назвою lcab. Тоді треба підпишіть файл .cab ключем Verisign. Знову ж таки, є ще один проект з відкритим кодом, який може це зробити: osslsigncode. Для тих, хто потребує цих інструментів, вони доступні в моєму сховищі openSuse Build Service UEFI. Нарешті, проблема полягає в завантаженні файлу вимагає сріблястого світла. На жаль, місячне світло, здається, не працює, і навіть з попереднім переглядом версії 4 поле завантаження стає порожнім, тому настав час використовувати Windows 7 під kvm (віртуальна машина на основі ядра). Дійшовши до цієї частини, ви також повинні засвідчити, що двійковий файл «підписується, не повинні ліцензуватися відповідно до GPLv3 або подібних ліцензій з відкритим кодом". Я припускаю, що це через страх розкриття ключів, але це зовсім не зрозуміло (те саме з "подібними ліцензіями з відкритим кодом").

Після завершення завантаження файл кабінету зупиняється через сім етапів. На жаль, перший пробний підйом залишився замикається на етапі 6 (підпис файлів). Через 6 днів я надіслав електронну пошту до корпорації Майкрософт із запитом, що відбувається. Відповідь: «Код помилки, який видає процес підписання, такий ваш файл не є дійсним додатком Win32. Це дійсний додаток Win32? ”. Відповідь: очевидно, ні, це дійсний 64-бітний двійковий файл UEFI. Більше відповідей не було...

Я спробував ще раз. Цього разу я отримав електронний лист із підписаним файлом, і дошка повідомляє про це підписаний не вдався. Я завантажив його та перевірив. Бінарний файл працює на платформі secureboot і підписується ключем

subject = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
емітент = / C = США / ST = Вашингтон / L = Редмонд / O = корпорація Microsoft / CN = корпорація Microsoft UEFI CA 2011

Я запитав у служби підтримки, чому процес вказував на помилку, але я завантажив дійсне, і після шквалу електронних листів вони відповіли: "не використовувати той файл, який був неправильно підписаний. Я повернусь до вас ". Я все ще не впевнений, у чому проблема, але якщо ви подивитесь на Тему ключа підписання, у ключі немає нічого, що можна вказати Linux Foundation, тому я підозрюю, що проблема в тому, що двійковий файл підписаний загальним ключем Microsoft, а не конкретним (і відкличним) ключем, прив'язаним до Linux Foundation.

Однак такий статус: ми будемо продовжувати чекати, поки Microsoft надасть Linux Foundation підписаний та перевірений попередній завантажувач. Коли це станеться, його буде завантажено на сайт Linux Foundation для використання усіма.

Фуенте: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/

Зробіть свої висновки, але це займе час.


25 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   роло - сказав він

    Якщо дійсно проблема ПК з win8 OEM, що поставляються з системою UEFI, вирішується відключенням UEFI з BIOS, мені здається помилкою, що і фундація Linux, і Fedora, Ubuntu, і я не знаю, який ще дистрибутив, платять для сертифіката та прийміть обмеження, накладені корпорацією Майкрософт.

    МИ ПОВИННІ ПЕРЕСТАНОВИТИ БУТИ АГНЦІ !!!!!

    1.    sieg84 - сказав він

      але я знаю, що Windows 8 залишається не завантаженою

      1.    Блер Паскаль - сказав він

        Хе-хе, навіть не велика проблема. Ну, принаймні для мене. Це особиста думка, я не хочу нікого ображати.

    2.    Шиба87 - сказав він

      UEFI не можна вимкнути з BIOS, оскільки UEFI - це прошивка, яка приходить на заміну більш ніж довговічному BIOS.

      Йдеться про Secure Boot, функцію UEFI, яка перевіряє справжність програмного забезпечення, за допомогою якого ми запускаємо комп’ютер за допомогою цифрових підписів; саме Secure Boot слід відключити.

      Це не так просто, як відключити Secure Boot, і все, потрібно, щоб виробник врахував включення меню, яке дозволяє користувачам відключити Secure Boot, якщо виробник не хоче, щоб його відключили, це буде дуже складно щоб користувач міг це зробити, можливо, доходячи до крайності необхідності замінити прошивку материнської плати на неофіційну.

