Secure Boot : Red Hat achètera une clé à Verisign pour Fedora

01 juin 2012 à 17h32
0
0082000003226824-photo-fedora-logo-clubic-mikeklo.jpg
Afin de permettre l'installation de la distribution GNU/Linux Fedora en parallèle à Windows 8, Red Hat se munira d'une clé auprès de Verisign.

L'un des niveaux du programme de certification pour les OEM associé au futur Windows 8 prévoit la présence de l'UEFI (Unified Extensible Firmware Interface), ainsi que l'activation au niveau de cette dernière de la fonction Secure Boot. Gérée directement au niveau firmware, elle a pour objet de vérifier l'intégrité de la chaîne de démarrage de la machine et de bloquer le lancement du système si un élément étranger est repéré. Ce faisant, la machine est théoriquement protégée des logiciels malveillants de type rootkits, capables de se charger avant l'OS.

Le Secure Boot repose sur un système de signature numérique détenu par le fabricant d'ordinateur. Dans l'un de ses derniers billets, Matthew Garrett, développeur chez Red Hat, explique que la société a songé à contacter les fabricants afin d'obtenir une signature. Cependant, leur implémentation globale semblait un peu trop optimiste. La société a également envisagé de mettre en place une clé globale pour l'ensemble des distributions GNU/Linux. Cette mesure serait cependant bien trop onéreuse et se chiffrerait à plusieurs millions de dollars. Par ailleurs aucune entité n'aurait souhaité assurer la protection d'une clé globale de ce type.

04612496-photo-d-sactiver-secure-boot-uefi.jpg


Pour ces signatures numériques, Microsoft s'appuie sur Verisign. Red Hat a donc décidé d'acheter pour 99 dollars une clé qui sera embarquée au sein de Fedora 18. Les développeurs concevront ainsi un bootloader intégrant Grub en version 2 puis après vérification de la clé, le système sera en mesure d'être exécuté. Ce mécanisme permettra de déployer plus facilement des mises à jour pour l'amorce Grub. M.Garrett ajoute qu'il ne sera plus possible d'exécuter du code au sein de Grub puisque cela serait contraire à un Secure Boot. Aussi certains modules du kernel seront signés et plusieurs commandes pour ce dernier seront supprimées. Enfin les pilotes embarqués au sein de Fedora seront également signés mais Red Hat réfléchi à un moyen de protéger aussi les drivers externes.

Pour les utilisateurs souhaitant développer leur propre kernel, Matthew Garrett explique que Red Hat mettra à disposition les outils nécessaires lui servant à apposer une signature électronique à ses fichiers binaires sans pour autant révéler sa clé. Cette pratique pose cependant quelques problèmes à la communauté. En effet, Grub 2 est publié sous la licence GPL 3 selon laquelle l'intégralité du code source doit rester accessible. Il devient alors difficile de protéger la confidentialité d'une signature numérique...
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

NVIDIA en discussion avancée pour le rachat d'ARM pour au moins 32 milliards
Renault annonce une perte record de près de 7,3 milliards d'euros
Elon Musk veut fournir des logiciels, des batteries et des moteurs à d'autres constructeurs
Pour Windows Defender, CCleaner est une app indésirable
La première station de recharge à hydrogène ferroviaire annoncée en Allemagne
Rocambole : l'application est enfin de retour sur le Google Play Store !
L'électricité produite en Europe au premier semestre provenait majoritairement d'énergies renouvelables
Windows : le bug de recherche dans l'Explorateur bientôt réglé... Huit mois après
Vignette Crit'air : vers un durcissement des conditions d'obtention
Freebox Pop : la fibre, l'expérience TV et le répéteur Wi-Fi à l'honneur de la campagne d'affichage de la box
scroll top