Microsoft va profiter de son programme de certification Windows 8 pour imposer plusieurs éléments. L’un des plus importants est la présence obligatoire d’un UEFI en lieu et place du traditionnel BIOS. La technologie, qui existe depuis de nombreuses années, comprend un mode de démarrage sécurisé appelé Secure Boot. Problème : pour en profiter, le système d’exploitation et les pilotes doivent être signés numériquement. Red Hat se propose justement de signer la distribution GNU/Linux Fedora.
Fedora 17
Matthew Garrett, développeur chez Red Hat, s’est fait connaître par plusieurs billets expliquant les dangers de Secure Boot pour le monde Linux. Le principal était qu’aucune distribution Linux ne pourrait être installée sur un ordinateur certifié Windows 8. L’une des conséquences a été l’obligation pour les constructeurs de prévoir une désactivation du Secure Boot, mais Garrett explique dans un nouveau billet comment mettre en place une solution complémentaire : signer numériquement Fedora.
Plusieurs options pouvaient être envisagées. Red Hat pouvait par exemple créer une clé de sécurité Fedora qui aurait été reconnue par les vendeurs de matériel. Mais il y avait peu de chance que tous ces derniers l’acceptent et cette solution aurait fragilisé le terrain pour les autres distributions Linux. Une autre idée était de créer une clé Linux générique. Matthew Garrett indique cependant que cela aurait nécessité des millions de dollars pour gérer cette clé, sa distribution, sa protection et l’évaluation des demandes.
La solution adoptée a été de faire la demande d’une clé Microsoft à la société de Redmond. Cette clé, une fois utilisée, permet de signer les éléments de la chaine de démarrage de façon à ce qu’ils soient reconnus par l’UEFI et le matériel. La solution n’est pas considérée comme fantastique, mais elle est la « moins pire » : la clé coûte 99 dollars pour VeriSign et peut être utilisée par un éditeur pour signer autant de composants qu’il le souhaite.
Grub lui-même aura besoin d’être modifié. D’une part, la version 2 sera utilisée par défaut dans Fedora 18, mais certaines possibilités lui seront interdites désormais. Notamment les modules qui permettent de charger du code arbitraire durant le démarrage, ce qui est l’antithèse du démarrage sécurisé. D’autre part, Grub aura pour mission de vérifier que le noyau Linux lui-même est signé avant d’être chargé. Notez que ce dernier sera aussi modifié pour que certaines fonctionnalités, qui permettent de charger du code arbitraire, soient supprimées. Précision importante : si le Secure Boot est désactivé, toutes ces restrictions sont annulées.
Notez que Fedora 18 sera accompagnée d’outils qui permettront aux développeurs plus chevronnés de modifier le système à leur guise, de le recompiler et ainsi de suite. Bien entendu, la clé achetée par Fedora ne sera pas distribuée. Ils pourront en revanche se fournir chez VeriSign via Microsoft pour 99 dollars.
En outre, cette solution n’est valable que pour ordinateurs fixes et portables habituels, ou les tablettes tant qu’elles sont basées sur l’architecture x86. Dans le cas du matériel ARM, avec Windows RT, Microsoft interdit de désactiver le Secure Boot via son programme de certification. Matthew Garrett explique que Fedora pourrait reprendre la même technique mais qu’il serait impossible pour les utilisateurs de modifier alors le système à leur gré. Plutôt que de fermer cette porte, véritable opposé à la philosophie du libre, Red Hat choisit de laisser de côté les tablettes ARM.
Matthew Garrett termine son billet en affirmant que rien n’est encore totalement certain. Pour l’instant, les travaux avancent bien pour Fedora 18 « mais il y a toujours une possibilité que nous ayons raté quelque chose ou qu’une nouvelle idée apparaisse. Si nous pouvons augmenter la liberté de l’utilisateur sans faire d’horribles compromis ailleurs, alors nous le ferons ».
