Tôi tình cờ dịch bài báo này mà anh ấy đã viết James Bottomley, cố vấn kỹ thuật của Nền tảng Linux, người bắt đầu tập hợp một bộ nạp khởi động trước để bạn có thể khởi động Linux.
Như tôi đã giải thích trong bài viết trước, chúng tôi có mã cho bộ nạp khởi động trước Linux Foundation. Tuy nhiên, có một sự chậm trễ trong khi chúng tôi có quyền truy cập vào hệ thống ký của Microsoft.
Điều đầu tiên phải làm là trả $ 99 cho Verisign (bây giờ là Symantec) và có khóa được Verisign xác minh. Chúng tôi đã làm điều đó cho Linux Foundation, và tất cả những gì họ muốn làm là gọi đến trụ sở chính để xác minh. Khóa trả về trong một URL được cài đặt trong trình duyệt của bạn, nhưng các công cụ Linux SSL tiêu chuẩn có thể được sử dụng để trích xuất nó và tạo chứng chỉ và khóa PEM thông thường. Nó không liên quan gì đến việc ký UEFI, nhưng được sử dụng để xác thực hệ thống hệ thống Microsoft rằng bạn là chính bạn. Trước khi bạn có thể tạo tài khoản sysdev, bạn phải kiểm tra nó ký một tệp thực thi mà họ cung cấp cho bạn và tải nó lên. Họ đưa ra các yêu cầu nghiêm ngặt rằng bạn phải ký nó trên một nền tảng Windows cụ thể, nhưng ít nhất hãy đăng ký nó đã hoạt động và chơi lô tô tài khoản của chúng tôi đã được tạo.
Khi tài khoản được tạo, bạn vẫn không thể tải tệp nhị phân UEFI lên để đăng nhập mà không có ký hợp đồng giấy. Các giao dịch rất phức tạp, bao gồm rất nhiều giấy phép bị loại trừ (bao gồm tất cả GPL cho trình điều khiển, nhưng không cho bộ nạp khởi động). Phần gay cấn nhất là các thỏa thuận dường như đã đến ngoài các đối tượng UEFI mà bạn ký. Các luật sư của Linux Foundation kết luận rằng nó hầu như vô hại đối với LF vì chúng tôi không bán sản phẩm, nhưng nó có thể gây kinh tởm cho các công ty khác. Theo Matthew Garrett, Microsoft sẵn sàng đàm phán các thỏa thuận đặc biệt với các bản phân phối để giảm thiểu một số vấn đề đó.
Sau khi các thỏa thuận được ký kết, thực kỹ thuật vui. Bạn không thể chỉ tải tệp nhị phân UEFI lên và đã ký. Đầu tiên bạn phải bọc nó trong một tệp .cab. May mắn thay, có một dự án mã nguồn mở có thể tạo các tệp tủ được gọi là lcab. Sau đó bạn phải ký tệp .cab bằng khóa Verisign. Một lần nữa, có một dự án mã nguồn mở khác có thể làm điều đó: osslsigncode. Đối với bất kỳ ai cần những công cụ đó, chúng có sẵn trong kho lưu trữ OpenSuse Build Service UEFI của tôi. Vấn đề cuối cùng là tải tệp lên yêu cầu ánh bạc. Thật không may, ánh trăng dường như không hoạt động và ngay cả với bản xem trước phiên bản 4, hộp tải lên sẽ trống, vì vậy đã đến lúc sử dụng windows 7 dưới kvm (máy ảo dựa trên hạt nhân). Khi bạn đến phần đó, bạn cũng phải chứng nhận rằng mã nhị phân "được ký, không được cấp phép theo GPLv3 hoặc các giấy phép nguồn mở tương tự”. Tôi cho rằng đó là vì sợ lộ khóa nhưng nó không rõ ràng chút nào (tương tự với "giấy phép nguồn mở tương tự").
Khi quá trình tải lên hoàn tất, tệp nội các sẽ dừng qua bảy giai đoạn. Thật không may, lần leo thử nghiệm đầu tiên vẫn bị khóa trong giai đoạn 6 (chữ ký của các tập tin). Sau 6 ngày, tôi đã gửi một email hỗ trợ tới Microsoft để hỏi điều gì đang xảy ra. Câu trả lời: "Mã lỗi được tạo ra bởi quá trình ký kết là tệp của bạn không phải là ứng dụng Win32 hợp lệ. Nó có phải là một ứng dụng Win32 hợp lệ? ”. Trả lời: rõ ràng là không, nó là một tệp nhị phân UEFI 64 bit hợp lệ. Không còn câu trả lời nào nữa...
