Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 01/06/2023, à 17:45

jdt37b

Sécurité du système avec Linux : avec ou sans TPM ?

Bonsoir à tous,
Pour l’Acer décrit ci-dessous, avec Xubuntu 22.04 et un Bios avec « TPM support » à « Enabled » j’optiens au démarrage ces messages de la puce « Trusted Platform Module » :

dmesg | grep -i tpm
[    0.000000] efi: TPMFinalLog=0xdd6ad000 ACPI 2.0=0xdd5ae000 ACPI=0xdd5ae000 SMBIOS=0xdd9f4000 SMBIOS 3.0=0xdd9f3000 ESRT=0xd965f718 MEMATTR=0xda0fc018 RNG=0xdd5ad018 TPMEventLog=0xd300d018 
[    0.006737] ACPI: TPM2 0x00000000DD5C8D98 000034 (v03 ACRSYS ACRPRDCT 00000001 AMI  00000000)
[    0.006775] ACPI: Reserving TPM2 table memory at [mem 0xdd5c8d98-0xdd5c8dcb]
[    0.430555] tpm_crb MSFT0101:00: [Firmware Bug]: ACPI region does not cover the entire command/response buffer. [mem 0xdd707000-0xdd707fff flags 0x200] vs dd707000 4000
[    0.430587] tpm_crb MSFT0101:00: can't request region for resource [mem 0xdd707000-0xdd707fff]
[    0.430594] tpm_crb: probe of MSFT0101:00 failed with error -16
[    0.986435] ima: No TPM chip found, activating TPM-bypass! 

Avec « un autre OS », TPM améliorerait la sécurité de l’ordi, du système d’exploitation et du firmware.
Mais sous Linux, pour éviter ces messages, si l’on met le « TPM support » à « Disabled »  quels risques seraient pris ? Les mêmes ?
Merci d’avance de vos avis.


Acer Aspire XC330 - AMD A9-9420 - 8Go - HDD 1To - AMD Radeon R5 - Xubuntu 20.04 LTS (Focal) - 64 bits
Asus VivoBook X515JA - Intel Core i3-1005G1 - 8Go - SSD 0,5To - Intel driver i915 - Xubuntu 20.04 LTS (Focal) - 64 bits

Hors ligne

#2 Le 01/06/2023, à 18:03

geole

Re : Sécurité du système avec Linux : avec ou sans TPM ?

Bonjour
A mon avis, tu as mis   le secure en OFF au lieu de l'activer ou alors, tu bootes en LEGACY au lieu de EFI

 [ -d /sys/firmware/efi ] && echo "Session EFI" || echo "Session non-EFI"
Session non-EFI

sudo dmesg | grep -i tpm
[    2.015672] ima: No TPM chip found, activating TPM-bypass!

Dernière modification par geole (Le 01/06/2023, à 18:04)


Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Hors ligne

#3 Le 01/06/2023, à 18:32

jdt37b

Re : Sécurité du système avec Linux : avec ou sans TPM ?

Oui, le secure boot est off et je boote en EFI.


Acer Aspire XC330 - AMD A9-9420 - 8Go - HDD 1To - AMD Radeon R5 - Xubuntu 20.04 LTS (Focal) - 64 bits
Asus VivoBook X515JA - Intel Core i3-1005G1 - 8Go - SSD 0,5To - Intel driver i915 - Xubuntu 20.04 LTS (Focal) - 64 bits

Hors ligne

#4 Le 01/06/2023, à 19:53

geole

Re : Sécurité du système avec Linux : avec ou sans TPM ?

Je pense que ne pas activer la sécurité est moins sécurisant que  de l'activer.
MAIS, je n'ai pas encore compris comment on distincte un certificat officiel d'un faux certificat tellement  il me semble facile d'en fabriquer un.


Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Hors ligne

#5 Le 02/06/2023, à 06:51

jdt37b

Re : Sécurité du système avec Linux : avec ou sans TPM ?

Oui, j'imagine et vis depuis longtemps avec Secure Boot désactivé apparement sans problème.
Mais en désactivant en plus TPM : ? pour Linux.


Acer Aspire XC330 - AMD A9-9420 - 8Go - HDD 1To - AMD Radeon R5 - Xubuntu 20.04 LTS (Focal) - 64 bits
Asus VivoBook X515JA - Intel Core i3-1005G1 - 8Go - SSD 0,5To - Intel driver i915 - Xubuntu 20.04 LTS (Focal) - 64 bits

Hors ligne

#6 Le 02/06/2023, à 07:54

geole

Re : Sécurité du système avec Linux : avec ou sans TPM ?

