Auteur Sujet: Expiration des clés Secure Boot de 2011: Les impacts pour Linux  (Lu 2077 fois)

Hugues, Paul, dr191 et 9 Invités sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 53 070
    • Bluesky LaFibre.info
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #24 le: Aujourd'hui à 15:37:09 »
Menu "Configuration" :



Sous-menu "Température" qui a la caractéristique de n'afficher aucune température, mais uniquement la vitesse des 2 ventilateurs :



Sous-menu "Configuration de l'UEFI HII" :



Sous-menu "Realtek PCIe GBE Family Controller" : (rien à modifier, ce sont uniquement des informations)



Sous-menu "Intel(R) Rapid Storage Technology" :



Sous-menu SSD SATA 2 To  : (rien à modifier, ce sont uniquement des informations)



Sous-menu SSD PCIe Intel 500 Go : (rien à modifier, ce sont uniquement des informations)


vivien

  • Administrateur
  • *
  • Messages: 53 070
    • Bluesky LaFibre.info
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #25 le: Aujourd'hui à 15:40:38 »
Menu "Options d'amorçage" :



Sous-menu "Gestionnaire de démarrage du SE" :



Menu "Quitter" :



Voici ce qu'on a quand on appuie sur la touche "F12 Recupération du système" :

C'est peut-être un reste de Windows qui a été installé au début et il est toujours présent dans la partition UEFI du SSD




Pour le HP, les GUID de "UEFI CA" sont les même que sur le Dell, et l'interface indique "peut être mis à jour", donc c'est bizarre que la mise à jour ne soit pas proposée.
Est-ce qu'il y a des réglages liés au mode Secure Boot ou aux clés dans le BIOS ?

Bref, pour ce PC récent, j'ai l'impression que la seule solution pour avoir les clés Secure Boot 2023, c'est d'installer Windows pour faire l'opération.

Dirk-Pitt

  • Abonné Free fibre
  • *
  • Messages: 203
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #26 le: Aujourd'hui à 18:32:12 »
Merci Vivien pour toutes ces informations.

J'ai 3 PC sous Lubuntu 26.04, 2 affichent :
EFI variables are not supported on this system
J'imagine qu'ils ne sont pas concernés.

Le dernier, le plus récent affiche :
        Subject: CN=HP UEFI Secure Boot DB 2017, OU=CODE-SIGN, C=US, O=HP Inc.
        Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
        Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
Je dois le mettre à jour, n'est ce pas ?
Mais je ne pense pas avoir l'utilitaire montré (actualiseur de micrologiciel) sous Lubuntu. Que puis-je faire ?

dp

alain_p

  • Abonné Free fibre
  • *
  • Messages: 18 747
  • Delta S 10G-EPON sur Les Ulis (91)
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #27 le: Aujourd'hui à 19:05:20 »
Pour info, j'ai une VM Ubuntu (24.04), installée depuis plusieurs années (2019), sur ma Freebox Delta. Lorsque je fais une vérification avec mokutil, j'ai aussi :

#  mokutil --db
This system doesn't support Secure Boot

Mais là, c'est certainement parce qu'elle est installée en BIOS Legacy, avec KVM, en pas en UEFI. Donc pas besoin de certificats.

P.S : Je me demande si KVM va un jour supprimer le support du BIOS legacy ?


vivien

  • Administrateur
  • *
  • Messages: 53 070
    • Bluesky LaFibre.info
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #28 le: Aujourd'hui à 20:49:44 »
Si l'UEFI est arrivé sur les PC grand public en 2012 (avec la sorte de Windows 8, car Microsoft l'a rendu obligatoire avec le secure boot), l'UEFI est bien plus ancien : les spécifications de l'UEFI 2.0 datent de 2006, et les serveurs ont très vite adopté l'UEFI, de même que certains PC entreprise. C'est par contre de l'UEFI sans secure boot.

L'UEFI permet de gérer mieux la configuration de périphériques, une interface graphique en haute résolution, mais surtout, il permet d'avoir des disques de plus de 2 To, car GUID Partition Table est arrivé avec l'UEFI. Le MBR (Master Boot Record) des BIOS Legacy a une limite globale pour l'ensemble du disque de 2,2 To (2 199 023 255 552 octets).

Il y a donc 4 cas :
- BIOS Legacy : Pas de vérification d'intégrité, pas de certificat, pas de mise à jour à faire.
- UEFI sans secure boot (ou secure boot désactivé) : Pas de vérification d'intégrité, pas de certificat, pas de mise à jour à faire.
- UEFI avec secure boot activé et certificats de 2011 uniquement : Ce cas est problématique, car le certificat utilisé expire. Il est toujours possible de désactiver le secure boot.
- UEFI avec secure boot activé et certificats de 2011 et 2023 : C'est parfait.

Certains systèmes d'exploitation pourraient supprimer le bios legacy qui a plusieurs limitations importantes, mais même avec des certificats expirés, on pourra toujours désactiver le secure boot.

turold

  • Abonné Orange Fibre
  • *
  • Messages: 2 001
  • mp fermée (sauf admin et exceptions temporaires)
    • Site officieux de Paint.NET.
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #29 le: Aujourd'hui à 22:44:54 »
S il permet d'avoir des disques de plus de 2 To, car GUID Partition Table est arrivé avec l'UEFI. Le MBR (Master Boot Record) des BIOS Legacy a une limite globale pour l'ensemble du disque de 2,2 To (2 199 023 255 552 octets).
Normalement, sauf limitations supplémentaires, cela ne concerne que la partition de démarrage, et celui du système d'exploitation à démarrer.
Les systèmes d'exploitation se chargeaient déjà de faire sauter cette limitation en MBR... donc une fois le système entièrement démarré.

- UEFI avec secure boot activé et certificats de 2011 uniquement : Ce cas est problématique, car le certificat utilisé expire. Il est toujours possible de désactiver le secure boot.
Microsoft ne recommande de désactiver le secure boot, dans ce cas de figure, seulement si le démarrage de Windows est en échec à cause précisément de ça.
Pour le moment, avec les recommandations pour les OEM, les fabricants de cartes mères, et autres périphériques/composants pour les signatures, on a environ 2 ans avant de voir des échecs en grand nombre avec ce genre de configuration.