24.10. Démarrage sécurisé UEFI Secure Boot (« Unified Extensible Firmware Interface »)

La technologie de démarrage sécurisé « Unified Extensible Firmware Interface » (ou UEFI) permet de s'assurer que le microprogramme du système vérifie si le chargeur de démarrage est signé avec une clé de chiffrement autorisée par une base de données de clés publiques contenue dans le microprogramme. Avec la vérification de signatures dans les chargeurs de démarrage et noyaux de future génération, il est possible d'empêcher l'exécution d'un code d'espace de noyau qui n'a pas été signé par une clé de confiance.
Une chaîne de confiance est établie depuis le microprogramme jusqu'aux pilotes signés et aux modules de noyau, comme suit. Le chargeur de démarrage de première étape, shim.efi, est signé par une clé privée UEFI et authentifié par une clé publique, signé par une autorité de certification (CA), stockée dans la base de données. shim.efi contient la clé publique de Red Hat, « Red Hat Secure Boot (CA key 1) », qui est utilisée pour authentifier le chargeur de démarrage GRUB 2, grubx64.efi, et le noyau Red Hat. Le noyau contient des clés publiques pour authentifier les pilotes et modules.
Le démarrage sécurisé (« Secure Boot ») est un composant de validation de chemin de démarrage de la spécification UEFI (« Unified Extensible Firmware Interface »). Cette spécification définit :
  • une interface de programmation pour les variables UEFI protégées par chiffrement dans un stockage non volatile,
  • la manière dont les certificats root X.509 sont stockés dans des variables UEFI,
  • la validation d'applications UEFI comme les chargeurs de démarrage et les pilotes,
  • les procédures de révocation des mauvais certificats et hachages d'applications connus.
Le démarrage sécurisé UEFI Secure Boot n'empêche pas l'installation ou la suppression de chargeurs de démarrage de seconde étape, et n'exige pas de confirmation explicite de tels changements de la part de l'utilisateur. Les signatures sont vérifiées pendant le démarrage, pas lorsque le chargeur de démarrage est installé ou mis à jour. Ainsi, le démarrage sécurisé UEFI Secure Boot n'empêche pas les manipulations de chemin de démarrage. Il aide à détecter les changements non autorisés. Un nouveau chargeur de démarrage ou noyau fonctionnera tant qu'il est signé par une clé de confiance du système.

24.10.1. Prise en charge du démarrage sécurisé UEFI Secure Boot sur Red Hat Enterprise Linux 7

Red Hat Enterprise Linux 7 inclut la prise en charge de la fonctionnalité de démarrage sécurisé « UEFI Secure Boot », ce qui signifie que Red Hat Enterprise Linux 7 peut être installé et exécuté sur des systèmes où le démarrage sécurisé « UEFI Secure Boot » est activé. Sur les systèmes basés UEFI avec la technologie Secure Boot activée, tous les pilotes chargés doivent être signés avec une clé de confiance, sinon le système ne les acceptera pas. Tous les pilotes fournis par Red Hat sont signés par l'une des clés privées de Red Hat et authentifiés par la clé publique Red Hat correspondante dans le noyau.
Si vous souhaitez charger des pilotes construits en externe, des pilotes qui ne sont pas fournis sur le DVD de Red Hat Enterprise Linux DVD, vous devez vous assurer que ces pilotes sont également signés.
Des informations sur la signature de pilotes personnalisés sont disponibles dans la Section 26.8, « Signer des modules de noyau pour le démarrage sécurisé « Secure Boot » ».

Restrictions imposées par UEFI Secure Boot

Comme la prise en charge UEFI Secure Boot sur Red Hat Enterprise Linux 7 est conçue pour assurer que le système exécute uniquement un code de mode noyau après l'authentification de sa signature, certaines restrictions existent.
Le chargement de modules GRUB 2 est désactivé car il n'y a pas d'infrastructure pour la signature et vérification des modules GRUB 2, ce qui signifie qu'en leur permettant d'être chargés, cela constituerait une exécution de code non fiable à l'intérieur du périmètre de sécurité défini par Secure Boot. Au lieu de cela, Red Hat fournit un binaire GRUB 2 signé qui contient déjà tous les modules pris en charge sur Red Hat Enterprise Linux 7.
Des informations plus détaillées sont disponibles dans l'article de la base des connaissances Red Hat Restrictions imposées par le démarrage sécurisé « UEFI Secure Boot ».