Secure Boot : Microsoft a laissé une porte dérobée ouverte

Hein ?

C’est quoi ce vieux FUD que vous nous faites ?

Non parce que Windows ne demande qu’une chose : que le secure boot soit actif.

Il est parfaitement possible d’installer son propre jeu de clés persos, genre clés privées, publiques et tuti quanti et de faire ses propres certifs sans que windows ne dise rien.

http://www.rodsbooks.com/efi-bootloaders/controlling-sb.html

Cadeau.

Et vous pouvez du coup, dire “merde” a cette faille lolesque : personne n’ira installer d’autres clés que les votre. En revanche, là ou c’est problématique, c’est que cette faille permette de démarrer windows en mode secure, sans l’être. Et ça, c’est pas un problème de secure boot, mais de windows.



Edit : et bien entendu avec vos propres KEK et db/dbx, la goldenkey de microsoft, ben elle existe plus.

Il n’y a pas de backdoor dans le secure boot. Le seul backdoor ici c’est : goldenkey dans la nature pour microsoft et ses certifs, et windows qui boot en mode debug. Secureboot n’est pas impacté.

Tu change tes clés, tu force les clés BCD secure et tu efface toute les entrées merdique, tu change les db/dbx et t’es peinard.

Shim a une clé valide.  Tu peut installer une MOK sur Shim. Tu as donc des clés valides.

Pour les tablettes et autres : suffit de passer en mode debug hard (qui lui est obligatoire ne serait-ce que pour initier les puces) qui te permet … De passer outre secure boot et d’installer n’importe quoi dessus.

J’ai une surface pro avec mes propres bd/bdx/PK et KEK, en dual boot linux/windows et j’ai juste aucuns soucis.

Bon, je le redis parce que visiblement, y’en a qui sont dur de la feuille : la question des certificats est un faux problème.

Vous pouvez être votre propre autorité de certification. CF le lien posté au dessus. La question de microsoft seul et unique signataire est donc nulle. Qu’ils soient la seule autorité reconnue au niveau industriel est un fait, encore que c’est VeriSign qui signe les certificats pour microsoft. Qu’il ne soit pas possible de signer les certificats autrement est faux.

Si les certificats sont révoqués : pas de soucis, signe tes propres certificats épicétou.



Edit : le problème ici n’est pas que seul microsoft puisse signer, mais que windows laisse une possibilité de booter en mode debug, et que des golden keys sont dans la nature. (édition BCD et certificats propres permettent de virer totalement la faille.)

http://www.rodsbooks.com/efi-bootloaders/controlling-sb.html Tout est expliqué, ici.

 Tout est expliqué dans l’implémentation de secureboot sur le site d’intel. Tout est expliqué dans le compendium pour l’EDK, et depuis que l’EFI existe sur plateforme itanium, et qu’apple ont commencés a installer les premiers éléments de sécurisation du boot.



 Et c’est pas de la crypto mais de l’admin sys.

 Et c’est de la très mauvaise fois que de basher microsoft sur ce point : ils sont unique certificateurs par défaut parce que personne d’autre ne veux le faire, les industriels demandant des garanties juste impressionnantes.

 De plus, la certification et la révocation, sont sur plateforme microsoft, juste transparente. C’est pas comme si l’OS avait accès a la partie dbx/KEK/KEXt de la nvram stockant les infos UEFI/Boot/BCD.

 Et d’ailleurs, de ce point de vue, linux est une faille de sécurité a lui tout seul : lui y accède en dur via le shell.



 Et là, entre nous, si tu t’intéresse un minimum au sujet, tu verra que l’utilisateur lambda tel que tu le décris ne pourra être impacté par ce genre de failles : faut un accès physique a la machine. Ca peut permettre de véroler un kiosk sous windows et de le démarrer en mode “admin”, mais dans les faits avant de pouvoir installer un malware qui ira te véroler l’OS, voir un OS vérolé tout court, y’a un gouffre.

 Et non, ça ne sera jamais simple, car c’est une fonction qui peut bricker une carte mère. (modifier les db/PK demande d’aller directement éditer les bases dans les oproms contenant l’UEFI, et donc d’écrire en mode réel, et donc … de ne plus être en mesure de booter, du tout.).



