UEFI Secure Boot - Débats - Linux et OS Alternatifs
Marsh Posté le 23-06-2012 à 15:25:16
je poste ici le blog de Matthew Garrett qui explique très bien la problématique complexe de l'uefi et du secure boot : http://mjg59.dreamwidth.org (premier article en septembre 2011).
Sinon, quelques précisions :
Secure Boot n'impose pas une clé microsoft, c'est juste qu'il y a 100% de chances que la seule clé présente de façon quasi universelle soit la clé microsoft.
La certification windows 8 impose :
Tout cela ne concerne que windows 8 et pas windows RT (sur ARM) qui a un boot signe et non désactivable (comme d'autres tablettes d'ailleurs).
En pratique, tout les PC de grandes marques seront dans ce cas et donc pour installer un autre OS dessus il faudra :
Le prix de la signature par la clé microsoft est de 99€ qu'on paye à verisign (et pas à microsoft).
Marsh Posté le 04-07-2012 à 09:05:59
https://www.fsf.org/campaigns/secur [...] epaper-web
La position de la FSF
Marsh Posté le 04-07-2012 à 18:26:28
Un lien vers un projet qui servira éventuellement.
http://sourceforge.net/projects/tianocore/
Marsh Posté le 19-10-2012 à 11:44:48
Je suis tombé sur ça aujourd’hui
--> http://www.presence-pc.com/actuali [...] tor=RSS-11
----
C’est mauvais, hein ?
Marsh Posté le 19-10-2012 à 16:37:53
Un genre de ransomware anti-rootkit
Le genre de truc qui fâche ...
Marsh Posté le 25-10-2012 à 22:44:34
ReplyMarsh Posté le 03-12-2012 à 22:22:38
News http://www.quebecos.com/modules/ne [...] oryid=5097
Marsh Posté le 06-02-2013 à 13:56:01
ReplyMarsh Posté le 06-02-2013 à 14:22:03
ztg a écrit : ca sera sur quelles cartes meres cette saloperie? |
samsung pour le moment a l'air zélé dans le genre. Ils ont meme oublié de demander des clefs.
http://www.h-online.com/open/news/ [...] 95332.html
et la réaction de samsung
http://www.techrepublic.com/blog/o [...] again/4150
Marsh Posté le 08-02-2013 à 06:10:07
Ben oui c'est prévisible... Et les gouvernements ne font rien
Monde de merde Personnellement, ça me rend fou de rage, j'ai commencé l'informatique en 1979 et j'ai vu arrivé crosoft comme une saloperie depuis le vol de CPM80...
Cet article est vieux (07/2012) : http://www.numerama.com/magazine/2 [...] linux.html
Qu'en est-il aujourd'hui ?
http://www.zdnet.com/more-fun-with [...] 000009292/
Je n'ai pas encore tout lu, mais ça semble intéressant !
http://doc.ubuntu-fr.org/efi
utile ou pas ?
PcInpact explique un peu le pb de plantage irréversible des Samsung avec linux : http://www.pcinpact.com/news/77159 [...] amsung.htm
PC-World confirme l'impossibilité d'installer linux sur des tablette Surface de Microsoft ce brigand !
http://www.pcworld.fr/logiciels/ac [...] mpaign=rss
|
Marc, si tu passes par là, vas-tu faire partie des personnes qui vont se mobiliser contre le racket que microsoft est en train de mettre an place ? Est-ce que Hardware.fr va commencer à écrire des articles engagés sur ce point ?
Marsh Posté le 09-02-2013 à 10:36:55
Citation : Je vous invite donc à faire tourner cet appel autour de vous, à en parler un max et à signer la pétition. Cela ne servira peut être pas à grand chose, mais c'est toujours mieux que de ne rien faire du tout |
c'est donc ce que j'ai fait.
Marsh Posté le 09-02-2013 à 10:38:21
Merlin_L_Enchanteur a écrit : |
bonne question
Marsh Posté le 09-02-2013 à 11:20:54
Ça fait quelques semaines que j'hésite à lancer un thread dans la rubrique hardware pour ça...
Marsh Posté le 09-02-2013 à 11:40:13
+1000
C'est vrai que lorsqu'on voit l'influence des médias sur la vie des citoyens aujourd'hui.......
