Secure Boot/fr: Difference between revisions

(4 intermediate revisions by 2 users not shown)

Line 1:

Le démarrage sécurisé est habituellement associé à la capacité d'un micrologiciel de plateforme de vérifier les composants de démarrage et de s'assurer que seul votre propre système peut démarrer.

Line 13:

Line 14:

<code>stub</code> est une application UEFI qui charge le noyau et initrd depuis l'ESP. Elle diffère de systemd-stub, voir plus bas pour des précisions.

{{warning|Lanzaboote est en développement et nécessite de réunir des pré-requis et de prendre des précautions. Il est pour le moment uniquement disponible ~~pour~~ nixos-unstable. Pour plus d'informations, voir le dépôt GitHub ou le guide de démarrage rapide.}}

{{warning|Lanzaboote est en développement et nécessite de réunir des pré-requis et de prendre des précautions. Il est pour le moment uniquement disponible sur nixos-unstable. Pour plus d'informations, voir le dépôt GitHub ou le guide de démarrage rapide.}}

Line 47:

Line 48:

Prochainement, Lanzaboote fournira deux nouveaux services de signature: la signature à distance (un serveur HTTP recevant des demandes de signature et renvoyant les signatures) et la signature basée sur PKCS#11 (en apportant un périphérique de type HSM tel qu'une YubiKey, NitroKey, etc).

~~<div lang="en" dir="ltr" class="mw-content-ltr">~~

{{Warning|La gestion des clés est un problème complexe qui sort du cadre du projet Lanzaboote. Malgré que de nombreuses solutions existent, aucune n'est parfaite. Afin d'obtenir une protection effective du démarrage, il est crucial de prendre le temps d'apprendre comment gérer ses clés et de définir le niveau adéquat de protection.}}

{{Warning|~~Key management is a hard problem which is out of scope for~~ Lanzaboote ~~project~~, ~~many recipes exist and there is no single perfect solution~~. ~~Taking the time to learn how to key manage and figure out the right level of threat~~ protection is crucial ~~to achieve an effective boot~~ protection.}}

~~</div>~~

~~<div lang="en" dir="ltr" class="mw-content-ltr">~~

== Différences avec `systemd-stub` ==

== ~~Differences with~~ `systemd-stub` ==

systemd et les distributions en amont ont une solution existante s'appelant `systemd-stub`, cependant cette solution n'est pas applicables à NixOS étant donné qu'il y a trop de générations sur un même système.

systemd ~~and distribution upstream have an existing~~ solution ~~called~~ `systemd-stub` ~~but this is not a realistic~~ solution ~~for~~ NixOS ~~as there~~'~~s too many generations on~~ a ~~system~~.

~~</div>~~

~~<div lang="en" dir="ltr" class="mw-content-ltr">~~

En utilisant `systemd-stub`, un noyau et un initrd doivent être dupliqués pour '''chaque génération'''. En utilisant le stub Lanzaboote, un noyau et un initrd peuvent être '''dé-dupliqués''' sans compromettre la sécurité.

~~Using~~ `systemd-stub`, ~~a kernel and an~~ initrd ~~has to be duplicated for~~ '''~~each generation~~'''~~, using~~ Lanzaboote~~'s stub~~, ~~a kernel and~~ initrd ~~can be~~ '''~~deduplicated~~''' ~~without compromising on the security~~.

~~</div>~~

@@ Line 1: / Line 1: @@
+<languages/>
 Le démarrage sécurisé est habituellement associé à la capacité d'un micrologiciel de plateforme de vérifier les composants de démarrage et de s'assurer que seul votre propre système peut démarrer.
@@ Line 13: / Line 14: @@
 <code>stub</code> est une application UEFI qui charge le noyau et initrd depuis l'ESP. Elle diffère de systemd-stub, voir plus bas pour des précisions.
-{{warning|Lanzaboote est en développement et nécessite de réunir des pré-requis et de prendre des précautions. Il est pour le moment uniquement disponible pour nixos-unstable. Pour plus d'informations, voir le dépôt GitHub ou le guide de démarrage rapide.}}
+{{warning|Lanzaboote est en développement et nécessite de réunir des pré-requis et de prendre des précautions. Il est pour le moment uniquement disponible sur nixos-unstable. Pour plus d'informations, voir le dépôt GitHub ou le guide de démarrage rapide.}}
 <span id="Requirements"></span>
@@ Line 47: / Line 48: @@
 Prochainement, Lanzaboote fournira deux nouveaux services de signature: la signature à distance (un serveur HTTP recevant des demandes de signature et renvoyant les signatures) et la signature basée sur PKCS#11 (en apportant un périphérique de type HSM tel qu'une YubiKey, NitroKey, etc).
-<div lang="en" dir="ltr" class="mw-content-ltr">
+{{Warning|La gestion des clés est un problème complexe qui sort du cadre du projet Lanzaboote. Malgré que de nombreuses solutions existent, aucune n'est parfaite. Afin d'obtenir une protection effective du démarrage, il est crucial de prendre le temps d'apprendre comment gérer ses clés et de définir le niveau adéquat de protection.}}
-{{Warning|Key management is a hard problem which is out of scope for Lanzaboote project, many recipes exist and there is no single perfect solution. Taking the time to learn how to key manage and figure out the right level of threat protection is crucial to achieve an effective boot protection.}}
-</div>
-<div lang="en" dir="ltr" class="mw-content-ltr">
+== Différences avec `systemd-stub` ==
-== Differences with `systemd-stub` ==
+systemd et les distributions en amont ont une solution existante s'appelant `systemd-stub`, cependant cette solution n'est pas applicables à NixOS étant donné qu'il y a trop de générations sur un même système.
-systemd and distribution upstream have an existing solution called `systemd-stub` but this is not a realistic solution for NixOS as there's too many generations on a system.
-</div>
-<div lang="en" dir="ltr" class="mw-content-ltr">
+En utilisant `systemd-stub`, un noyau et un initrd doivent être dupliqués pour '''chaque génération'''. En utilisant le stub Lanzaboote, un noyau et un initrd peuvent être '''dé-dupliqués''' sans compromettre la sécurité.
-Using `systemd-stub`, a kernel and an initrd has to be duplicated for '''each generation''', using Lanzaboote's stub, a kernel and initrd can be '''deduplicated''' without compromising on the security.
-</div>
 <div lang="en" dir="ltr" class="mw-content-ltr">