Fedora 17
Signer numériquement Fedora
Pourquoi signer une distribution Linux ? Parce qu’une fois le Secure Boot activé, tout code non signé est refusé par l’UEFI. Dans le cas d'un chargeur de démarrage (bootloader), l’UEFI considérerait que le code n’est pas sûr et qu’il s’agit peut-être d’un malware.Matthew Garrett, développeur chez Red Hat, s’est fait connaître par plusieurs billets expliquant les dangers de Secure Boot pour le monde Linux. Le principal était qu’aucune distribution Linux ne pourrait être installée sur un ordinateur certifié Windows 8. L’une des conséquences a été l’obligation pour les constructeurs de prévoir une désactivation du Secure Boot, mais Garrett explique dans un nouveau billet comment mettre en place une solution complémentaire : signer numériquement Fedora.
Plusieurs options pouvaient être envisagées. Red Hat pouvait par exemple créer une clé de sécurité Fedora qui aurait été reconnue par les vendeurs de matériel. Mais il y avait peu de chance que tous ces derniers l’acceptent et cette solution aurait fragilisé le terrain pour les autres distributions Linux. Une autre idée était de créer une clé Linux générique. Matthew Garrett indique cependant que cela aurait nécessité des millions de dollars pour gérer cette clé, sa distribution, sa protection et l’évaluation des demandes.
La solution adoptée a été de faire la demande d’une clé Microsoft à la société de Redmond. Cette clé, une fois utilisée, permet de signer les éléments de la chaine de démarrage de façon à ce qu’ils soient reconnus par l’UEFI et le matériel. La solution n’est pas considérée comme fantastique, mais elle est la « moins pire » : la clé coûte 99 dollars pour VeriSign et peut être utilisée par un éditeur pour signer autant de composants qu’il le souhaite.
Une couche sécurisée avant Grub
L’idée serait donc de pouvoir signer ce qui est nécessaire dans Fedora 18. Dans la distribution Linux, le démarrage du système est assuré par Grub. Or, comme l’explique Matthew Garrett, pas question de signer Grub : chaque mise à jour devrait à nouveau être signée via un processus manuel, donc très lourd. Red Hat s’oriente vers une architecture à couches multiples dans laquelle la première prendra place avant Grub, avant de lui donner la main.Grub lui-même aura besoin d’être modifié. D’une part, la version 2 sera utilisée par défaut dans Fedora 18, mais certaines possibilités lui seront interdites désormais. Notamment les modules qui permettent de charger du code arbitraire durant le démarrage, ce qui est l’antithèse du démarrage sécurisé. D’autre part, Grub aura pour mission de vérifier que le noyau Linux lui-même est signé avant d’être chargé. Notez que ce dernier sera aussi modifié pour que certaines fonctionnalités, qui permettent de charger du code arbitraire, soient supprimées. Précision importante : si le Secure Boot est désactivé, toutes ces restrictions sont annulées.
Notez que Fedora 18 sera accompagnée d’outils qui permettront aux développeurs plus chevronnés de modifier le système à leur guise, de le recompiler et ainsi de suite. Bien entendu, la clé achetée par Fedora ne sera pas distribuée. Ils pourront en revanche se fournir chez VeriSign via Microsoft pour 99 dollars.
Un compromis pour que les habitudes ne soient pas brisées
Matthew Garrett est pleinement conscient qu’il s’agit d’un gros compromis. Lui et les autres développeurs ont travaillé sur cette solution, jugée « non attractive », depuis des mois. Il estime cependant qu’il s’agit de la meilleure solution pour l’ensemble des utilisateurs qui veulent simplement utiliser le système sans requérir de profondes connaissances du sujet.En outre, cette solution n’est valable que pour ordinateurs fixes et portables habituels, ou les tablettes tant qu’elles sont basées sur l’architecture x86. Dans le cas du matériel ARM, avec Windows RT, Microsoft interdit de désactiver le Secure Boot via son programme de certification. Matthew Garrett explique que Fedora pourrait reprendre la même technique mais qu’il serait impossible pour les utilisateurs de modifier alors le système à leur gré. Plutôt que de fermer cette porte, véritable opposé à la philosophie du libre, Red Hat choisit de laisser de côté les tablettes ARM.
Matthew Garrett termine son billet en affirmant que rien n’est encore totalement certain. Pour l’instant, les travaux avancent bien pour Fedora 18 « mais il y a toujours une possibilité que nous ayons raté quelque chose ou qu’une nouvelle idée apparaisse. Si nous pouvons augmenter la liberté de l’utilisateur sans faire d’horribles compromis ailleurs, alors nous le ferons ».