Marsh Posté le 09-02-2013 à 18:01:32
Merlin_L_Enchanteur a écrit : Ça fait quelques semaines que j'hésite à lancer un thread dans la rubrique hardware pour ça... |
n'hesite pas
Marsh Posté le 12-02-2013 à 09:15:45
l'annonce officielle :
http://blog.hansenpartnership.com/ [...] -released/
Marsh Posté le 22-02-2013 à 17:54:48
bon je regarde pour acheter un truc genre miniPC, le souci c'est qu'il indique bios UEFI... comment puis je m'assurer que debian s'installera correctement dessus?
Marsh Posté le 24-02-2013 à 12:23:18
ztg a écrit : bon je regarde pour acheter un truc genre miniPC, le souci c'est qu'il indique bios UEFI... comment puis je m'assurer que debian s'installera correctement dessus? |
En commençant par comprendre se qu'est UEFI, pourquoi UEFI et savoir dissocier secure boot d'UEFI. Dans le pire des cas, il y a TOUJOURS un fallback de boot en mode "bios" (legacy, old quoi) des ordinateurs x86.
Marsh Posté le 27-02-2013 à 14:53:05
D'ailleurs je n'ai jamais compris l'interet d'UEFI. Personnellement, je ne passe pas ma vie dans le Setup du BIOS. Et le securboot, est une manière de dire que la machine ne m'appartient plus vraiment car elle ne pourra plus executer le code que je pourrais lui soumettre.
A mon avis, l'avenir du PC Linux est à regarder du coté des raspeberry et équivalents qui vont devenir de plus en plus puissants.
Marsh Posté le 27-02-2013 à 20:31:02
Linus Torvalds: I will not change Linux to “deep-throat Microsoft”
Citation : Guys, this is not a dick-sucking contest. |
La suite http://arstechnica.com/information [...] microsoft/
Marsh Posté le 16-03-2013 à 06:34:32
http://fr.wikipedia.org/wiki/Unifi [...] _Interface
ça bouge... même sur wikipédia
Marsh Posté le 27-03-2013 à 00:22:22
http://www.reuters.com/article/201 [...] E120130326
Marsh Posté le 27-03-2013 à 06:00:57
Y'a un truc que je comprend pas c'est l'association faite entre EFI/UEFI -un format remplaçant le BIOS, et vers lequel les utilisateurs linux ou opensource devraient être content d'aller, puisque l'exec (blob BIOS binaire) et ses extensions sont "sourcés"- et secure boot, qui est une extension "made in microsoft" pour EFI/UEFI, que n'importe quel admin s'intéressant au hardware saura viré avec une édition de l'UEFI bien placé entre les rotules ...
Maintenant, je veux bien être d'accord avec les détracteurs pour dire "ok on donne le droit a microsoft de dire si oui, ou non tel ou tel "binaire" a le droit de tourner en ultra root (ben ouai, un truc qui se lance sur le stub UEFI, c'est un root de root) c'est pas bien, et faut pas qu'on y arrive" en revanche, là ou je trouve que Linus a trouvé les mots justes, c'est pour dire que le kernel supporte déjà un mode de chiffrement, et que donc, en sous entendu :
-On refuse que microsoft signe pour tout le monde MAIS
-On est pas contre une telle "fonction" dans un UEFI MAIS
-Faut implémenter un standard ouvert
Marsh Posté le 27-03-2013 à 08:56:47
Le problème, c'est que la plupart des fabriquants risquent de ne pas implémenter la désactivation de sécure boot pour X raisons : fénéantise, accords avec M$, ... Un peu comme pour les smartphones, dont les marques décident de manière unilatérale si le boot permet de mettre un autre Android ou pas. Sans compter que dans le futur, certaines applications ou médias ne seront accessibles qu'avec le secure boot activé.
et concernant le bios, on s'en ofut un peu d'uefi : personnellement, je ne passe pas ma vie dans le setup du bios!