 Seule exception, les périph ARM qui ont leurs mécanismes par design sur une partoche spécifique du stockage de masse. Seul le POST est réalisé en hard (et intégré au SoC).

Y’en avait, ils ont sauté. Je tente l’edit :O



Edit : ça me fait penser qu’il y a des goldens arm dans la nature depuis 2010 qui permettent de booter sur des chip samsung et snapdragon.

Quand c’est pour du jailbreak, on en parle positivement, mais quand c’est sur x86, oulalala. 

Tu saute directement a la case “utiliser KeyTool”.

Je te laisse voir les spec d’EFI sur Itanium, d’EFI sur matos Apple. Du blindage demandé par IBM sur leurs serveurs. Et les demandes de RedHat concernant l’UEFI, d’ailleurs, Shim, c’est pas un hasard si ça provient de RedHat (il était dans les cartons depuis un bout de temps, puisqu’ils ont bossés a l’intégration de x509 non seulement dans le kernel linux mais aussi dans l’EFI, c’est AUSSI pour ça que Linus l’a mauvaise concernant le secure boot.)

Le problème n’est encore une fois, pas la technologie en elle même, ni l’organisme certificateur.



Le problème ici, c’est, encore une fois, microsoft qui fait deux bourdes a laisser le mode debug, et une golden key kek dans la nature.



Braif.

Avant de crier au complotisme, faudrait déjà arrêter de regarder les faits de manière biaisées : hormis des suppositions sur se que voudrait microsoft. Le contrat VeriSign se chiffre en millions de dollar/ans pour “valider” une db et des PK. Le gain pour microsoft est quasi nul, la KEK a 99$ c’est vraiment économique, surtout pour RedHat avec son Shim du coup, si vous avez pas encore capté les mécanismes en jeu, même sans parler de la faille, vous avez, grâce a shim, la possibilité de signer vos kernel sans soucis avec un MOK. Mais il a été demandé a microsoft de devenir organisme certificateur, parce que personne n’avait (et n’a encore) l’équipe de dev a coller pour mater les boots process, drivers EFI et autre à valider.



Secure boot obligatoire ? A ma connaissance, il n’y a que les device arm qui IMPOSENT secure boot à l’heure actuelle. Je te laisse regarder se qu’en une bootchain et comment fonctionne un ordinateur a partir du POST jusqu’au log.



UEFI est plus simple a utiliser que BIOS. UEFI est carrément plus portable que BIOS. Et rien qu’un truc que vous avez pas encore compris : avec UEFI, c’est la FIN DES PROBLEMES D’ACPI/APIC et définition hasardeuses de matos dans une table obscure. La sécurité avec secure boot, c’était juste demandé par tout les acteurs un tant soit peu dans le coup. La mise en oeuvre vous plait pas ? Et bien faite en un vous même, proposez, si y’a autant de brouzouf a se faire, vous allez être millionnaires. (un indice : personne veux se mettre sur le créneau parce que c’est un service A PERTE).

Donc comme le BIOS : vous apprenez a utiliser l’UEFI et on en reparle au lieu de critiquer. D’ailleurs, je pense pas que les devs kernel linux soient mécontents d’être passés sur UEFI.

Konrad a écrit :



Pour l’UEFI oui, mais pour les clés Secure Boot, non : seuls les OS certifiés par Microsoft peuvent démarrer quand le Secure Boot est activé. Les prix vont de 1500 à 70000 Dollars pour une clé. On comprend pourquoi les autres OS ont tiré la gueule.



Alors certes chacun peut créer sa clé dans son coin comme cela a été mentionné, mais il faut admettre que ce n’est pas à la portée de tout le monde. Ce serait vachement plus simple si les clés étaient gérées par un consortium.





Non :

Microsoft sont les seuls certificateurs car ils sont les seuls a proposer des garanties pour que la certification soit considérée comme fiable par l’industrie.

Mais SB a été poussé par les fabricants de smartphone, RedHat, Apple, IBM, pas microsoft.

DEAL

WITH 

IT

Au lieu de raconter de la merde.



