Debian-facile

robert2a

Membre

Distrib. : Buster 10 version 10.11

Noyau : kernel buster backports

(G)UI : Mate

Inscription : 15-11-2014

[resolu] X.509 certificate sur Bullseye

Bonjour
j'ai ceci depuis quelque temps dans le syslog sur bulllseye

Aug 15 17:55:56 amdtr4 kernel: [    0.816875] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
Aug 15 17:55:56 amdtr4 kernel: [    0.816888] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'

Aug 15 17:55:56 amdtr4 kernel: [    0.817403] AppArmor: AppArmor sha1 policy hashing enabled
Aug 15 17:55:56 amdtr4 kernel: [    0.818759] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.818902] integrity: Loaded X.509 cert 'ASUSTeK MotherBoard SW Key Certificate: da83b990422ebc8c441f8d8b0>
Aug 15 17:55:56 amdtr4 kernel: [    0.818902] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819041] integrity: Loaded X.509 cert 'ASUSTeK Notebook SW Key Certificate: b8e581e4df77a5bb4282d5ccfc00>
Aug 15 17:55:56 amdtr4 kernel: [    0.819041] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819056] integrity: Loaded X.509 cert 'Microsoft Corporation UEFI CA 2011: 13adbf4309bd82709c8cd54f316ed>
Aug 15 17:55:56 amdtr4 kernel: [    0.819056] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819073] integrity: Loaded X.509 cert 'Microsoft Windows Production PCA 2011: a92902398e16c49778cd90f99e>
Aug 15 17:55:56 amdtr4 kernel: [    0.819073] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819212] integrity: Loaded X.509 cert 'Canonical Ltd. Master Certificate Authority: ad91990bc22ab1f51704>
 

Dernière modification par robert2a (17-08-2020 13:53:10)

---

Machines : kabylake I7 7700 , AMD 1700(X) ,AMD threadripper gen1 , AMD Raven R3 2200G , AMD FX(tm)-8320

Beta-Pictoris

Membre

Lieu : Angers

Distrib. : Buster

Inscription : 12-08-2015

Re : [resolu] X.509 certificate sur Bullseye

Je suppose que le noyau linux contrôle l'intégrité des certificats utilisés par "Secure boot".

robert2a

Membre

Distrib. : Buster 10 version 10.11

Noyau : kernel buster backports

(G)UI : Mate

Inscription : 15-11-2014

Re : [resolu] X.509 certificate sur Bullseye

je sais pas , mais sécure boot est désactivé , clé chargé  dans le bios ,que je peu effacé .
donc a priori une nouveauté de Bullseye

---

Machines : kabylake I7 7700 , AMD 1700(X) ,AMD threadripper gen1 , AMD Raven R3 2200G , AMD FX(tm)-8320

--gilles--

Membre

Lieu : Orléans - La Source

Distrib. : debian 11

Noyau : Linux 5.10.0-13-amd64

(G)UI : mutter 3.38.6-2~deb11u2

Inscription : 15-02-2016

Re : [resolu] X.509 certificate sur Bullseye

Rebonjour, robert2a, mais qu'est ce que je lis dans ton rapport ?   Un passage à l'ennemi ! Tu sera fusillé 12 fois par jour en Pologne !

J'ai ces libpam :

aptitude search '~i libpam'

i A libpam-cap                                                       - POSIX 1003.1e capabilities (PAM module)                                    
i   libpam-cracklib                                                  - PAM module to enable cracklib support                                      
i A libpam-gnome-keyring                                             - PAM module to unlock the GNOME keyring upon login                          
i   libpam-modules                                                   - Pluggable Authentication Modules for PAM                                  
i   libpam-modules-bin                                               - Pluggable Authentication Modules for PAM - helper binaries                
i   libpam-runtime                                                   - Runtime support for the PAM library                                        
i   libpam-systemd                                                   - system and service manager - PAM module                                    
i   libpam-tmpdir                                                    - automatic per-user temporary directories                                  
i   libpam0g                                                         - Pluggable Authentication Modules library              

et que je regarde avec dmesg ou avec syslog cela me donne pareil  :

dmesg | grep       "cert\|eyring\|integr"