Marsh Posté le 27-03-2013 à 09:48:25
guimo33 a écrit : Le problème, c'est que la plupart des fabriquants risquent de ne pas implémenter la désactivation de sécure boot pour X raisons : fénéantise, accords avec M$, ... Un peu comme pour les smartphones, dont les marques décident de manière unilatérale si le boot permet de mettre un autre Android ou pas. Sans compter que dans le futur, certaines applications ou médias ne seront accessibles qu'avec le secure boot activé. |
Je dirai plutôt qu'on s'en fou que les fabriquant implémentent ou non la désactivation du secure boot :
-On peu virer le module via édition de l'UEFI, de la même manière que l'on peu rooter un smartphone.
-Le "truc" des applications : non désolée c'est pas possible se que tu dis. Aucuns DRM n'accède au Secure Boot et dans l'état actuel des choses, tant que l'UEFI ne change pas, Secure Boot ne peu pas intervenir une fois le bootstrap effectué, il peu juste bloquer un boot, ou encore ton OS peu refuser de booter si il ne l'a pas, chose qui ne sera pas le cas de Linux.
-On se fou moins d'UEFI que de Secure Boot je pense, dépend de ton point de vue, mais admettons que le GOP, et tout ce qu'il y a de prévue niveau PCI-sig sur les extensions pour la virtualisation (D-IO) gestion de l'énergie etc ... Arrive un jour a toucher le grand publique, crois moi que ça sera :
-la plus grosse avancée niveau uniformisation du boot, toutes plateformes confondues (macintel, x86, x86_64, arm)
-la plus grosse avancée niveau gestion des drivers a condition que les fabricants de matos "jouent" le jeu, a savoir plus besoin de drivers mais tout intégré dans une partition UEFI de ton disque dur, n'importe quel OS n'ayant plus qu'a gérer des appels standards, et biensur, tout ça, c'est DEJA open source. Le problème étant comme Linus le soulève, et comme il l'a toujours soulevé que ce code, même si open source, tout comme l'implémentation, qu'il reste foutrement fermé quand il s'agit de toucher a certains "secrets" de fabrication (de polichinelle en passant) niveau de certains fabricants hard (ATI/NVidia, ASmedia, certaines cartes BMC dans les serveurs, Broadcom dans une moindre mesure)
Je te préviens : je te donne la un avis objectif, après si tu continue d'être objectif et a ne voir que Secure Boot et prétendre que "la plupart" (=la plus grosse part) jouerons aux cons, et bien laisse moi te dire qu'ils feront exprès de tirer pour faire ce que tu dit, juste pour te faire chier (ainsi que la communauté de gueulards qui n'arrivent pas a comprendre qu'il existe déjà des solutions pour contourner le problème et qui préfèrent couiner un peu partout plutôt que de se mettre en relation avec les industriels pour justement régler le problème "a la base" ) en gros : t'as déjà perdu.
Marsh Posté le 27-03-2013 à 10:01:39
Je suis bien curieux sur comment éditer uefi pour virer un module! Quand au root, c'est de la bidouille et surtout le marché des cartes meres est moins uniforme que celui des mobiles, personne ne cherchera de faille sur les uefi excepté pour quelques cartes mères ASUS et autres...
Pour les DRM, c'est la chaine de confiance :
Le matériel est OK pour lire des fichiers protégés (pas de faille matérielle permettant de récuperer le flux via des pistes imprimées)
1/ Le matériel vérifie le noyau : ok c'est un bon noyau windows pas patché
2/ Le noyau windows vérifie que les executables (achetés via le store) ne permettent pas d'extraire du flux via un système de signature similaire.
3/ Le noyau vérifie aussi qu'il a booté via uefi pour garantir que le pc est un bon pc sympa pour acceder aux médias, et non un pc bidouillé ou une machine virtuelle. Bien sur, impossible de modifier cette fonction à cause du 1/
3/ Les executables envoient le flux vers le matériel. L'utilisateur n'a donc aucun moyen de placer une récupération du flux entre les deux. C'est le principe de la chaine de confiance.
L'uefi est juste un maillon dans la chaine de confiance.
-> si un utilisateur modifie l'executable pour enregistrer sur le disque le flux media décodé, la signature de l'executable ne correspond plus : le noyau ne voudra pas la lancer
-> Si un utilisateur modifie le noyau pour permettre l'execution d'executables non signés : l'uefi ne permettra pas le boot sur ce noyau.
Marsh Posté le 27-03-2013 à 11:17:51
guimo33 a écrit : Je suis bien curieux sur comment éditer uefi pour virer un module! Quand au root, c'est de la bidouille et surtout le marché des cartes meres est moins uniforme que celui des mobiles, personne ne cherchera de faille sur les uefi excepté pour quelques cartes mères ASUS et autres... |
Manque plus qu'un soupçon de théorie du complot et le compte est bon <_<
Non mais sérieusement, t'as vue ce que t'as écrit ?
C'est comme dire que la gestion d'un truc du genre HDCP, DRM sur les bluray et autre, c'est dépendant du BIOS/UEFI de la carte mère, tu te rend compte qu'on t'as tellement bourré le crâne que t'arrive même a en imbriquer des couches, certes interdépendantes (chaines), d'abstraction et que tu confond les plateforme ?
Une plateforme faite pour tourner sur android, biensur que c'est de la bidouille que de la rooter. Une tablette windows RT, biensur que c'est de la bidouille de la rooter, Biensur que sur ces plateforme, modifier la chaine revient a se bannir du store, mais déjà a la base ... C'est de la bidouille hein. Là, on parle bien d'un système PC, x86(_64) qui par essence n'est bloqué sur rien, et le store de windows 8 sur "PC" a ma connaissance ne va pas vérifier si le secure boot est actif ou pas (encore heureux) Et a ma connaissance, Windows 8 ne bloque pas l'execution de binaires non signés non plus. 'fin bref, alarmiste pour pas grand chose là sur ce coup.
Et je rajouterai que ce que tu décrit en plus est techniquement faux.
Marsh Posté le 27-03-2013 à 15:21:07
MysterieuseX a écrit : |
windows 8 non, mais ça viendra. Par exemple, des lecteurs pour acceder à de a VOD , pourraient exiger l'activation d'UEFI et toute la chaine de confiance. J'ai d'ailleurs le cas sur mon téléphone Sony : si je désactive le boot sécurisé, je n'ai plus acces au logiciel Sony d'achat/straming de musiques...
Le secure boot n'a AUCUN AVANTAGE pour l'utilisateur. Par contre, il en a pour microsoft qui va vendre l'accès à sa plateforme à Hollywood : vous voyez, je suis capable de tout controler, du materiel au logiciel chez moi, venez diffuser votre contenu sur ma plateforme!
ce que je retiens juste, c'est qu'avec Secure boot, le pc ne m'appartient plus car je ne peux pas exécuter le code que je veux au boot...
Marsh Posté le 31-03-2013 à 23:04:11
En quoi le root d'un appareil Android n'est pas pas de la même classe d'action que vouloir être propriétaire de sa carte-mère ? C'est parce que l'appareil est plus petit et donc moins important pour toi, MystérieuseX ?
Marsh Posté le 01-04-2013 à 01:01:25
Mairusu_Prower a écrit : En quoi le root d'un appareil Android n'est pas pas de la même classe d'action que vouloir être propriétaire de sa carte-mère ? C'est parce que l'appareil est plus petit et donc moins important pour toi, MystérieuseX ? |
Oulah, t'inverse un peu le fond de mon propos :>, va voir mes derniers posts sur le "blabla" je pense que tu comprendra mieux :
-Ma place dans le monde informatique
-Se que je fait et le pourquoi
-Ma position critique et pragmatique
-Mon expérience niveau systèmes
Parce que justement ma première remarque était que dans le fond, on trouve "normal" de rooter un mobile ou une tablette, mais on trouve pas "normal" de devoir rooter un BIOS ? Faut se réveiller, l'informatique en x86 c'est fermé, ça a toujours été fermé, et ça sera toujours fermé, au niveau hard. UEFI c'est une avancée dans le monde du libre, si si, faut pas être rabat joie. Faut pas non plus tirer sur l'ambulance a cause d'un promoteur de technologies qui cherche a faire du lobbying mais le contrer a la source : sur son terrain.
