Secure Boot/fr: Difference between revisions

Line 6:

On NixOS, Secure Boot can be enabled via the project [https://github.com/nix-community/lanzaboote Lanzaboote].

Alternatively, by using the [[Limine]] project.

</div>

Il est recommandé de définir un mot de passe BIOS et le chiffrement total du disque afin de se prémunir d'attaques contre l'UEFI et le démarrage sécurisé.

Lanzaboote dispose de deux composants: <code>lzbt</code> et <code>stub</code>.

</div>

~~Lanzaboote dispose de deux composants: <code>lzbt</code> et <code>stub</code>.~~

<code>lzbt</code> est la ligne de commande qui signe et installe les fichiers de démarrage sur l'ESP.

Line 17:

Line 22:

== Pré-requis ==

</div>

L'implémentation du démarrage sécurisé de Lanzaboote nécessite un système installé en mode UEFI avec systemd-boot activé. Ceci peut être vérifier en exécutant <code>bootctl status</code>:

Line 34:

Line 41:

</syntaxHighlight>

~~Il est recommandé de définir un mot de passe BIOS et le chiffrement total du disque afin de se prémunir d'attaques contre l'UEFI et le démarrage sécurisé.~~

== Installation ==

</div>

Line 43:

Line 52:

</div>

== Gestion des clés ==

À ce jour, Lanzaboote offre seulement un stockage local du trousseau de clés. Sans cela, il est impossible de reconstruire le système et signer les nouveaux fichiers générés.

</div>

Prochainement, Lanzaboote fournira deux nouveaux services de signature: la signature à distance (un serveur HTTP recevant des demandes de signature et renvoyant les signatures) et la signature basée sur PKCS#11 (en apportant un périphérique de type HSM tel qu'une YubiKey, NitroKey, etc).

Line 50:

Line 61:

{{Warning|La gestion des clés est un problème complexe qui sort du cadre du projet Lanzaboote. Malgré que de nombreuses solutions existent, aucune n'est parfaite. Afin d'obtenir une protection effective du démarrage, il est crucial de prendre le temps d'apprendre comment gérer ses clés et de définir le niveau adéquat de protection.}}

== Différences avec `systemd-stub` ==

systemd et les distributions en amont ont une solution existante s'appelant `systemd-stub`, cependant cette solution n'est pas applicables à NixOS étant donné qu'il y a trop de générations sur un même système.

</div>

En utilisant `systemd-stub`, un noyau et un initrd doivent être dupliqués pour '''chaque génération'''. En utilisant le stub Lanzaboote, un noyau et un initrd peuvent être '''dé-dupliqués''' sans compromettre la sécurité.

@@ Line 6: / Line 6: @@
 <div lang="en" dir="ltr" class="mw-content-ltr">
 On NixOS, Secure Boot can be enabled via the project [https://github.com/nix-community/lanzaboote Lanzaboote].
+Alternatively, by using the [[Limine]] project.
+</div>
+Il est recommandé de définir un mot de passe BIOS et le chiffrement total du disque afin de se prémunir d'attaques contre l'UEFI et le démarrage sécurisé.
+<div class="mw-translate-fuzzy">
+Lanzaboote dispose de deux composants: <code>lzbt</code> et <code>stub</code>.
 </div>
-Lanzaboote dispose de deux composants: <code>lzbt</code> et <code>stub</code>.
 <code>lzbt</code> est la ligne de commande qui signe et installe les fichiers de démarrage sur l'ESP.
@@ Line 17: / Line 22: @@
 <span id="Requirements"></span>
+<div class="mw-translate-fuzzy">
 == Pré-requis ==
+</div>
 L'implémentation du démarrage sécurisé de Lanzaboote nécessite un système installé en mode UEFI avec systemd-boot activé. Ceci peut être vérifier en exécutant <code>bootctl status</code>:
@@ Line 34: / Line 41: @@
 </syntaxHighlight>
-Il est recommandé de définir un mot de passe BIOS et le chiffrement total du disque afin de se prémunir d'attaques contre l'UEFI et le démarrage sécurisé.
 <span id="Setup"></span>
+<div class="mw-translate-fuzzy">
 == Installation ==
+</div>
 <div lang="en" dir="ltr" class="mw-content-ltr">
@@ Line 43: / Line 52: @@
 </div>
+<div class="mw-translate-fuzzy">
 == Gestion des clés ==
 À ce jour, Lanzaboote offre seulement un stockage local du trousseau de clés. Sans cela, il est impossible de reconstruire le système et signer les nouveaux fichiers générés.
+</div>
 Prochainement, Lanzaboote fournira deux nouveaux services de signature: la signature à distance (un serveur HTTP recevant des demandes de signature et renvoyant les signatures) et la signature basée sur PKCS#11 (en apportant un périphérique de type HSM tel qu'une YubiKey, NitroKey, etc).
@@ Line 50: / Line 61: @@
 {{Warning|La gestion des clés est un problème complexe qui sort du cadre du projet Lanzaboote. Malgré que de nombreuses solutions existent, aucune n'est parfaite. Afin d'obtenir une protection effective du démarrage, il est crucial de prendre le temps d'apprendre comment gérer ses clés et de définir le niveau adéquat de protection.}}
+<div class="mw-translate-fuzzy">
 == Différences avec `systemd-stub` ==
 systemd et les distributions en amont ont une solution existante s'appelant `systemd-stub`, cependant cette solution n'est pas applicables à NixOS étant donné qu'il y a trop de générations sur un même système.
+</div>
 En utilisant `systemd-stub`, un noyau et un initrd doivent être dupliqués pour '''chaque génération'''. En utilisant le stub Lanzaboote, un noyau et un initrd peuvent être '''dé-dupliqués''' sans compromettre la sécurité.