Bonjour.
TPM est l'outil gérant le secure boot


Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Hors ligne

#7 Le 02/06/2023, à 13:23

jdt37b

Re : Sécurité du système avec Linux : avec ou sans TPM ?

OK, merci.


Acer Aspire XC330 - AMD A9-9420 - 8Go - HDD 1To - AMD Radeon R5 - Xubuntu 20.04 LTS (Focal) - 64 bits
Asus VivoBook X515JA - Intel Core i3-1005G1 - 8Go - SSD 0,5To - Intel driver i915 - Xubuntu 20.04 LTS (Focal) - 64 bits

Hors ligne

#8 Le 03/06/2023, à 10:52

Nuliel

Re : Sécurité du système avec Linux : avec ou sans TPM ?

Bonjour,

Je commence par mettre un warning:
Ne jamais désactiver TPM dans le BIOS si l'un des OS est chiffré, et que la clé se trouve dans le TPM! (ce qui est le cas si un OS est chiffré et qu'aucun mdp n'est demandé avant le démarrage de l'OS)

TPM et secure boot sont deux notions différentes.
Le secure boot va authentifier la chaîne de démarrage avec un système de signatures. Si l'une des signature est pas bonne, alors ça démarre pas. Il est effectivement possible d'utiliser son propre certificat et de faire ses propres signatures, dans ce cas la sécurité dépend aussi du stockage de la clé privée associée au certificat.

Le TPM c'est un stockage sécurisé. Le TPM récupère des infos de son environnement, et si l'environnement n'a pas bougé (c'est basé sur un système de hash), alors le TPM va libérer un secret. Généralement, le secret est la clé de déchiffrement de l'OS.
Linux s'en fout puisque tu ne stockes aucun secret dans le TPM (mais c'est tout à fait possible), donc avec un TPM activé ou désactivé, tu ne vois aucune différence sous linux (sauf un warning qu'on peut ignorer)
Le TPM est une sécurité matérielle. Si ton OS n'est pas chiffré, alors ton TPM ne sert pas à grand chose (ou alors tu utilises le TPM pour des trucs spécifiques, comme stocker une clé ssh, ... Mais dans ce cas tu connaîtrais le principe du TPM)
Il faut aussi différencier les TPM 1.0 et 2.0. Un TPM 1.0 qui vérifie l'environnement et qui libère la clé a peu/aucun d'intérêt car il existe des attaques en se connectant physiquement sur l'interface du TPM (la clé est transmise en clair contrairement aux TPM 2.0). Donc un TPM 1.0 a du sens s'il demande un mdp/code PIN.

Si tu veux plus de sécurité, tu peux réactiver secure boot et corriger les éventuels problèmes (globalement que grub est signé, et que tu n'as pas de matériel spécifique qui demande le chargement d'un pilote non signé). Et chiffrer ton OS si c'est pas déjà fait (ce qui nécessite une réinstall). Le stockage de la clé dans le TPM dépend de ta confiance dedans (tu peux tout à fait garder un mdp et ne pas le mettre dans le TPM)

Dernière modification par Nuliel (Le 03/06/2023, à 11:07)

Hors ligne

#9 Le 03/06/2023, à 11:15

geole

Re : Sécurité du système avec Linux : avec ou sans TPM ?

Merci pour toutes ces précisions.
Un article à lire
======> https://nvd.nist.gov/vuln/detail/CVE-2022-34302
                https://nvd.nist.gov/vuln/detail/CVE-2022-34301
                https://nvd.nist.gov/vuln/detail/CVE-2022-34303

Dernière modification par geole (Le 03/06/2023, à 11:27)


Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Hors ligne

#10 Le 03/06/2023, à 11:24

Nuliel

Re : Sécurité du système avec Linux : avec ou sans TPM ?

C'est aussi l'une des raisons d'utiliser son propre certificat sur secure boot: refuser tout sauf ce qu'on utilise.
Après les versions vulnérables ont été ajoutées à la base dbx (une liste qui permet d'interdire le chargement de fichiers efi vulnérables), donc si on fait les mises à jour, normalement il n'y a plus de problème.

Hors ligne