• [^] # Re: On signe quoi, en fait?

    Posté par . En réponse au journal Booting a Self-signed Linux Kernel. Évalué à 4.

    Bon, j'ai lu un peu de doc, et si j'en comprends bien:

    SecureBoot est livré avec un jeu de clés. Ces clés permettent de charger uniquement un système signé. Là, pour linux, on est grillé car on va devoir signer un noyau, ce qui dépend de la bonne volonté du détenteur des clés (microsoft) de signer, et empêche toute upgrade simple par la suite d'autre part.

    Sauf qu'il est possible de désactiver SecureBoot, et remplacer les clés fournies par d'autres. Gros avantage pour les linuxiens: on peut signer ses noyaux, merci GKH du post de blog qui explique comment faire. Au passage, on perd la possibilité de booter du Windows signé, mais ça ne concerne que ceux qui font du multiboot, autant dire que je m'en fiche étant full linux depuis fort longtemps.

    Mais cela soulève un problème: si on peut virer les clés, qu'est ce qui empêche un pirate de désactiver secure boot, de remplacer les clés par les siennes, et de signer un noyau vérolé (ou pire un kernel windows ;) )