[    0.967905] Initialise system trusted keyrings
[    0.969860] integrity: Platform Keyring initialized
[    0.983765] Loading compiled-in X.509 certificates
[    1.025201] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
[    1.025269] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'
 

Avec la même commande, as-tu une initialisation des trousseaux de clés de confiance au niveau système ? Initialise system trusted keyrings

Un peu de lecture à ce sujet :
https://translate.google.fr/translate?h … &sandbox=1

---

« Quand la vérité n'est pas libre, la liberté n'est pas vraie. » Jacques Prévert

--gilles--

Membre

Lieu : Orléans - La Source

Distrib. : debian 11

Noyau : Linux 5.10.0-13-amd64

(G)UI : mutter 3.38.6-2~deb11u2

Inscription : 15-02-2016

Re : [resolu] X.509 certificate sur Bullseye

Plus direct au but : révoquer et ne pas restaurer les certificats qui te déplaisent, un tuto ici :

https://www.digitalocean.com/community/ … bian-10-fr

---

« Quand la vérité n'est pas libre, la liberté n'est pas vraie. » Jacques Prévert

robert2a

Membre

Distrib. : Buster 10 version 10.11

Noyau : kernel buster backports

(G)UI : Mate

Inscription : 15-11-2014

Re : [resolu] X.509 certificate sur Bullseye

re,

aptitude search '~i libpam'
i   libpam-cap                                                     - POSIX 1003.1e capabilities (PAM module)                                  
i   libpam-doc                                                     - Documentation of PAM                                                    
i   libpam-modules                                                 - Pluggable Authentication Modules for PAM                                
i   libpam-modules-bin                                             - Pluggable Authentication Modules for PAM - helper binaries              
i   libpam-runtime                                                 - Runtime support for the PAM library                                      
i   libpam-systemd                                                 - system and service manager - PAM module                                  
i   libpam0g                                                       - Pluggable Authentication Modules library  
 

dmesg | grep       "cert\|eyring\|integr"
[    0.748696] Initialise system trusted keyrings
[    0.749863] integrity: Platform Keyring initialized
[    0.766017] Loading compiled-in X.509 certificates
[    0.791817] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
[    0.791833] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'
[    0.793013] integrity: Loading X.509 certificate: UEFI:db
[    0.793176] integrity: Loaded X.509 cert 'ASUSTeK MotherBoard SW Key Certificate: da83b990422ebc8c441f8d8b039a65a2'
[    0.793177] integrity: Loading X.509 certificate: UEFI:db
[    0.793330] integrity: Loaded X.509 cert 'ASUSTeK Notebook SW Key Certificate: b8e581e4df77a5bb4282d5ccfc00c071'
[    0.793330] integrity: Loading X.509 certificate: UEFI:db
[    0.793347] integrity: Loaded X.509 cert 'Microsoft Corporation UEFI CA 2011: 13adbf4309bd82709c8cd54f316ed522988a1bd4'
[    0.793347] integrity: Loading X.509 certificate: UEFI:db
[    0.793363] integrity: Loaded X.509 cert 'Microsoft Windows Production PCA 2011: a92902398e16c49778cd90f99e4f9ae17c55af53'
[    0.793364] integrity: Loading X.509 certificate: UEFI:db
[    0.793521] integrity: Loaded X.509 cert 'Canonical Ltd. Master Certificate Authority: ad91990bc22ab1f517048c23b6655a268e345a63'
 

je suppose ce paquet  =>  https://packages.debian.org/fr/bullseye/ca-certificates

je vois pas ce que je peu faire , supprimer les clés de mon bios UEFI , mettre une version de buster pour le paquet "ca-certificates"
ps:les 2 machines ont la même version du bios avec une carte mère différente (sauf le threadripper (3 ème machine) qui a un bios différent des ryzen )
pour debian ok , Asus ok c'est une CM de la marque , mais les autres ?
en plus les 5 derniers bien précisé UEFI:db

