Организация Linux Foundation столкнулась с трудностями заверения UEFI-загрузчика ключом Microsoft
20 ноября 2012 года
Джеймс Боттомли (James Bottomley), известный разработчик ядра Linux, входящий в координационный технический комитет Linux Foundation, рассказал о неожиданных трудностях, возникших при попытке использования сервиса по заверению сторонних загрузчиков ключом Microsoft, позволяющим использовать данные загрузчики на укомплектованных ОС Windows 8 системах с включенным режимом безопасной загрузки UEFI. Напомним, что организация Linux Foundation намерена распространять от своего лица небольшой промежуточный загрузчик, который будет заверен ключом от компании Microsoft и даст любому дистрибутиву возможность работы на системах с активным по умолчанию режимом безопасной загрузки UEFI.
Проблемы начались при первом входе в сервис, созданный для заверения загрузчиков и драйверов ключом Microsoft и рекламируемый как средство для снятия барьеров по запуску систем от сторонних производителей на оборудовании, укомплектованном операционной системой Windows 8. На деле процесс заверения выходит за рамки проверки соответствия загрузчика техническим требованиям. Перед тем как загрузить UEFI-загрузчик для формирования подписи требуется заключить специальный контракт, который оговаривает множество тонкостей и налагает серию ограничений.
Наиболее серьёзным ограничением является то, что соглашение оговаривает не только особенности использования загрузчика и объектов, участвующих в проверке с использованием режима безопасной загрузки UEFI, но и связанных с ними компонентов. Проанализировав соглашение юристы пришли к выводу, что для Linux Foundation эти требования не принесут вреда, так как организация не занимается распространением продуктов, но для других компаний данные требования могут привести к неприятностям. Кроме того, в контракте обозначен список лицензий, распространяемые под которыми приложения не могут быть заверены ключом Microsoft. Среди таких лицензий присутствует и GPLv2, но, к счастью, область запрета распространяется только на драйверы. На загрузчик действует только запрет использования GPLv3 и подобных лицензий.
При попытке загрузки файла было обнаружено, что его нужно загружать в формате архива CAB (Microsoft Cabinet), подписанного ранее полученным ключом Verisign. Подобный архив удалось создать при помощи свободной утилиты lcab и подписать программой osslsigncode. После этого при загрузке архива в сервис обнаружилась необходимость использования браузера с поддержкой плагина Silverlight, который работает только в Windows. На этот раз без Windows обойтись не удалось, так как с плагином Moonlight форма загрузки работать отказалась.
В итоге, после преодоления всех предварительных препятствий UEFI-загрузчик был добавлен для проверки, на что сервис выдал ошибку c непонятным номером. После 6 дней разбирательств, служба поддержки ответила, что этот код обозначает то, что исполняемый файл не является корректным Win32-приложением. В ответ им было заявлено, что это 64-разрядный UEFI-бинарник, после чего ответа не последовало, но повторная загрузка прошла стадию проверки, но привела к ошибке формирования подписи. Тем не менее, несмотря на ошибку, подписанный файл стал доступен для загрузки и при этом работал на платформах с режимом безопасной загрузки. Самое интересное, что судя по параметрам подписи, файл был подписан основным ключом Microsoft и как для продукта Microsoft (в поле получателя было указано Microsoft Corporation, вместо Linux Foundation), без возможности отзыва подписи. На вопрос в службу поддержки, был дан совет не использовать данный файл, так как он подписан неверно.
В настоящий момент процесс формирования подписи всё ещё не завершён, но Linux Foundation не отчаивается и продолжает свои попытки. После того как корректно заверенный UEFI загрузчик будет сформирован, он будет опубликован для общего использования на сайте организации.
Из других событий, связанных с режимом безопасной загрузки UEFI, можно отметить публикацию Министерством внутренних дел Германии
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.