Sécurité du système avec Linux : avec ou sans TPM ?

jdt37b · Le 01/06/2023, à 18:45

Bonsoir à tous,
Pour l’Acer décrit ci-dessous, avec Xubuntu 22.04 et un Bios avec « TPM support » à « Enabled » j’optiens au démarrage ces messages de la puce « Trusted Platform Module » :

dmesg | grep -i tpm
[    0.000000] efi: TPMFinalLog=0xdd6ad000 ACPI 2.0=0xdd5ae000 ACPI=0xdd5ae000 SMBIOS=0xdd9f4000 SMBIOS 3.0=0xdd9f3000 ESRT=0xd965f718 MEMATTR=0xda0fc018 RNG=0xdd5ad018 TPMEventLog=0xd300d018 
[    0.006737] ACPI: TPM2 0x00000000DD5C8D98 000034 (v03 ACRSYS ACRPRDCT 00000001 AMI  00000000)
[    0.006775] ACPI: Reserving TPM2 table memory at [mem 0xdd5c8d98-0xdd5c8dcb]
[    0.430555] tpm_crb MSFT0101:00: [Firmware Bug]: ACPI region does not cover the entire command/response buffer. [mem 0xdd707000-0xdd707fff flags 0x200] vs dd707000 4000
[    0.430587] tpm_crb MSFT0101:00: can't request region for resource [mem 0xdd707000-0xdd707fff]
[    0.430594] tpm_crb: probe of MSFT0101:00 failed with error -16
[    0.986435] ima: No TPM chip found, activating TPM-bypass!

Avec « un autre OS », TPM améliorerait la sécurité de l’ordi, du système d’exploitation et du firmware.
Mais sous Linux, pour éviter ces messages, si l’on met le « TPM support » à « Disabled » quels risques seraient pris ? Les mêmes ?
Merci d’avance de vos avis.

geole · Le 01/06/2023, à 19:03

Bonjour
A mon avis, tu as mis le secure en OFF au lieu de l'activer ou alors, tu bootes en LEGACY au lieu de EFI

 [ -d /sys/firmware/efi ] && echo "Session EFI" || echo "Session non-EFI"
Session non-EFI

sudo dmesg | grep -i tpm
[    2.015672] ima: No TPM chip found, activating TPM-bypass!

Dernière modification par geole (Le 01/06/2023, à 19:04)

jdt37b · Le 01/06/2023, à 19:32

Oui, le secure boot est off et je boote en EFI.

geole · Le 01/06/2023, à 20:53

Je pense que ne pas activer la sécurité est moins sécurisant que de l'activer.
MAIS, je n'ai pas encore compris comment on distincte un certificat officiel d'un faux certificat tellement il me semble facile d'en fabriquer un.

jdt37b · Le 02/06/2023, à 07:51

Oui, j'imagine et vis depuis longtemps avec Secure Boot désactivé apparement sans problème.
Mais en désactivant en plus TPM : ? pour Linux.

geole · Le 02/06/2023, à 08:54

Bonjour.
TPM est l'outil gérant le secure boot

jdt37b · Le 02/06/2023, à 14:23

OK, merci.

Nuliel · Le 03/06/2023, à 11:52

Bonjour,

Je commence par mettre un warning:
Ne jamais désactiver TPM dans le BIOS si l'un des OS est chiffré, et que la clé se trouve dans le TPM! (ce qui est le cas si un OS est chiffré et qu'aucun mdp n'est demandé avant le démarrage de l'OS)

TPM et secure boot sont deux notions différentes.
Le secure boot va authentifier la chaîne de démarrage avec un système de signatures. Si l'une des signature est pas bonne, alors ça démarre pas. Il est effectivement possible d'utiliser son propre certificat et de faire ses propres signatures, dans ce cas la sécurité dépend aussi du stockage de la clé privée associée au certificat.

Le TPM c'est un stockage sécurisé. Le TPM récupère des infos de son environnement, et si l'environnement n'a pas bougé (c'est basé sur un système de hash), alors le TPM va libérer un secret. Généralement, le secret est la clé de déchiffrement de l'OS.
Linux s'en fout puisque tu ne stockes aucun secret dans le TPM (mais c'est tout à fait possible), donc avec un TPM activé ou désactivé, tu ne vois aucune différence sous linux (sauf un warning qu'on peut ignorer)
Le TPM est une sécurité matérielle. Si ton OS n'est pas chiffré, alors ton TPM ne sert pas à grand chose (ou alors tu utilises le TPM pour des trucs spécifiques, comme stocker une clé ssh, ... Mais dans ce cas tu connaîtrais le principe du TPM)
Il faut aussi différencier les TPM 1.0 et 2.0. Un TPM 1.0 qui vérifie l'environnement et qui libère la clé a peu/aucun d'intérêt car il existe des attaques en se connectant physiquement sur l'interface du TPM (la clé est transmise en clair contrairement aux TPM 2.0). Donc un TPM 1.0 a du sens s'il demande un mdp/code PIN.

Si tu veux plus de sécurité, tu peux réactiver secure boot et corriger les éventuels problèmes (globalement que grub est signé, et que tu n'as pas de matériel spécifique qui demande le chargement d'un pilote non signé). Et chiffrer ton OS si c'est pas déjà fait (ce qui nécessite une réinstall). Le stockage de la clé dans le TPM dépend de ta confiance dedans (tu peux tout à fait garder un mdp et ne pas le mettre dans le TPM)

Dernière modification par Nuliel (Le 03/06/2023, à 12:07)

geole · Le 03/06/2023, à 12:15

Merci pour toutes ces précisions.
Un article à lire
======> https://nvd.nist.gov/vuln/detail/CVE-2022-34302
https://nvd.nist.gov/vuln/detail/CVE-2022-34301
https://nvd.nist.gov/vuln/detail/CVE-2022-34303

Dernière modification par geole (Le 03/06/2023, à 12:27)

Nuliel · Le 03/06/2023, à 12:24

C'est aussi l'une des raisons d'utiliser son propre certificat sur secure boot: refuser tout sauf ce qu'on utilise.
Après les versions vulnérables ont été ajoutées à la base dbx (une liste qui permet d'interdire le chargement de fichiers efi vulnérables), donc si on fait les mises à jour, normalement il n'y a plus de problème.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 01/06/2023, à 18:45

Sécurité du système avec Linux : avec ou sans TPM ?

#2 Le 01/06/2023, à 19:03

Re : Sécurité du système avec Linux : avec ou sans TPM ?

#3 Le 01/06/2023, à 19:32

Re : Sécurité du système avec Linux : avec ou sans TPM ?

#4 Le 01/06/2023, à 20:53

Re : Sécurité du système avec Linux : avec ou sans TPM ?

#5 Le 02/06/2023, à 07:51

Re : Sécurité du système avec Linux : avec ou sans TPM ?

#6 Le 02/06/2023, à 08:54

Re : Sécurité du système avec Linux : avec ou sans TPM ?

#7 Le 02/06/2023, à 14:23

Re : Sécurité du système avec Linux : avec ou sans TPM ?

#8 Le 03/06/2023, à 11:52

Re : Sécurité du système avec Linux : avec ou sans TPM ?

#9 Le 03/06/2023, à 12:15

Re : Sécurité du système avec Linux : avec ou sans TPM ?

#10 Le 03/06/2023, à 12:24

Re : Sécurité du système avec Linux : avec ou sans TPM ?

Pied de page des forums