Tôi đã thử lại. Lần này tôi nhận được một email tải xuống tệp đã ký và bảng nói rằng ký không thành công. Tôi đã tải xuống và xác minh. Hệ nhị phân hoạt động trên nền tảng khởi động an toàn và được ký bằng khóa
topic = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / OU = MOPR / CN = Microsoft Windows UEFI Driver Publisher
nhà phát hành = / C = US / ST = Washington / L = Redmond / O = Microsoft Corporation / CN = Microsoft Corporation UEFI CA 2011Tôi đã hỏi bộ phận hỗ trợ tại sao quá trình chỉ ra lỗi nhưng tôi đã tải xuống hợp lệ và sau một loạt email, họ trả lời "không sử dụng tệp đó đã ký sai. Tôi sẽ quay lại với bạn. " Tôi vẫn không chắc vấn đề là gì, nhưng nếu bạn nhìn vào Chủ đề của khóa ký, không có gì trong khóa để chỉ ra cho Linux Foundation, do đó tôi nghi ngờ vấn đề là tệp nhị phân được ký bằng một khóa Microsoft chung thay vì một khóa cụ thể (và có thể thu hồi) được gắn với Linux Foundation.
Tuy nhiên, đây là trạng thái: Chúng tôi sẽ tiếp tục đợi Microsoft cung cấp cho Linux Foundation một bộ nạp khởi động trước đã ký và xác thực. Khi điều đó xảy ra, nó sẽ được tải lên trang Linux Foundation để mọi người sử dụng.
Fuente: http://blog.hansenpartnership.com/adventures-in-microsoft-uefi-signing/
Rút ra kết luận của bạn, nhưng điều này sẽ mất thời gian.
Nếu thực sự vấn đề của PC với win8 OEM đi kèm với hệ thống UEFI được giải quyết bằng cách vô hiệu hóa UEFI khỏi BIOS, thì đối với tôi, có vẻ như lỗi của cả nền tảng Linux và Fedora, Ubuntu và tôi không biết bản phân phối nào khác, hãy trả cho chứng chỉ và chấp nhận các giới hạn do Microsoft áp đặt.
CHÚNG TA PHẢI NGỪNG LÀ ĐÈN !!!!!
nhưng tôi biết Windows 8 vẫn chưa được khởi động
Hehehe, thậm chí không phải là một vấn đề lớn. Vâng, ít nhất đối với tôi. Đó là quan điểm cá nhân, tôi không muốn làm mất lòng ai.
Không thể tắt UEFI khỏi BIOS, vì UEFI là Phần mềm cơ sở thay thế BIOS đã tồn tại lâu đời.
Những gì chúng ta đang nói đến là Khởi động an toàn, một tính năng UEFI xác minh tính xác thực của phần mềm mà chúng ta khởi động máy tính thông qua chữ ký số, đó là Khởi động an toàn nên bị vô hiệu hóa.
Không đơn giản như việc vô hiệu hóa Secure Boot là xong, cần nhà sản xuất đã có sự cân nhắc đưa vào menu cho phép người dùng vô hiệu hóa Secure Boot, nếu nhà sản xuất không muốn tắt thì sẽ rất phức tạp. để người dùng có thể làm như vậy, có thể phải thay thế phần sụn bo mạch chủ bằng một phần mềm không chính thức.
Giải pháp của Quỹ Linux sẽ là giải pháp "phổ quát" cho bất kỳ phần cứng nào bị ảnh hưởng bởi căn bệnh này và cho phép bất kỳ hệ thống nào được cài đặt chỉ trả một chữ ký điện tử duy nhất một lần, đây chắc chắn là điều khiến họ sợ hãi và tại sao họ lại làm nhiều cầu nguyện
«Không đơn giản như việc vô hiệu hóa Secure Boot là xong, cần nhà sản xuất đã tính đến việc đưa vào menu cho phép người dùng vô hiệu hóa Secure Boot, nếu nhà sản xuất không muốn tắt nó sẽ rất phức tạp cho người dùng. để có thể làm điều đó, »
Vì vậy, điều cần làm là một chiến dịch xóa mù chữ kỹ thuật số, nơi người dùng giải thích rằng họ yêu cầu máy tính có tính năng đó và thay vào đó mua máy tính khác.
Tất cả những điều này là để kiếm tiền bằng cách xác thực những gì có thể và không thể khởi động với khởi động an toàn.
Sự kém cỏi hoàn toàn không thể phân biệt được với ý đồ xấu.
