Linux et démarrage sécurisé. Une erreur que nous ne pouvons pas répéter

Linux et démarrage sécurisé

Dans le article précédent J'ai rappelé un précédent à l'exigence de Microsoft d'exiger que le module TPM version 2 puisse utiliser Windows 11. Je fais référence à l'exigence selon laquelle les ordinateurs avec Windows 8 pré-installé utilisent UEFI au lieu du BIOS pour le chargeur de démarrage et que le module Secure Boot était pré-installé.  Maintenant, je vais parler de la mauvaise façon, à mon avis, dont Linux a traité le problème.

Linux et démarrage sécurisé

Secure Boot nécessite que chaque programme démarré ait une signature qui garantit son authenticité stockée dans la base de données de la mémoire non volatile de la carte mère. Il y a deux façons d'apparaître dans cette base de données. Qu'il soit inclus par le fabricant ou inclus par Microsoft.

La solution atteinte par certaines distributions Linux avec Microsoft était que cette société acceptait la signature d'un binaire qui se chargerait de lancer le bootloader de chaque distribution. Ces binaires ont été mis à disposition de la communauté.

Par la suite, la Linux Foundation lancerait une solution générique pouvant être adoptée par toutes les distributions.

À la recherche d'une meilleure solution, un développeur Red Hat a suggéré ce qui suit à Linus Torvalds :

Salut Linus,

Pouvez-vous inclure cet ensemble de correctifs s'il vous plaît ?

Fournit une fonction par laquelle des clés peuvent être ajoutées dynamiquement à un noyau s'exécutant en mode de démarrage sécurisé. Pour permettre à une clé d'être chargée dans une telle condition, nous exigeons que la nouvelle clé soit signée par une clé que nous avons déjà (et en laquelle nous avons confiance), où les clés que nous avons "déjà" pourraient inclure celles intégrées dans le noyau, ceux de la base de données UEFI et ceux du matériel cryptographique.

Désormais, "keyctl add" gérera déjà les certificats X.509 qui sont signés comme celui-ci, mais le service de signature de Microsoft ne signera que les binaires exécutables EFI PE.

Nous pourrions demander à l'utilisateur de redémarrer dans le BIOS, d'ajouter la clé, puis de revenir en arrière, mais dans certaines circonstances, nous voulons pouvoir le faire pendant que le noyau est en cours d'exécution.

La façon dont nous avons trouvé pour résoudre ce problème consiste à intégrer un certificat X.509 contenant la clé dans une section appelée ".keylist" dans un binaire EFI PE, puis à obtenir le binaire signé Microsoft.

mot de Linus

La réponse de Linus (rappelons-nous que c'était avant sa retraite spirituelle pour reconsidérer son attitude dans les relations avec les autres), fut la suivante :

AVIS : Le texte suivant comprend des blasphèmes

Les gars, ce n'est pas un concours de bites.

Si vous souhaitez utiliser les binaires PE, veuillez continuer. Si Red Hat souhaite approfondir sa relation avec Microsoft, c'est * votre * problème. Cela n'a rien à voir avec le noyau que je maintiens. Il est facile pour vous d'avoir un moteur de signature qui analyse le binaire PE, vérifie les signatures et signe les clés résultantes avec votre propre clé. Le code, pour l'amour de Dieu, est déjà écrit, il est dans cette foutue demande d'inclusion.

Pourquoi devrais-je m'en soucier? Pourquoi le noyau devrait-il se soucier de certains idiots « nous ne signons que des binaires PE » ? Nous prenons en charge X.509, qui est la norme de signature.

Cela peut être fait au niveau de l'utilisateur. Il n'y a aucune excuse pour le faire dans le noyau.

Linus

Mon opinion est que Linus avait raison pour une fois. En réalité ni la Linux Foundation ni les distributions n'auraient dû être soumises au chantage de Microsoft.  Il est vrai que des utilisateurs auraient pu être perdus. Mais, comme il s'est avéré plus tard, Windows 8 était un échec et XP a continué à régner beaucoup plus longtemps.

La réalité est que lorsque Microsoft est confronté à une bataille, il est obligé de respecter les normes. Cela s'est produit lorsqu'elle a échoué avec SIlverlight et a été forcée d'adopter la norme Web HTML 5. Cela s'est produit lorsqu'elle a dû abandonner le développement du moteur de rendu Web et baser Edge sur Chromium.

N'oublions pas non plus que pour attirer les programmeurs, il ne fallait rien de moins que la possibilité d'exécuter Linux sur Windows.

Les distributions Linux sont mieux placées que jamais pour offrir aux utilisateurs une alternative pour continuer à utiliser un matériel parfaitement fonctionnel.


3 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   curefox dit

    Exactement, personne dans l'univers GNU/Linux ne devrait aller chez Microsoft ou n'importe quelle entreprise, nous devons être la résistance et défendre la liberté dans l'informatique, nous en avons déjà assez avec les prisons des téléphones portables, de sorte que maintenant nous devons avaler des demandes qui ne profite qu'à une seule entreprise.

  2.   ja dit

    Autant que je sache, les décisions de Microsoft n'ont jamais profité même à son propre écosystème, c'est juste une question de marketing dans la conviction que si vous ne pouvez pas exécuter tpm 2, vous changerez d'ordinateur juste pour exécuter w 11, si quelque chose a de gros dans Microsoft est l'ego, l'avenir c'est Linux et non Windows, et pour moi la décision de Microsoft est la meilleure pour rapprocher les utilisateurs de Linux

  3.   réperez19 dit

    J'adore Linux mais le manque de prise en charge du démarrage sécurisé m'oblige à n'avoir qu'Ubuntu voulant plus d'arc, dommage qu'en voulant suivre le courant, ils perdent des utilisateurs