Forum

Bonjour

Voila j'ai eu mon premier ordinateur portable avec l'UEFI en "secure boot" forcé, impossible de le désactiver, merci Acer :-(
Et bien sûr le boot sur l'ISO de Mageia est refusé par le secure boot.

En cherchant sur Internet j'ai trouvé un outil qui a l'air sympa, il permet d'enregistrer des clés et certificats dedans.
https://github.com/lcp/mokutil

Si j'ai bien compris il est possible d'injecter un certificat avec cette commande
# mokutil --import mageia_certif.der

Par contre ou peut on trouver le certificat publique de Mageia utilisable par le secure boot ?

Si je ne me trompe pas, ce sont des licences. Il faut raquer pour en obtenir une.

Bonjour,

As-tu essayé cette méthode pour ton ACER ? Ou le Secure Boot est vraiment bloqué ?

@Jybz : en effet il faut payer pour avoir un certificat Microsoft. Ce que plusieurs distributions font depuis un certain temps.

C'était l'objectif de Bill Gates. J'ai lu ça il y a longtemps, dommage que j'ai perdu cet interview. Il y déclarait que son objectif était de faire payer 5$ à chaque habitant de la planète. Entre les certificats pour installer Linux en Secure Boot et les royalties sur chaque smartphone Androïd, 5$, comme par hasard, l'objectif sera bientôt atteint...

oui j'ai essayé, c'est impossible de changer, c'est verrouillé par Acer... à moins de remplacer le bios par un binaire modifié, mais il faut faire du reverse engineering et je ne sais pas faire ça.

il semble bien possible de mettre un certificat personnel dans la "db" du secure boot avec mokutil, il faut juste trouver le certificat de Mageia.

Édité par jeanroch Le 10/01/2020 à 11h16

non, ce sont bien des certificats, pour te donner un exemple simple c'est comme dans le cas des https.
Et ce n'est pas besoin de payer Microsoft pour en insérer un personnel auto-signé.
Un peu comme si tu faisais un certificat auto-signé pour ton serveur perso apache à la maison

Dans les explications, il est dit que le fait d'ajouter un mot de passe au BIOS permet de désactiver le secure boot. Tu ne dis pas avoir essayé ça.

Je ne comprends pas tout mais il ne semble pas que tu puisses utiliser des certificats auto-signés. Microsoft est l'organisme de certification et pas un autre. Il y a toute une explication sur le wiki de Debian. Il y a en effet une méthode compliquée sur le wiki d'ArchLinux pour utiliser ses propres clés. Mais, à mon avis, il faut un certain niveau de connaissance pour y arriver.

Bonjour,

j'ai déjà eu le problème sur acer!!

astuce: dans le bios mettre un mot de passe bios, après dans l'onglet boot tu a une ligne supplémentaire pour désactiver le verrouillage!

espérant que sa marche encore!

Ta page du wiki de Debian est très bien, et elle semble confirmer ce que je pense.

"Most x86 hardware comes from the factory pre-loaded with Microsoft keys. This means the firmware on these systems will trust binaries that are signed by Microsoft. Most modern systems will ship with SB enabled - they will not run any unsigned code by default, but it is possible to change the firmware configuration to either disable SB or to enrol extra signing keys."

En gros en français elle dit que Microsoft a sa clé pré-chargé en usine sur tous les secure boot (SB)
La solution c'est soit de désactiver le SB soit seconde option "d’enrôler une clé externe".
Et la page explique comment utiliser l'outil mokutil pour faire cela

Il ne me manque que le certificat publique de Mageia.
Est ce que quelqu'un sais si il existe ?
Si le kernel Mageia est bien signé avec ?
Et ou est ce que je pourrais le trouver ?

Pour les curieux ou ceux qui veulent apprendre un peu, voici ce que j'ai sur mon Acer :
Il y a 6 clés pré-chargés en usine, la première c'est Acer, ensuite Microsoft 2 fois et ensuite je ne connais pas

# mokutil --db
[key 1]
SHA1 Fingerprint: 61:aa:ed:0e:d5:86:b5:fa:72:7b:c9:31:8c:15:7f:6a:a9:e8:be:00
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
1e:16:be:4f:3d:d6:c1:8a:47:01:1c:ff:a1:07:0c:cf
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=Taiwan, ST=TW, L=Taipei, O=Acer, CN=Acer Root CA
Validity
Not Before: Jul 10 03:35:15 2013 GMT
Not After : Jul 10 03:45:15 2033 GMT
Subject: C=Taiwan, ST=TW, L=Taipei, O=Acer, CN=Acer Database
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
00:a0:c1:35:9d:39:ba:87:2b:c0:15:ed:aa:b5:45:
......
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
X509v3 Authority Key Identifier:
keyid:15:73:D0:91:98:D7:D0:59:C2:0C:E6:02C:F7:A0:1F:75:70:38:88
X509v3 Subject Key Identifier:
84:F0:0F:58:41:57:1A:BD:2C:C1:1A:8C:26:D5:C9:C8:D2:B6:B0:B5
Signature Algorithm: sha256WithRSAEncryption
0f:31:f2:1b:89:45:c9:57:5c:34:a1:7b:ce:9b:9d:5c:ef:58:
.......

[key 2]
.......
Issuer: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010
........

[key 3]
Issuer: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root

[key 4]
Issuer: CN=DisablePW

[key 5]
Issuer: CN=ABO

[key 6]
Issuer: C=TW, ST=Taipei, L=Taipei, O=Linpus, OU=Linpus, CN=linpus.com/emailAddress=helpdesk@linpus.com

Édité par jeanroch Le 10/01/2020 à 17h48

Ça n'existe pas
Ça n'existera jamais parce qu'il n'y en a pas besoin.

Merci pour ta réponse claire. Mais je ne suis pas d'accord, il y a besoin !
La technique du bios avec mot de passe ne marche pas et j'ai le sentiment que cela sera de plus en plus fréquent dans un futur plus ou moins loin...
Je vais ouvrir une demande de fonctionnalité pour la prochaine version.

Bonne initiative !