Mặc dù có một câu nổi tiếng của Robert J. Hanlon nói rằng: "Đừng bao giờ quy cho ác ý mà được giải thích một cách thỏa đáng bằng sự ngu ngốc", trong trường hợp cụ thể của Microsoft, rất nhiều khó khăn ngớ ngẩn đối với một quy trình được cho là đã hình thành và nghĩ ra để tốt hơn bảo mật, nó tiếp tục tạo ấn tượng rằng họ đang cản trở Linux Foundation để không thể cài đặt linux trên các PC mới với UEFI, vì vậy Microsoft không có đối thủ.
Chính xác. Tôi không thích ý tưởng, một khởi đầu được cho là an toàn ... Nó làm tôi sợ. Đối với tôi, dường như Microsoft có những mục đích rất ... Mafia.
Tôi còn quá mệt mỏi với Microsoft và những thao tác của nó, và tôi thậm chí còn sợ những ý định của họ, và mệt mỏi với việc họ giả vờ thống trị từng PC hoặc thiết bị tồn tại trên thị trường.
Tôi hy vọng rằng Linux sẽ hoàn thành việc cất cánh hàng loạt và chiếm ưu thế trong số người dùng cuối và Windows cuối cùng cũng bị gạt ra ngoài lề về tổng thể, đối với lỗi hệ điều hành đó.
Điều này nhắc tôi nhớ đến bằng sáng chế được cấp cho Microsoft bởi hệ thống theo mặc định bị giới hạn và để mở khóa tiềm năng đầy đủ của nó hoặc cài đặt bất kỳ chương trình bên thứ ba nào, giấy phép là cần thiết mà tất nhiên người dùng hoặc người dùng phải trả tiền. Các bên thứ ba muốn ứng dụng của họ được cài đặt trên hệ điều hành. Việc họ chưa thực hiện nó không có nghĩa là họ không có ý định và tôi có ấn tượng rằng UEFI đang chuẩn bị cơ sở cho việc này.
Điều làm tôi ngạc nhiên là các mã nhị phân 64bist không thành công và buộc các mã nhị phân 32bit…. Chúng là phiên bản ngược, hầu như không có bộ xử lý kiến trúc x86 32-bit mới nào trên thị trường. Nó sẽ hoạt động ở 64bits.
uu
Chữ ký số hoặc khởi động an toàn đang cố gắng ngăn "thứ gì đó" không phải là hệ thống khởi động. Nó cũng là để tránh cái gọi là vi phạm bản quyền hoặc sao chép bất hợp pháp phần mềm độc quyền.
Thực hiện phân tích và điều tra cái gọi là két an toàn Win8 với khởi động an toàn được ca tụng rất nhiều đã cho thấy sự kém cỏi của nó khi gần đây họ đã phát hiện ra một lỗ hổng bảo mật.
Do những điều trên, và không cần phải là một thiên tài trong ngành, với các tiến sĩ và những người khác, có thể suy ra rằng đó chỉ là một khái niệm tiếp thị đi kèm với tiền đề của Microsoft là trở thành một hệ thống khép kín kiểu quả táo.
Đánh giá, tư vấn và nghiên cứu cá nhân tôi có thể nói từ góc độ cá nhân của tôi rằng UEFI / Secure Boot là một trò lừa đảo và lừa đảo chỉ nhằm mục đích buộc và hỗ trợ dự án của Microsoft đóng cửa hệ sinh thái của nó hoàn toàn, lợi dụng thực tế là nó vẫn có thể hoạt động nhất định áp lực trong mảng máy tính cá nhân.
Kỳ nghỉ này tôi sẽ tìm cách kiện Microsoft. Tôi ghét họ.
Hehehe, nếu mình có ham muốn và thời gian thì mình cũng đòi. Đó là một sự vi phạm tự do. Trừ khi họ tạo ra một phiên bản khác của EULA khét tiếng, nơi họ chỉ định rằng bằng cách chấp nhận hợp đồng, bạn đồng ý không cài đặt bất kỳ phần mềm nào khác lol, điều này sẽ không làm tôi ngạc nhiên.
+1
Chúng ta sẽ xem microsoft làm như thế nào với win8 và UEFI / secureboot của nó, có thể nó sẽ mất một phần thị trường nghiêng về macbook hoặc chromebook.
Và ai biết được, có thể một ngày nào đó, một nhà sản xuất máy tính nào đó sẽ xuất hiện để ủng hộ Linux và các hệ thống miễn phí khác.
mmm và nếu cộng đồng linux "biểu hiện" vào ngày internet và ngày của lập trình viên chẳng hạn, trước cửa hàng hp nào đó (ít nhất để nói rằng) thể hiện sự đánh giá cao của họ đối với thương hiệu nhưng họ không đồng ý với việc sử dụng windows ?.
Và nếu trong những ngày "lễ hội cài đặt" đi ra ngoài đường phố hoặc quảng trường công cộng?