Maintenant si je te dit que même Microsoft sur l'UEFI a du mal ? Parce que, je te ramène a mes posts sur le topic blabla a ce sujet, même eux ne respectent pas leurs propres spec et du coup, ça brick les firmware. (a tel point que pendant mes tests, j'ai cramée la nvram d'une mobal de test y'a quelques semaines, une mobale non finalisée fournie par un fabricant don je tairai le nom ... Pour te dire a quel point moi, l'UEFI secure boot, ça me fait doucement rigoler)
En revanche, une chose que j'aime pas, ce sont ceux qui râlent sans maitriser leurs sujet, un minimum. UEFI secure boot, ça fera comme les modifications pour un firmware/bios SLIC : on fera des modifications bien propre qui vireront le secure boot, en hard dans le firmware, sans toucher aux nvram et ça sera bien propre.
Marsh Posté le 02-04-2013 à 13:20:29
A la limite on s'en fout des termes techniques :
- avec le setup bios à l'ancienne, je pouvais installer ce que je voulais sans rien demander à personne => Situation convenable
- avec secure boot je dois demander l'autorisation à une entité, ou bidouiller, au risque de briquer ma carte mere => regression.
Marsh Posté le 02-04-2013 à 13:48:10
guimo33 a écrit : A la limite on s'en fout des termes techniques : |
Mais réveil toi, je te dit que c'était déjà le cas avec le BIOS ! Tu crois que l'ACPI c'est quoi foutre diable ?
Marsh Posté le 02-04-2013 à 14:53:53
L'ACPI c'est une espèce de surcouche pour gérer certains trucs d'économie d'energie, veille et autres. Il y a eu pas mal d'implémentations foireuses, mais ça ne m'a jamais bloqué au boot, du moment que le kernel soit adapté. En aucun cas ACPI me demande des binaires signés pour démarrer.
aucun rapport avec secureboot qui m'empeche d'utiliser ma machine comme je l'entends.
Marsh Posté le 02-04-2013 à 15:12:34
guimo33 a écrit : L'ACPI c'est une espèce de surcouche pour gérer certains trucs d'économie d'energie, veille et autres. Il y a eu pas mal d'implémentations foireuses, mais ça ne m'a jamais bloqué au boot, du moment que le kernel soit adapté. En aucun cas ACPI me demande des binaires signés pour démarrer. |
Ben si. Mais bon, ça sert a rien de te répondre si t'as visiblement pas les bases pour comprendre que l'UEFI de base est open source avec un EDK open source, certes fournis par intel, et que c'est pas sur l'UEFI qu'il faut taper mais sur ton fournisseur de carte mère. Comme ça a toujours été le cas depuis 1984 et la création du premier SIG intel/microsoft pour les spec PC. Si tu comprend pas que JAMAIS tu ne pourra changer les choses en gueulant comme tu le fait sur de la philosophie que, les gens comme moi, s'en battent les steaks. http://embedded.communities.intel. [...] -tianocore Je te laisse lire ça, bonne lecture et instructive pour toi, parce que crois moi, a réagir comme tu le fait, tu pousse a deux choses :
-Des mecs comme Matthew Garret arrêter de dev shim, puisqu'en fait, ça sert a rien son taff est pas reconnu.
-Arrêter de supporter les fonctions ouvertes de secure boot : a savoir la capacité de signer ses propres binaire, son propre bios, de devenir soit même une autorité de certif, chose que t'as du oublier : tu peu parfaitement ne pas faire confiance a microsoft et crois moi, tu peu même bloquer windows 8 et les PK pré intégrées dans ton firmware. Parce que secure boot est certes basé sur des specs ou t'as le droit de fermer ta gueule, mais reste open source (HAHAHA tu le savais ça au moins ?
-Encore un peu de lecture a ce sujet : http://www.rodsbooks.com/efi-bootl [...] l#add_keys http://www.rodsbooks.com/efi-bootl [...] ml#signing http://www.rodsbooks.com/efi-bootl [...] installing
-Là t'es quand même en train de taper sur l'ambulance en ne visant pas les bonnes personnes. C'est pas Microsoft, ou autre qu'il faut blâmer, c'est les fabricants de carte mère et les gens comme toi qui malheureusement ne veulent pas faire l'effort de comprendre le pourquoi de l'évolution BIOS > UEFI et le pourquoi de l'évolution qui est en train de se dérouler a savoir Secure Boot implémentation open source > Secure Boot implémentation full microsoft. Les gens comme toi donnent du pouvoir a Microsoft parce que vous lui donnez une position qu'ils n'ont pas.