      Рішення Фонду Linux було б "універсальним" рішенням для будь-якого обладнання, яке постраждало від цієї хвороби, і дозволило б встановити будь-яку систему, платячи єдиний цифровий підпис лише один раз, що, безсумнівно, їх лякає і чому вони так багато моляться

      1.    MSX - сказав він

        «Це не так просто, як відключити Secure Boot, і все, потрібно, щоб виробник врахував включення меню, що дозволяє користувачам відключити Secure Boot, якщо виробник не хоче, щоб його відключили, це буде дуже для користувача складно це зробити, »

        Отже, що потрібно зробити - це кампанія цифрової грамотності, де користувачам пояснюють, що вони вимагають комп’ютери з цією функцією, а замість цього купують інші.

      2.    тарегон - сказав він

        Все це для заробляння грошей шляхом перевірки того, що можна, а що не можна завантажувати за допомогою безпечного завантаження.

  2.   анти - сказав він

    Повна некомпетентність неможливо відрізнити від поганих намірів.

  3.   Хьюго - сказав він

    Хоча є відома фраза Роберта Дж. Хенлона, яка говорить: "Ніколи не приписуйте злісності те, що адекватно пояснюється дурістю", у конкретному випадку Microsoft, стільки безглуздих труднощів у нібито добре продуманому та продуманому процесі для кращого безпеки створюється враження, що вони заважають Linux Foundation, тому Linux не можна встановлювати на нові ПК з UEFI, так що Microsoft не має конкуренції.

    1.    Блер Паскаль - сказав він

      Точно. Мені не подобається ідея, нібито безпечний старт ... Мене це лякає. Мені здається, що Microsoft має дуже ... цілі мафії.

      1.    Бамлер - сказав він

        Я більш ніж втомився від Microsoft та її маніпуляцій, і навіть боюся її намірів і втомився від спроб домінувати над кожним з ПК чи пристроїв, що існують на ринку.

        Я сподіваюся, що Linux закінчує масовий зліт і переважає серед кінцевих користувачів, а Windows остаточно маргіналізується, загалом, для того, що це таке лайно.

        1.    Хьюго - сказав він

          Це нагадує мені патент, наданий корпорації Майкрософт, за яким система за замовчуванням обмежена, і для розкриття всього її потенціалу або встановлення будь-якої сторонньої програми необхідні ліцензії, за які, звичайно, повинен платити або користувач, або користувачі. Треті сторони, які хочуть, щоб їх програми були встановлені в операційній системі. Те, що вони цього ще не впровадили, не означає, що вони не мають наміру, і у мене складається враження, що UEFI готує для цього грунт.

  4.   ЕрунамоЯЗЗ - сказав він

    Мене дивує те, що 64-бістові двійкові файли виходять з ладу і змушують 32-бітні двійкові файли…. Вони ретроградні, на ринку навряд чи є нові 86-розрядні процесори архітектури x32. Він повинен працювати на 64 біта.

    uu

  5.   Хорхеманджаррезлерма - сказав він

    Цифровий підпис або безпечне завантаження намагається запобігти завантаженню "чогось іншого", крім системи. Це також для того, щоб уникнути так званого піратства або незаконного копіювання власного програмного забезпечення.

    Проведення аналізу та дослідження так званого сейфу Win8 з його набагато хваленим захищеним завантаженням показало свою некомпетентність, оскільки нещодавно вони виявили діру в безпеці.

    Завдяки вищевикладеному, і без необхідності бути генієм галузі з докторами наук та іншими, можна зробити висновок, що це лише маркетингова концепція, що супроводжується передумовою Microsoft стати закритою системою в стилі яблук.

    Особисто переглядаючи, консультуючи та вивчаючи, я можу сказати з моєї особистої точки зору, що UEFI / Secure Boot - це шахрайство та шахрайство, яке має на меті лише змусити та підтримати проект Microsoft повністю закрити свою екосистему, скориставшись тим, що він все ще може здійснювати певні тиск у сегменті персональних обчислень.

  6.   Павлоко - сказав він

    Ці канікули я збираюся знайти спосіб подати позов проти Microsoft. Я ненавиджу їх.

    1.    Блер Паскаль - сказав він

      Хе-хе-хе, якби у мене було бажання і час, я б також вимагав їх. Це порушення свободи. Якщо вони не зроблять іншу версію сумнозвісного EULA, де вони вкажуть, що, приймаючи контракт, ви погоджуєтесь не встановлювати будь-яке інше програмне забезпечення, ха-ха, що мене не здивує.

