Secure boot in Debian e kernel firmati digitalmente

Questioni legate al Kernel Linux: configurazione, installazione, ottimizzazione, patch

Secure boot in Debian e kernel firmati digitalmente

Messaggioda Aki » 28/07/2019, 12:32

Vi segnalo all'indirizzo [0] l'interessante relazione (in lingua inglese) tenuta da Steve McIntyre al Debconf 2019 sulle innovazioni introdotte per il supporto della tecnologia "secure boot" in Debian che, a partire da Debian Buster, è distribuita di default con i supporti di installazione.

Pertanto, se ho ben compreso, per i computer in cui è attivato il "secure boot " al momento dell'installazione, quest'ultima avviene installando i componenti Debian necessari al "secure boot", tra cui i kernel firmati digitalmente dal progetto Debian.

Il supporto al "secure boot", pur avendo il vantaggio di poter sfruttare la maggiore sicurezza in termini di prevenzione di attacchi informatici attraverso la sequenza di boot, introduce però delle limitazioni nell'utilizzo corrente del kernel (che richiedono alcune configurazioni molto particolari in caso di utilizzo di moduli del kernel "out-of-the-tree" , cioé moduli che non fanno parte della versione del kernel distribuita con Debian).

In particolare, i moduli del kernel "out-of-the-tree" non possono essere attivati di default con i kernel firmati digitalmente (salvo accorgimenti particolari). Vedi [1].

[0] http://meetings-archive.debian.net/pub/debian-meetings/2019/DebConf19/secure-boot-in-debian-in-buster-really.webm
[1] https://wiki.debian.org/SecureBoot
Aki
Global Moderator
Global Moderator
 
Messaggi: 8609
Iscritto il: 27/12/2007, 16:59

Torna a Kernel

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti