Jean Bernon, au 2019-07-11 :
> Pour compléter notre échange, je crois comprendre ceci. Le
> paquet linux-image-4-19... officiel est signé. Buster utilise
> l'option "secure boot" du bios (si elle est choisie) et
> vérifie la signature de l'image chargée au boot. Si on
> applique le patch du module bluetooth, le linux-image-4-19-...
> chargé au boot n'est plus exactement l'officiel, mais une
> variante qui doit avoir une autre signature (si option "secure
> boot") ou qui peut rester sans signature (si l'on n'utilise
> pas l'option bios "secure boot"). Ai-je bien compris ?
Bonsoir,
Buster supporte le démarrage en UEFI Secure Boot qui,
effectivement, procède à la vérification du noyau chargé au
démarrage de la machine. Sans faire autorité en la matière, je
dirais que c'est l'idée. Le détail de ce qui est vérifié, et à
quel moment, entre le chargeur de démarrage Grub, le RAM FS
initial, et finalement le chargement du noyau, m'échappe encore,
pour être honnête avec vous.
Si vous souhaitez signer vos propre noyaux, Greg Kroah Hartman a
eu l'occasion de travailler avec le groupe UEFI.org pour définir
la procédure qu'il a publié sur son blog :
http://www.kroah.com/log/blog/2013/09/02/booting-a-self-signed-linux-kernel/
Ça date de 2013, et c'est en Anglais, mais c'est peut-être
encore valable, si le sujet vous intéresse. Je n'ai pas trop
l'occasion de vérifier, mon matériel personnel est trop ancien
pour supporter le démarrage UEFI.
Bien à vous,
--
Étienne Mollier <etienne.mollier@mailoo.org>
5AB1 4EDF 63BB CCFF 8B54 2FA9 59DA 56FE FFF3 882D
Attachment:
signature.asc
Description: OpenPGP digital signature