Một thực tế đáng buồn là tất cả người dùng Linux cộng lại chỉ chiếm một phần nhỏ trong số người dùng Windows, vì vậy các nhà sản xuất phần cứng đương nhiên ưu tiên hệ điều hành có thị phần cao nhất. vì vậy tôi thấy không chắc rằng một cuộc biểu tình sẽ thay đổi mọi thứ.
Theo tôi, chẳng hạn, việc biến Linux trở thành một nền tảng hấp dẫn hơn cho các ứng dụng và trò chơi có thể có nhiều ảnh hưởng hơn nhiều cuộc biểu tình chống lại MS. Nhưng điều này cần thời gian (và nguồn lực).
Việc tấn công Micro $ oft và Khởi động an toàn của nó cũng được, nhưng hãy nhớ rằng chính các nhà sản xuất bo mạch chủ đã đưa nó theo mặc định vào UEFI, như thể chỉ có một hệ điều hành; Của Microsoft ... họ đã đi sai đường. Xem xét trường hợp này, có vẻ như với tôi rằng trong tương lai chúng ta sẽ buộc phải flash UEFI của các bo mạch có phiên bản "đã phát hành" như hiện nay với ROM của một số sản phẩm nhất định. May mắn thay, sự khéo léo của những người khao khát tự do đã tỏ ra mạnh mẽ hơn so với sự khéo léo của những người tìm cách diệt trừ nó.
Người ơi .... Không đơn giản chỉ là việc nhà sản xuất chọn có đưa tính năng khởi động an toàn vào phần cứng của mình hay không, chúng ta không được quên rằng Microsoft là một Độc quyền, trên thực tế nó là Độc quyền và là một nhà sản xuất, nói không với Microsoft có nghĩa là không đối mặt với luật sư của họ, tăng chi phí giấy phép khiến thiết bị của bạn đắt hơn nhiều, hoặc thậm chí mất 80% thị trường trong nước.
Không phải là nó bảo vệ họ, nhưng nếu điều gì đó mà Microsoft biết cách làm chính xác là áp đặt dựa trên tống tiền và Độc quyền, thì lựa chọn duy nhất sẽ là tất cả các nhà sản xuất hoặc ít nhất là đa số đồng ý và dừng chân ngay lập tức, nhưng điều đó cực kỳ khó xảy ra và một công ty, dù quy mô lớn đến đâu, sẽ suy nghĩ kỹ trước khi mạo hiểm kinh doanh, bất kể những gì Microsoft yêu cầu không công bằng / rùng rợn / vô lý đến mức nào.
Đã có rất nhiều cuộc thảo luận về vấn đề này trên các blog và diễn đàn khác nhau, nhưng tôi có nhiều ngày suy nghĩ về điều gì đó, có lẽ đó là sự ngu ngốc của tôi nhưng, trong trường hợp của DELL và HP (tôi không biết các công ty khác) bán máy Linux, khởi động an toàn không nó sẽ tắt?
Tôi nghĩ rằng tôi đã đọc rằng trong những trường hợp này, các nhà sản xuất đặt một hệ thống UEFI / BIOS kép để nếu bạn tắt UEFI, bạn sẽ dự phòng cho BIOS. Điều này đương nhiên sẽ làm tăng chi phí.
Cuối cùng thì BIOS cũng sẽ biến mất vì chúng ta biết nó có lợi cho UEFI hoặc các tiêu chuẩn khác tốt hơn được cho là bởi vì công nghệ BIOS đã cũ và do đó có những hạn chế.
Các quý ông, một chữ ký vào bản kiến nghị của FSF về vấn đề này:
Chúng tôi, các bên ký kết, kêu gọi tất cả các nhà sản xuất máy tính triển khai cái gọi là "Khởi động an toàn" của UEFI làm như vậy theo cách cho phép cài đặt hệ điều hành miễn phí. Để tôn trọng quyền tự do của người dùng và thực sự bảo vệ an ninh của họ, các nhà sản xuất phải cho phép chủ sở hữu máy tính tắt các hạn chế khởi động hoặc cung cấp một hệ thống đáng tin cậy để cài đặt và chạy hệ điều hành miễn phí mà họ lựa chọn. Chúng tôi cam kết sẽ không mua hoặc giới thiệu các máy tính lấy đi quyền tự do quan trọng này của người dùng và chúng tôi sẽ tích cực khuyến khích mọi người trong cộng đồng của chúng tôi tránh các hệ thống lồng ghép như vậy.
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Hoàn hảo, yêu cầu đã được ký và chia sẻ với LUG và phần còn lại của web, cảm ơn bạn đã nhận xét.