Dernière modification par robert2a (17-08-2020 08:25:26)

---

Machines : kabylake I7 7700 , AMD 1700(X) ,AMD threadripper gen1 , AMD Raven R3 2200G , AMD FX(tm)-8320

robert2a

Membre

Distrib. : Buster 10 version 10.11

Noyau : kernel buster backports

(G)UI : Mate

Inscription : 15-11-2014

Re : [resolu] X.509 certificate sur Bullseye

voila clé du sécure-key remit a 0

dmesg | grep       "cert\|eyring\|integr"
[    0.749246] Initialise system trusted keyrings
[    0.750412] integrity: Platform Keyring initialized
[    0.766066] Loading compiled-in X.509 certificates
[    0.791888] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
[    0.791904] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'
 

avec Asus pas compliqué , le bios est bien foutu .

il y a 3 états pour l UEFI
clé absente (non-chargé) + sécure-boot désactivé
clé présente(chargé) + secure-boot désactivé
clé présente(chargé) + secure-boot actif

ps: a chaque mise a jour du bios je suppose (pas vérifié) que les clés sont régénérées .

et pour debian il prend en charge le sécure-boot maintenant ?

=>   https://wiki.debian.org/SecureBoot

Dernière modification par robert2a (17-08-2020 13:43:14)

---

Machines : kabylake I7 7700 , AMD 1700(X) ,AMD threadripper gen1 , AMD Raven R3 2200G , AMD FX(tm)-8320

--gilles--

Membre

Lieu : Orléans - La Source

Distrib. : debian 11

Noyau : Linux 5.10.0-13-amd64

(G)UI : mutter 3.38.6-2~deb11u2

Inscription : 15-02-2016

Re : [resolu] X.509 certificate sur Bullseye

Bonjour robert2a, comme je n'ai pas l'UEFI, ma machine n'a que le BIOS un peu vérolé par les erreurs ACPI d'HP, mon aide ne sera pas aussi efficace et pertinente finalement que tes recherches. Et je ne voudrais pas devenir un boulet qui te fasse faire des boulettes. 

J'ai juste trouvé l'emplacement des certificats Mozilla parce que j'avais téléchargé un certificat Microsoft juste pour voir qu'il avait une extension en .crt

find / -iname *.crt -print

secure-key qu'es aco ? Plutôt quelle secure-key et dans quel contexte ?

Dernière modification par --gilles-- (17-08-2020 10:51:04)

---

« Quand la vérité n'est pas libre, la liberté n'est pas vraie. » Jacques Prévert

robert2a

Membre

Distrib. : Buster 10 version 10.11

Noyau : kernel buster backports

(G)UI : Mate

Inscription : 15-11-2014

Re : [resolu] X.509 certificate sur Bullseye

Bonjour

secure-key qu'es aco ? Plutôt quelle secure-key et dans quel contexte ?
 

un truc que j'ai inventé , les clé de l' UEFI  pour  le secure-boot
dans le bios (en FR) nommé simplement "clé" , plusieurs pas le détail en tête
je vais modifié au dessus

pour la liste des certificats très longue (/usr/share/ca-certificates/mozilla/)
et deux a part

/usr/share/doc/ca-certificates/examples/ca-certificates-local/local/Local_Root_CA.crt
/etc/ssl/certs/ca-certificates.crt
 

ps: la commande a cherché dans tous les disques

nota: remplacé "secure key" qui n'existe pas par "secure-boot"  en #7

on sait que le noyau va lire les certificats présent dans l' UEFI (certificats sûrement contenue dans les clés et stocké je ne sais ou (EFI ou disque) )
signalé en #2
pour debian dans le noyau signé

Dernière modification par robert2a (17-08-2020 13:55:22)

---

Machines : kabylake I7 7700 , AMD 1700(X) ,AMD threadripper gen1 , AMD Raven R3 2200G , AMD FX(tm)-8320