Edit : je te laisse me sortir les documents et la documentation qui me prouverais le contraire de ce que j'avance, parce que jusqu'a présent hormis troller, t'as pas sortit grand preuves de se que t'avance, toi.
Marsh Posté le 22-06-2012 à 16:21:02
Parce qu'un topic me semble nécessaire, mais je vais faire rapide : il y a un risque fort ici.
https://fr.wikipedia.org/wiki/Unifi [...] re_boot.29
Depuis la version 2.3.1, l'UEFI permet de protéger les systèmes d'exploitation installés sur la machine. La norme comprend un mécanisme de vérification de signatures numériques ; en mode « lancement sécurisé » (secure boot), le micrologiciel interdit le chargement d'une application non signée (ou dont la signature est incorrecte), ce qui empêche l'installation de rootkits exécutés avant le chargement du système d'exploitation (virus de boot).
Concrètement, le but premier du Secure Boot est donc la sécurité contre les rootkits.
En pratique, l'industrie est en train de s'orienter vers cette solution pour la production de nouvelles cartes-mère afin d'obtenir une certification "Windows 8". Sans cette certification, les OEM utilisant les pièces ne seront pas autorisés à installer Windows 8 en usine sur les machines ; du coup, rush massif des OEM vers la certification, ce qui va répandre assez rapidement la fonction. Windows 8 supporte le Secure Boot de façon optionnelle, un utilisateur final pourra donc toujours installer l'OS sur une carte-mère sans UEFI/Secure Boot (pour le moment). Microsoft apporte ici ses propres signatures pour son système d'exploitation.
Problème : la seule chose qu'un PC équipé de Secure Boot peut lancer sera un binaire signé. Supposons qu'on veuille que le PC démarre sur un bootloader, GRUB; il faut donc que celui-ci soit signé. Mais 1) Comment obtenir la signature (et à quel coût) et 2) Puisque GRUB peut passer la main au démarrage d'un binaire non-signé, ne risque-t-il tout simplement pas de ne pas obtenir de signature puisque ça annulerait l'intérêt même du Secure Boot de laisser ça en place ?
Deux gros points noirs :
- Les fabricants n'ont jamais promis qu'ils laisseraient une option pour désactiver "Secure Boot" sur le matériel, et donc récupérer le contrôle à titre personnel du hardware qu'on aura acheté ;
- L'existence d'une option pour désactiver Secure Boot sera sans doute provisoire, pour calmer les esprits dans une phase de transition (tactique courante, pas seulement en informatique : regardez par exemple l'installation de radars automatiques en France suivie ~5 ans après de la suppression des panneaux d'avertissement les précédant). Possible aussi qu'au travers des mises à jour de l'UEFI, on la supprime (voir le cas OtherOS sur PS3 : avoir accès à une fonction sur un matériel établi n'est plus considéré comme un privilège durable, et peut être révoqué à tout moment). Après ça, terminé, il faudra des clés pour tout le monde si vous voulez démarrer votre PC.
Notez que Microsoft avait, selon des rumeurs, contacté les OEM pour leur interdire de proposer une option "désactiver le Secure Boot" sur tout le matériel basé sur l'architecture ARM, avant de faire marche arrière (à l'état actuel des choses, les fabricants ont maintenant l'obligation de proposer l'option pour avoir la certification Windows 8).
Pour les distributions Linux, la chose est assez complexe à gérer. Quelques grosses distributions ont apporté ces réponses :
- Red Hat : la distribution sera signée par une clé émise par Microsoft.
- Fedora : achète une clé chez Microsoft.
- Ubuntu : suppression de GRUB pour passer sur un bootloader Intel, achète une clé chez Microsoft.
En gros, nous avons ici au moins trois acteurs qui demandent à Microsoft l'autorisation d'entrer en concurrence avec eux. Afin de ne pas tomber sous le coup des lois antitrust, MS, en effet, en vend.
Ces années qui arrivent vont être amusantes.
---------------
• Achats, Ventes, Feedback • Derp •