3.2. Comprendre le démarrage sécurisé de l'UEFI


La technologie Secure Boot de Unified Extensible Firmware Interface (UEFI) permet d'empêcher l'exécution du code de l'espace noyau qui n'a pas été signé par une clé de confiance. Le chargeur de démarrage du système est signé par une clé cryptographique. La base de données des clés publiques, qui est contenue dans le microprogramme, autorise la clé de signature. Vous pouvez ensuite vérifier une signature dans le chargeur de démarrage de l'étape suivante et dans le noyau.

L'UEFI Secure Boot établit une chaîne de confiance entre le microprogramme et les pilotes et modules du noyau signés, comme suit :

  • Une clé privée UEFI signe et une clé publique authentifie le chargeur de démarrage de première étape shim. Un certificate authority (CA) signe à son tour la clé publique. L'autorité de certification est stockée dans la base de données du microprogramme.
  • Le fichier shim contient la clé publique de Red Hat Red Hat Secure Boot (CA key 1) pour authentifier le chargeur de démarrage GRUB et le noyau.
  • Le noyau contient quant à lui des clés publiques pour authentifier les pilotes et les modules.

Secure Boot est le composant de validation du chemin de démarrage de la spécification UEFI. La spécification définit :

  • Interface de programmation pour les variables UEFI protégées cryptographiquement dans une mémoire non volatile.
  • Stockage des certificats racine X.509 de confiance dans les variables UEFI.
  • Validation des applications UEFI telles que les chargeurs de démarrage et les pilotes.
  • Procédures de révocation des certificats et des hachages d'applications connus comme mauvais.

L'UEFI Secure Boot permet de détecter les modifications non autorisées, mais ne permet pas d'accéder au site not:

  • Empêcher l'installation ou la suppression des chargeurs de démarrage de deuxième niveau.
  • Exiger une confirmation explicite de ces modifications par l'utilisateur.
  • Arrêter les manipulations du chemin d'amorçage. Les signatures sont vérifiées lors du démarrage, et non lors de l'installation ou de la mise à jour du chargeur de démarrage.

Si le chargeur de démarrage ou le noyau ne sont pas signés par une clé de confiance du système, Secure Boot les empêche de démarrer.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.