logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 13-11-2013 20:09:42

daufinsyd
Membre
Lieu : 68, 63, Karlsruhe
Distrib. : Arch Linux + Debian Stable + Xubuntu
Noyau : Linux 4.17-amd64
(G)UI : Plasma 5.13
Inscription : 02-02-2013
Site Web

uefi & secureboot

Bonjour ou plutôt bonsoir. (ce qui après relecture devrait donner plutard bonsoir big_smile )

J'ai commencé une page pour expliquer l'installation de Debian sur les ordinateurs équipés de l'uefi et du secureboot.

http://debian-facile.org/atelier:chantier:uefi
[edit: **déplacé**: http://debian-facile.org/doc:install:uefi]
ainsi qu'une page répertoriant les succès/échec d'installations

http://debian-facile.org/atelier:chantier:secure-boot
[edit: **déplacé**: http://debian-facile.org/doc:materiel:secure-boot] Page de retours ici https://debian-facile.org/viewtopic.php … 86#p130886

j'ai essayé de faire quelque chose de simple à la porté de tout le monde (j'espère y être arrivé).

N'hésitez pas à rectifier - ajouter - supprimer des choses, j'ai construit la page d'après mes quelques expériences et des docs trouvées sur divers sites smile .

Merci et bonne soirée,
daufinsyd

PS: sur la page secureboot j'ai voulu mettre des images à la place des + - et ? mais je n'en trouve pas libres de droits big_smile n'y a-t-il pas un moteur pour chercher les images sur le serveur de df (j'ai vu qu'on pouvait en mettre) ?

Dernière modification par daufinsyd (13-11-2013 20:13:06)


Portable i7 7700HQ, 16Go RAM, GTX 1050Ti, MX 500 Crucial
Intel i7-4790 - 12Go RAM - GTX460
Intel i7-6700 - 8Go RAM - AMD R9 280X 3Go - SSD 850Evo
Odroid C2, Raspberry Pi Zero

Hors ligne

#2 14-11-2013 22:01:49

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : uefi & secureboot

N'hésitez pas à rectifier - ajouter - supprimer des choses,

Alors, je me permet parceque je ne comprends pas cette note (ci-dessous)

Si votre distribution est signée, vous n'êtes pas obligés de désactiver le secureboot. Voir cette page pour plus d'information
http://debian-facile.org/atelier:chantier:uefi

que veux dire "signée" ?


Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#3 14-11-2013 23:19:32

Lætitia
Modette
Lieu : Normandie du Nord
Distrib. : Stretch
Noyau : 4.6.0-1-amd64
(G)UI : Xfce4
Inscription : 14-04-2010
Site Web

Re : uefi & secureboot

salut,
quand tu dis

Tout d'abord, vérifiez que la table des partition est bien GPT


Pour vérifier,

parted -l


Si la table est en GPT, parted te le diras. smile


<titia> pas assez cuit
<titia> µonde  -> explosion
<captnfab> ^^
<captnfab> s/µ/bl/ wink

Hors ligne

#4 15-11-2013 09:11:10

daufinsyd
Membre
Lieu : 68, 63, Karlsruhe
Distrib. : Arch Linux + Debian Stable + Xubuntu
Noyau : Linux 4.17-amd64
(G)UI : Plasma 5.13
Inscription : 02-02-2013
Site Web

Re : uefi & secureboot

Alors, je me permet parceque je ne comprends pas cette note (ci-dessous)


En mode « lancement sécurisé » (secure boot), l'UEFI utilise un mécanisme de vérification par signatures numériques. Le micrologiciel interdit tout chargement de driver ou de noyau dont la signature ne correspondrait pas à celle gravée en ROM. (wikipedia)



La signature numérique (parfois appelée signature électronique) est un mécanisme permettant de garantir l'intégrité d'un document électronique et d'en authentifier l'auteur, par analogie avec la signature manuscrite d'un document papier.

Elle se différencie de la signature écrite par le fait qu'elle n'est pas visuelle, mais correspond à une suite de nombres (wikipedia).



Une distribution signée a acheté une clé à ms et est donc reconnue comme non dangereuse par le secureboot. Il n'y a donc (en théorie) pas besoin de le désactiver pour installer la distribution.

j'ai rajouté un lien vers wikipedia smile

merci Lætitia pour l'astuce, je l'ai également rajoutée smile


Portable i7 7700HQ, 16Go RAM, GTX 1050Ti, MX 500 Crucial
Intel i7-4790 - 12Go RAM - GTX460
Intel i7-6700 - 8Go RAM - AMD R9 280X 3Go - SSD 850Evo
Odroid C2, Raspberry Pi Zero

Hors ligne

#5 15-11-2013 09:21:51

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : uefi & secureboot

Y316 a écrit :

que veux dire "signée" ?


