Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 09/01/2012, à 23:29

lildadou

[WIP][EVM][TPM][kernel-3.2] Documentation

Bonsoir,
Suite à l'article sur le noyau 3.2 paru sur Linuxfr mon intérêt pour un des aspects de mon projet de mediacenter a été ravivé.

Ce message vise donc à nouer des contacts avec des personnes interéssés par la sécurisation de la chaine de démarrage via les propriétés des puces TPM 1.2, j'aimerai pouvoir compiler des informations et vulgariser l'utilisation de cette technologie.

Pour satisfaire les curieux échoués ici, la sécurisation de la chaine de démarrage vise à empêcher l'execution d'un système altérer dans le but d'introduire des failles de sécurité. Un exemple simple:

linuxfr.org a écrit :

Supposons qu'un malandrin ayant accès à la machine utilise un live-CD pour démarrer et veuille remplacer un binaire par un autre dans lequel il aura placé un trojan. Ce qu'il ne sait pas c'est que l'administrateur est un paranoïaque et que le noyau de la machine a été compilé avec la panoplie complète de protection (CONFIG_IMA + CONFIG_TRUSTED_KEYS + CONFIG_EVM). Lors du démarrage suivant, la signature des hashs - qui est présente dans la puce TPM - sera vérifiée par la fonction evm_verifyxattr(), et le résultat indiquera clairement que le binaire a été modifié, ce qui dénoncera la manipulation.

Dans mon cas personnel, j'utilise un système de chiffrement quasi-intégral (+ de détails) qui demande une clef pour démarrer Ubuntu. Mais quelqu'un de malveillant pourrait modifier mon BIOS, mon bootloader (GRUB) ou mon initrd (un micro-linux qui va servir à démarrer Ubuntu, le faire correctement faire sortir d'hibernation, demander un mot de passe, ...) dans le but de récupérer cette clef. Si ma chaine de démarrage est sécurisée, chaque étape va vérifier que la suivante n'a pas été modifiée avant de la lancer, le TPM sert de première étape.

NB: Beaucoup croient que le TPM est une technologie qui va servir à verrouiller les OS propriétaires installé sur les machines (le dernier "Au loup!" était lancé par un ingé Debien à propos de Windows 8). Si les craintes sont techniquement réalisables, j'attends toujours qu'elles sortent de sous mon lit. La seule exploitation "grand publique" est pour moi BitLocker qui apporte plus d'avantages que d'inconvénients à mon goût.

Hors ligne