Une clé KEK chez microsoft c’est 99$ pas 1500 a 70000. Ce prix c’est pour un HSM (Hardware Security Module). Soit un ordinateur certifié qui te permet de booter une infrastructure totalement sécurisée (une sorte de TPM INFRA), c’est généralement utilisé dans des centres de données genre OVH sur leurs infra cloud, du stockage en big data, les OEM genre Lenovo/Asus pour avoir le droit de faire et fournir des golds au publique … Sur des solutions a plusieurs millions de brouzoufs juste pour une baie @42U.



Toi en tant qu’utilisateur final (et encore, microsoft te signera jamais une clé pour tes beaux yeux, il faut être une organisation) :&nbsphttps://blogs.msdn.microsoft.com/windows_hardware_certification/2013/12/03/pre-s… c’est ça qui t’intéresse. Et le dernier état de l’art en matière de secure boot est ici :&nbsphttp://www.uefi.org/sites/default/files/resources/UEFI_Plugfest_2013_-_New_Orlea…



Document qui mentionne au passage l’existence d’une autorité interne de certification reconnue mais non disponible au publique : canonical.

Bon maintenant, si on reprend en détail l’article, ça parle principalement de mode debug sur des devices qui ne sont pas vraiment des windows 10 “mainstream” mais plutôt des machines type portable, windows RT etc …

Et que les failles ont été introduites a la mise à jour pour redstone : c’est pas une backdoor en tant que tel mais une infra de mise à jour détournée de son utilisation et laissée en l’état sur les devices.



Et en passant, il ne faut pas un mais trois (3!!!) reboots pour mettre en place cette infra de manière totalement fonctionnelle avec validations de la part de l’utilisateur final, genre le truc super discret quoi. Et c’est, comme précisé dans l’article, pas comme si tu pouvais pas non plus passer ton device en mode nontrusted de manière hard, et pas comme si tu pouvais pas désactiver secureboot sur les ordinateurs individuels.



Braif … Le FUD prend bien a se que je vois et en plus il est poussé par des personnes qui auraient plutôt tout intérêt a bosser avec MS plutôt que contre.



PS : si vous êtes pas content de la manière dont est implémenté secureboot par votre OEM/Fabricant de matos, libre a vous de vous tourner vers des fabricants “responsables” : gigabyte, CM “anyOS” style QUO computer, installer coreboot, faire vous même vos propres UEFI, hacker votre UEFI via mmtools … Braif, les solutions ne manquent pas.

Grosso modo, c’est ça. Hormis qu’ils ont bien poussés en tant que contrib a l’adoption de SB pour une raison : securiser des firmware (comprendre firmware dans le sens association matériel + logiciel créés et bloqués par des firmes/industriels). Pour une raison simple : ils sont les premiers pourvoyeurs de solutions sécurisées “open source” pour le gourvernement US. Miscrosoft arrive bien après ceux mentionnés.



Pour les solutions, il y à en réalité 3 :

-Shim, poussé par RedHat et canonical.

-PreLoader signé par MS pour la Linux Foundation.

-Canonical qui fait signer ses kernels en passant par les mêmes certifs que MS auprès de VeriSign/Symantec (ils ont les mêmes signatures hash)



Actuellement, les premiers “promoters” de SB sont même pas les promoters de UEFI mais les fabricants de portables, IoT et autres single board computer : ça leurs permet de contrôler se qui tourne sur leurs machines (chose que microsoft, par design, ne peut pas faire, même si ils aimeraient et à la condition qu’ils le veuillent).

Techniquement, non, tout device peut être locké par firmware de bout en bout de la chaine : CF l’utilité d’une puce type Nuvoton, IPMI management board et autres concepts de management OOB et BMC. Hormis que les canaux ne sont pas pour le moment signés de manière obligatoire.

Il y a des POC qui circulent sur du trusted computing.



Pour voir des trucs vraiment crasses faut plutôt aller jeter un oeuil direction TCG, TPM et autre&nbsphttp://www.trustedcomputinggroup.org/ ou là, on parle vraiment de cadenasser l’infra et les device.

http://www.iotsworldcongress.com/ge-intel-microsoft-mit-red-hat-schneider-and-th…

Vous comprendrez que SB n’est pas un enjeux prioritaire : ils ont autre chose a se foutre sous la dent (généralisation d’Opal dans les puces Nuvoton, TPM a tout les niveaux) " />