En fait, secureboot n'accepte de lancer que des boot-loaders étant signés par une clé détenue par Microsoft (je résume).
Certaines distro ont fait le choix de refuser de jouer le jeu et de demander de désactiver secure boot. D'autres ont privilégiées la simplicité pour les utilisateurs et ont accepté de céder à ce système. Ces dernières font donc signer leur bootloader, ce qui consiste à rajouter en fin de fichier une signature ne pouvant être produite que par une clé privée, mais pouvant être vérifiée par la clé publique présente dans tout uefi.
Voir GPG pour plus d'info sur l'authentification asymétrique smile

Edit: Ah, grillé. smile


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#6 15-11-2013 09:32:52

daufinsyd
Membre
Lieu : 68, 63, Karlsruhe
Distrib. : Arch Linux + Debian Stable + Xubuntu
Noyau : Linux 4.17-amd64
(G)UI : Plasma 5.13
Inscription : 02-02-2013
Site Web

Re : uefi & secureboot

captnfab a écrit:
Edit: Ah, grillé. smile



2 fois plus d'explications pour deux fois mieux comprendre big_smile

pour info

Debian, qui ne constitue pas une entité commerciale mais une communauté, ne peut acheter une signature quelconque à une entité commerciale telle que Microsoft13. En outre, les statuts de la distribution sont très restrictifs : l’emploi de marques commerciales y est interdit. Enfin, l'emploi d'une clef secrète empêcherait la modification du code par une autre entité que Debian et contreviendrait à la quatrième liberté fondamentale du logiciel libre (la liberté de modification).



Donc pas de clé pour Debian smile


Portable i7 7700HQ, 16Go RAM, GTX 1050Ti, MX 500 Crucial
Intel i7-4790 - 12Go RAM - GTX460
Intel i7-6700 - 8Go RAM - AMD R9 280X 3Go - SSD 850Evo
Odroid C2, Raspberry Pi Zero

Hors ligne

#7 16-11-2013 10:45:04

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : uefi & secureboot

Je précise quand même qu'il n'est pas impossible que Debian propose une version de son installateur compatible Secure-Boot. Le problème est en discussion, en particulier  Steve McIntyre et Leif Lindholm vont en parler demain à la Mini-Debconf de Cambridge[1].

[1] https://wiki.debconf.org/wiki/Miniconf-UK/2013

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#8 16-11-2013 15:40:44

daufinsyd
Membre
Lieu : 68, 63, Karlsruhe
Distrib. : Arch Linux + Debian Stable + Xubuntu
Noyau : Linux 4.17-amd64
(G)UI : Plasma 5.13
Inscription : 02-02-2013
Site Web

Re : uefi & secureboot

Tu veux dire acheter une clé au près de ms ?

Portable i7 7700HQ, 16Go RAM, GTX 1050Ti, MX 500 Crucial
Intel i7-4790 - 12Go RAM - GTX460
Intel i7-6700 - 8Go RAM - AMD R9 280X 3Go - SSD 850Evo
Odroid C2, Raspberry Pi Zero

Hors ligne

#9 16-11-2013 15:47:05

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : uefi & secureboot

Oui, mais bon, l'argent ne va pas à MS, il va à Verisign ou je ne sais quel organisme «indépendant» qui s'occupe de chapeauter tout ça.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#10 16-11-2013 15:52:40

daufinsyd
Membre
Lieu : 68, 63, Karlsruhe
Distrib. : Arch Linux + Debian Stable + Xubuntu
Noyau : Linux 4.17-amd64
(G)UI : Plasma 5.13
Inscription : 02-02-2013
Site Web

Re : uefi & secureboot

ce n'est pas le problème, c'est plutôt ceci:

l’emploi de marques commerciales y est interdit.
l'emploi d'une clef secrète empêcherait la modification du code par une autre entité que Debian et contreviendrait à la quatrième liberté fondamentale du logiciel libre (la liberté de modification).

personnellement, ce n'est pas bien compliqué d'installer linux sur un ordi équipé de l'uefi comme le montre le tuto, même si c'est vrai que ça pose des problèmes sur certains ordis. Mais on trouve sans aucune difficulté des problèmes d'installations d'Ubuntu signées et qui devraient pourtant êtres reconnues par le secureboot.

Enfin il me semble que certaines personnes avaient réussi à contourner sans grand mal le secureboot.

