Secure Boot : Red Hat achètera une clé à Verisign pour Fedora

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 01 juin 2012 à 17h32
0082000003226824-photo-fedora-logo-clubic-mikeklo.jpg
Afin de permettre l'installation de la distribution GNU/Linux Fedora en parallèle à Windows 8, Red Hat se munira d'une clé auprès de Verisign.

L'un des niveaux du programme de certification pour les OEM associé au futur Windows 8 prévoit la présence de l'UEFI (Unified Extensible Firmware Interface), ainsi que l'activation au niveau de cette dernière de la fonction Secure Boot. Gérée directement au niveau firmware, elle a pour objet de vérifier l'intégrité de la chaîne de démarrage de la machine et de bloquer le lancement du système si un élément étranger est repéré. Ce faisant, la machine est théoriquement protégée des logiciels malveillants de type rootkits, capables de se charger avant l'OS.

Le Secure Boot repose sur un système de signature numérique détenu par le fabricant d'ordinateur. Dans l'un de ses derniers billets, Matthew Garrett, développeur chez Red Hat, explique que la société a songé à contacter les fabricants afin d'obtenir une signature. Cependant, leur implémentation globale semblait un peu trop optimiste. La société a également envisagé de mettre en place une clé globale pour l'ensemble des distributions GNU/Linux. Cette mesure serait cependant bien trop onéreuse et se chiffrerait à plusieurs millions de dollars. Par ailleurs aucune entité n'aurait souhaité assurer la protection d'une clé globale de ce type.

04612496-photo-d-sactiver-secure-boot-uefi.jpg


Pour ces signatures numériques, Microsoft s'appuie sur Verisign. Red Hat a donc décidé d'acheter pour 99 dollars une clé qui sera embarquée au sein de Fedora 18. Les développeurs concevront ainsi un bootloader intégrant Grub en version 2 puis après vérification de la clé, le système sera en mesure d'être exécuté. Ce mécanisme permettra de déployer plus facilement des mises à jour pour l'amorce Grub. M.Garrett ajoute qu'il ne sera plus possible d'exécuter du code au sein de Grub puisque cela serait contraire à un Secure Boot. Aussi certains modules du kernel seront signés et plusieurs commandes pour ce dernier seront supprimées. Enfin les pilotes embarqués au sein de Fedora seront également signés mais Red Hat réfléchi à un moyen de protéger aussi les drivers externes.

Pour les utilisateurs souhaitant développer leur propre kernel, Matthew Garrett explique que Red Hat mettra à disposition les outils nécessaires lui servant à apposer une signature électronique à ses fichiers binaires sans pour autant révéler sa clé. Cette pratique pose cependant quelques problèmes à la communauté. En effet, Grub 2 est publié sous la licence GPL 3 selon laquelle l'intégralité du code source doit rester accessible. Il devient alors difficile de protéger la confidentialité d'une signature numérique...
Guillaume Belfiore
Rédacteur en chef adjoint
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles