Secure Boot/fr: Difference between revisions
Created page with "Démarrage sécurisé" |
No edit summary |
||
(18 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
< | <languages/> | ||
Le démarrage sécurisé est habituellement associé à la capacité d'un micrologiciel de plateforme de vérifier les composants de démarrage et de s'assurer que seul votre propre système peut démarrer. | |||
Le démarrage sécurisé est implémenté de multiple façons. La plus connue est le démarrage sécurisé UEFI qui repose sur le micrologiciel de plateforme UEFI, mais d'autres implémentations existent sur les systèmes embarqués. | |||
<div lang="en" dir="ltr" class="mw-content-ltr"> | <div lang="en" dir="ltr" class="mw-content-ltr"> | ||
Line 11: | Line 8: | ||
</div> | </div> | ||
Lanzaboote dispose de deux composants: <code>lzbt</code> et <code>stub</code>. | |||
Lanzaboote | |||
<code>lzbt</code> est la ligne de commande qui signe et installe les fichiers de démarrage sur l'ESP. | |||
<code>lzbt</code> | |||
<code>stub</code> est une application UEFI qui charge le noyau et initrd depuis l'ESP. Elle diffère de systemd-stub, voir plus bas pour des précisions. | |||
<code>stub</code> | |||
{{warning|Lanzaboote est en développement et nécessite de réunir des pré-requis et de prendre des précautions. Il est pour le moment uniquement disponible sur nixos-unstable. Pour plus d'informations, voir le dépôt GitHub ou le guide de démarrage rapide.}} | |||
{{warning|Lanzaboote | |||
< | <span id="Requirements"></span> | ||
== | == Pré-requis == | ||
L'implémentation du démarrage sécurisé de Lanzaboote nécessite un système installé en mode UEFI avec systemd-boot activé. Ceci peut être vérifier en exécutant <code>bootctl status</code>: | |||
<syntaxHighlight lang=console> | <syntaxHighlight lang=console> | ||
$ bootctl status | $ bootctl status | ||
Line 43: | Line 28: | ||
TPM2 Support: yes | TPM2 Support: yes | ||
Boot into FW: supported | Boot into FW: supported | ||
Current Boot Loader: | Current Boot Loader: | ||
Product: systemd-boot 251.7 | Product: systemd-boot 251.7 | ||
... | ... | ||
</syntaxHighlight> | </syntaxHighlight> | ||
Il est recommandé de définir un mot de passe BIOS et le chiffrement total du disque afin de se prémunir d'attaques contre l'UEFI et le démarrage sécurisé. | |||
< | <span id="Setup"></span> | ||
== | == Installation == | ||
<div lang="en" dir="ltr" class="mw-content-ltr"> | <div lang="en" dir="ltr" class="mw-content-ltr"> | ||
Line 64: | Line 43: | ||
</div> | </div> | ||
== Gestion des clés == | |||
À ce jour, Lanzaboote offre seulement un stockage local du trousseau de clés. Sans cela, il est impossible de reconstruire le système et signer les nouveaux fichiers générés. | |||
Prochainement, Lanzaboote fournira deux nouveaux services de signature: la signature à distance (un serveur HTTP recevant des demandes de signature et renvoyant les signatures) et la signature basée sur PKCS#11 (en apportant un périphérique de type HSM tel qu'une YubiKey, NitroKey, etc). | |||
{{Warning|La gestion des clés est un problème complexe qui sort du cadre du projet Lanzaboote. Malgré que de nombreuses solutions existent, aucune n'est parfaite. Afin d'obtenir une protection effective du démarrage, il est crucial de prendre le temps d'apprendre comment gérer ses clés et de définir le niveau adéquat de protection.}} | |||
{{Warning| | |||
== Différences avec `systemd-stub` == | |||
== | systemd et les distributions en amont ont une solution existante s'appelant `systemd-stub`, cependant cette solution n'est pas applicables à NixOS étant donné qu'il y a trop de générations sur un même système. | ||
systemd | |||
En utilisant `systemd-stub`, un noyau et un initrd doivent être dupliqués pour '''chaque génération'''. En utilisant le stub Lanzaboote, un noyau et un initrd peuvent être '''dé-dupliqués''' sans compromettre la sécurité. | |||
<div lang="en" dir="ltr" class="mw-content-ltr"> | <div lang="en" dir="ltr" class="mw-content-ltr"> |
Latest revision as of 21:29, 12 July 2024
Le démarrage sécurisé est habituellement associé à la capacité d'un micrologiciel de plateforme de vérifier les composants de démarrage et de s'assurer que seul votre propre système peut démarrer.
Le démarrage sécurisé est implémenté de multiple façons. La plus connue est le démarrage sécurisé UEFI qui repose sur le micrologiciel de plateforme UEFI, mais d'autres implémentations existent sur les systèmes embarqués.
On NixOS, Secure Boot can be enabled via the project Lanzaboote.
Lanzaboote dispose de deux composants: lzbt
et stub
.
lzbt
est la ligne de commande qui signe et installe les fichiers de démarrage sur l'ESP.
stub
est une application UEFI qui charge le noyau et initrd depuis l'ESP. Elle diffère de systemd-stub, voir plus bas pour des précisions.
Pré-requis
L'implémentation du démarrage sécurisé de Lanzaboote nécessite un système installé en mode UEFI avec systemd-boot activé. Ceci peut être vérifier en exécutant bootctl status
:
$ bootctl status
System:
Firmware: UEFI 2.70 (Lenovo 0.4720)
Secure Boot: disabled (disabled)
TPM2 Support: yes
Boot into FW: supported
Current Boot Loader:
Product: systemd-boot 251.7
...
Il est recommandé de définir un mot de passe BIOS et le chiffrement total du disque afin de se prémunir d'attaques contre l'UEFI et le démarrage sécurisé.
Installation
Follow the instructions in the Quick Start guide.
Gestion des clés
À ce jour, Lanzaboote offre seulement un stockage local du trousseau de clés. Sans cela, il est impossible de reconstruire le système et signer les nouveaux fichiers générés.
Prochainement, Lanzaboote fournira deux nouveaux services de signature: la signature à distance (un serveur HTTP recevant des demandes de signature et renvoyant les signatures) et la signature basée sur PKCS#11 (en apportant un périphérique de type HSM tel qu'une YubiKey, NitroKey, etc).
Différences avec `systemd-stub`
systemd et les distributions en amont ont une solution existante s'appelant `systemd-stub`, cependant cette solution n'est pas applicables à NixOS étant donné qu'il y a trop de générations sur un même système.
En utilisant `systemd-stub`, un noyau et un initrd doivent être dupliqués pour chaque génération. En utilisant le stub Lanzaboote, un noyau et un initrd peuvent être dé-dupliqués sans compromettre la sécurité.
Tracking the feature parity with `systemd-stub` can be done in this issue: https://github.com/nix-community/lanzaboote/issues/94.