Portable i7 7700HQ, 16Go RAM, GTX 1050Ti, MX 500 Crucial
Intel i7-4790 - 12Go RAM - GTX460
Intel i7-6700 - 8Go RAM - AMD R9 280X 3Go - SSD 850Evo
Odroid C2, Raspberry Pi Zero

Hors ligne

#11 16-11-2013 16:11:56

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : uefi & secureboot

Pendant longtemps, les CD de Debian contenaient des firmwares non-libres et bien souvent non-modifiables.
Ici, c'est un peu la même chose qui se passerait. Grub (par exemple) serait présent dans une version signée «officielle» en plus de la version standard.

Tout le monde pourrait encore utiliser cette version de la même manière que c'est fait aujourd'hui mais en plus l'installation sur les machines à UEFI ne nécessiterait pas de désactiver le secure-boot.

De plus, Debian incluerait alors également les outils permettant de signer soi-même avec une clé personnelle le Grub, ce qui permettrait à chacun, à condition qu'il ait pu rajouter sa clé dans son UEFI de se refaire un grub modifié mais secure-bootable.

Je suis d'accord sur le point que ça ne respecte pas la quatrième liberté fondamentale, mais c'est une exception qui a été discutée. À voir si cette exception est acceptée ou non.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#12 16-11-2013 16:21:09

daufinsyd
Membre
Lieu : 68, 63, Karlsruhe
Distrib. : Arch Linux + Debian Stable + Xubuntu
Noyau : Linux 4.17-amd64
(G)UI : Plasma 5.13
Inscription : 02-02-2013
Site Web

Re : uefi & secureboot

oui, la philosophie de Debian était elle déjà la même à cette époque où les cd incluaient des firmwares non libres ? (je ne sais pas ça fais juste un peu plus d'un an que je suis sous Debian big_smile )

Portable i7 7700HQ, 16Go RAM, GTX 1050Ti, MX 500 Crucial
Intel i7-4790 - 12Go RAM - GTX460
Intel i7-6700 - 8Go RAM - AMD R9 280X 3Go - SSD 850Evo
Odroid C2, Raspberry Pi Zero

Hors ligne

#13 16-11-2013 16:27:50

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : uefi & secureboot

Oui, ces firmwares étaient en fait inclus dans le noyau Linux lui-même, qui n'était donc pas libre (en tant que paquet.)

Les firmwares ont été séparés avant la sortie de Squeeze je crois, qui embarquait donc un OS véritablement libre.

Le contre-coup étant que tout le matos en dépendant ne fonctionnait plus d'office, les cartes wifi sont un exemple…

Donc la philosophie n'a pas changé, mais les machines si. C'est pour s'adapter aux machines que les devs Debian ont envisagé cette exception.

Reste que le véritable résultat est que le secure-boot est juste un empêcheur de tourner en rond qui va pénaliser toutes les distros ayant effectivement besoin de personnaliser Grub (heureusement probablement très peu) et n'ayant pas les moyens de le faire signer par une clé valide.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#14 30-04-2015 17:57:16

milou
Membre
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015

Re : uefi & secureboot

Très léger tatouillage de l'en-tête

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#15 24-07-2015 17:18:13

milou
Membre
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015

Re : uefi & secureboot

Il y a deux pages pour ce sujet, j'ouvre un autre fil pour celle-là ? https://debian-facile.org/doc:materiel:secure-boot

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#16 24-07-2015 17:48:48

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : uefi & secureboot

Oui, en prenant soin de placer des inter-liens  smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#17 24-07-2015 18:03:19

milou
Membre
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015

Re : uefi & secureboot

Fait tongue

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#18 24-07-2015 18:13:25

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : uefi & secureboot

cool

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#19 24-07-2015 18:17:59

milou
Membre
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015

Re : uefi & secureboot

atta je place dans les pages wiki tongue

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#20 24-07-2015 18:18:50

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : uefi & secureboot

J'atta, j'atta ...  smile  tongue

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#21 24-07-2015 18:26:41

milou
Membre
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015

Re : uefi & secureboot

C'est fait tongue

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#22 24-07-2015 18:28:00

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : uefi & secureboot

Déjà ?  lol

cool

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#23 24-07-2015 18:31:40

milou
Membre
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015

Re : uefi & secureboot

En plus il se fiche de moi lol lol

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#24 24-07-2015 18:36:15

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : uefi & secureboot

J'oserais pas ...  /o\

lol

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#25 24-07-2015 18:38:12

milou
Membre
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015

Re : uefi & secureboot

lol

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

Pied de page des forums