    2.    Бамлер - сказав він

      +1

  7.   носфератукс - сказав він

    Ми побачимо, як Microsoft працює зі своїм win8 та своїм UEFI / secureboot, можливо, він втратить якийсь ринок на користь macbook або chromebook.

    І хто знає, можливо, одного разу якийсь виробник ПК з’явиться на користь Linux та інших безкоштовних систем.

  8.   носфератукс - сказав він

    mmm, і якщо спільноти Linux "проявляються" в Інтернет-день і в день програміста, наприклад, перед деяким магазином hp (щонайменше) демонструючи свою вдячність за бренд, але незгоду з використанням Windows?

    І якщо в ті часи "встановити фест" вийде на вулиці чи громадські площі?

    1.    Хьюго - сказав він

      Сумна реальність полягає в тому, що всі користувачі Linux в сукупності складають частину користувачів Windows, тому виробники обладнання, природно, ставлять пріоритети в операційній системі з найбільшою часткою ринку. тому я бачу навряд чи демонстрація змінить ситуацію.

      На мій погляд, наприклад, зробити Linux більш привабливою платформою для додатків та ігор може мати більший вплив, ніж багато демонстрацій проти РС. Але для цього потрібен час (і ресурси).

  9.   Чарлі Браун - сказав він

    Добре атакувати Micro $ часто та його безпечну завантаження, але пам’ятайте, що саме виробники материнських плат включили його за замовчуванням до UEFI, ніби була лише одна ОС; Microsoft ... вони пішли неправильним шляхом. Розглядаючи випадок, мені здається, що в майбутньому ми будемо змушені прошивати UEFI плат із "випущеними" версіями, як це робимо сьогодні з ПЗУ певних продуктів. На щастя, винахідливість тих, хто прагне до свободи, виявилася сильнішою, ніж тих, хто прагне її викорінити.

    1.    Шиба87 - сказав він

      Чоловіче .... Це не так просто, як виробник вибирає, включати чи не включати безпечне завантаження в своє обладнання, ми не повинні забувати, що Microsoft - це Монополія, насправді це МОНОПОЛІЯ і як виробник, відмовляючи Microsoft може означати від необхідності зустрічатися з адвокатами, збільшувати вартість ліцензій, що робить ваше обладнання набагато дорожчим, або навіть втрачати 80% внутрішнього ринку.

      Це не те, що він захищає їх, але якщо щось, що Microsoft знає, це саме те, що накладається на вимагання та Монополія, єдиним варіантом було б, щоб усі виробники або принаймні більшість погодились і зупинили це відразу. , але цього надзвичайно важко здійснити, і одна компанія, якою б великою вона не була, двічі подумає, перш ніж ризикувати своїм бізнесом, незалежно від того, наскільки несправедливим / повзучим / абсурдним є те, про що вимагає Microsoft.

  10.   Alf - сказав він

    Про цю проблему було багато розмов у різних блогах та на форумах, але у мене є дні, що щось замислюються, можливо, це моя дурість, але у випадку з DELL та HP (я не знаю інших компаній), які продають машини Linux , чи не відірветься безпечне завантаження?

    1.    Хьюго - сказав він

      Здається, я вже читав, що в цих випадках виробники розміщують подвійну систему UEFI / BIOS, щоб, якщо ви відключите UEFI, ви повернулися до BIOS. Це, природно, повинно збільшити витрати.

      Врешті-решт BIOS повинен зникнути, оскільки ми це знаємо на користь UEFI або інших кращих стандартів, які, як вважаємо, є суттєвими, оскільки технологія BIOS застаріла і тому накладає обмеження.

  11.   Шиба87 - сказав він

    Панове, підпис до петиції ФСФ з цього приводу:

    Ми, що підписали Конвенцію, закликаємо всіх виробників комп'ютерів, які впроваджують так званий "Secure Boot" UEFI, робити це таким чином, що дозволяє встановлювати безкоштовні операційні системи. Щоб поважати свободу користувача та справді захищати їх безпеку, виробники повинні дозволити власникам комп’ютерів вимкнути обмеження завантаження або забезпечити надійну систему для встановлення та запуску вільної операційної системи на їх вибір. Ми обіцяємо, що не будемо купувати чи рекомендувати комп’ютери, які відбирають у користувача цю критичну свободу, і що ми активно заохочуватимемо людей у ​​наших громадах уникати таких систем, що перебувають у клітках.

    http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement

    1.    MSX - сказав він

      Ідеально, запит підписаний та спільний з LUG та рештою Інтернету, дякую за коментар.