From 1f623aafaf573b8e76da0fbc40c3d61bdedb9fe5 Mon Sep 17 00:00:00 2001 From: Libreboot Contributor Date: Fri, 20 Mar 2020 19:49:07 +0100 Subject: Translated grub_hardening.md up to 'GPG Keys' --- i18n/fr_FR/docs/gnulinux/grub_hardening.md | 117 +++++++++++++---------------- 1 file changed, 54 insertions(+), 63 deletions(-) diff --git a/i18n/fr_FR/docs/gnulinux/grub_hardening.md b/i18n/fr_FR/docs/gnulinux/grub_hardening.md index a7fdb539..c034a32f 100644 --- a/i18n/fr_FR/docs/gnulinux/grub_hardening.md +++ b/i18n/fr_FR/docs/gnulinux/grub_hardening.md @@ -52,79 +52,68 @@ vérifier et alors donc il n'est pas possible de fournir des signatures dans un endroit différent. Notez que ça n'est pas votre mot de passe LUKS, mais c'est un mot de passe - - - -GRUB Password -============= - -The security of this setup depends on a good GRUB password as GPG -signature checking can be disabled through the interactive console: - - set check_signatures=no - -This is good in that it allows you to occasionally boot unsigned liveCDs -and such. You may think of supplying signatures on an usb key, but the -signature checking code currently looks for -.sig when verifying -and as such it is not possible to supply signatures in an alternate -location. - -Note that this is not your LUKS password, but it's a password that you -have to enter in order to use "restricted" functionality (such as -console). This protects your system from an attacker simply booting a -live USB and re-flashing your firmware. *This should be different than -your LUKS passphrase and user password.* - -Use of the *diceware method* is recommended, for generating secure -passphrases (as opposed to passwords). Diceware method involves using -dice to generate random numbers, which are then used as an index to pick -a random word from a large dictionary of words. You can use any language -(e.g. English, German). Look it up on a search engine. Diceware method -is a way to generate secure passphrases that are very hard (almost -impossible, with enough words) to crack, while being easy enough to -remember. On the other hand, most kinds of secure passwords are hard to -remember and easier to crack. Diceware passphrases are harder to crack -because of far higher entropy (there are many words available to use, -but only about 50 commonly used symbols in pass*words*). +que vous avez à rentrer afin d'utiliser des fonctionalités restreintes (tel +que la console). Celà protège votre système d'un attaquant qui démarrerai tout +simplement une clef USB live et reflasherai votre micrologiciel. *Celui ci devrait +être différent de la phrase de passe LUKS et utilisateur*. + +L'utilisation de la *méthode du lancer de dés* est recommandée pour générer +des phrases de passe (et non mot de passes) sécurisées. La méthode du lancer +de dés consiste en l'utilisation de ceux-ci pour générer des nombres au hasard qui +seront ensuite utilisés en tant qu'index pour piocher un mot au hasard à partir +d'un large dictionnaire. Vous pouvez utilisez n'importe quel language (p.e Anglais +Allemand, Français, etc). +Vous aurez plus de précisions sur un moteur de recherche (ou +[ici](https://fr.wikipedia.org/wiki/Diceware). La méthode du lancer de dés est un moyen +de générer des phrases de passes qui sont très dures (presque impossible avec assez de mots) +à cracker tout en étant plus facile à se souvenir. +D'un autre côté, la majorité des types de mots de passes sont plus durs à +retenir et plus faciles à cracker. Les phrases de passe produites grâce +au lancer de dés sont plus dure à cracker dû à l'entropie bien plus grande (il y a beaucoup +de mots disponibles à l'utilisation à l'opposé de la cinquantaine de symboles +communéments usés dans les *mots* de passe. --> -The GRUB password can be entered in two ways: +Le mot de passe GRUB peut être entré de deux façons: -- plaintext -- protected with [PBKDF2](https://en.wikipedia.org/wiki/Pbkdf2) +- texte pur +- protégé avec [PBKDF2](https://fr.wikipedia.org/wiki/Pbkdf2) -We will (obviously) use the later. Generating the PBKDF2 derived key is -done using the `grub-mkpasswd-pbkdf2` utility. You can get it by -installing GRUB version 2. Generate a key by giving it a password: +Nous utiliserons (évidemment) ce dernier. Générer la clé derivée +PBKDF2 se fait grâce à l'utilisation de l'utilitaire `grub-mkpasswd-pbkdf2`. +Vous pouvez l'avoir en installant GRUB version 2. +Générez une clé en lui donnant un mot de passe en tapant: grub-mkpasswd-pbkdf2 -Its output will be a string of the following form: +Ça vous sortira une chaîne de charactère semblable à la suivante: - grub.pbkdf2.sha512.10000.HEXDIGITS.MOREHEXDIGITS + grub.pbkdf2.sha512.10000.CHIFFREHEXADECIMAL.PLUSDECHIFFRESHEXA -Now open my.grubtest.cfg and put the following before the menu entries -(prefered above the functions and after other directives). Of course use -the pbdkf string that you had generated yourself: +Maintenant ouvrez my.grubtest.cfg et rentrez le suivant avant les menus +(il vaut mieux que ce soit au dessus des fonctions et autres directives). +Bien sûr, utilisez la chaîne de charactère PBDKF que vous avez précédemment +générée: set superusers="root" password_pbkdf2 root grub.pbkdf2.sha512.10000.711F186347156BC105CD83A2ED7AF1EB971AA2B1EB2640172F34B0DEFFC97E654AF48E5F0C3B7622502B76458DA494270CC0EA6504411D676E6752FD1651E749.8DD11178EB8D1F633308FD8FCC64D0B243F949B9B99CCEADE2ECA11657A757D22025986B0FA116F1D5191E0A22677674C994EDBFADE62240E9D161688266A711 -Obviously, replace it with the correct hash that you actually got for -the password that you entered. Meaning, not the hash that you see above! +Encore une fois, remplacez la chaîne de charactère ci-dessus, le "hash", par +celui que vous avez eu pour le mot de passe que vous avez entré dans `grub-mkpasswd-pbkdf2`, et +non celui que vous voyez juste au-dessus ! -As enabling password protection as above means that you have to input it -on every single boot, we will make one menu entry work without it. -Remember that we will have GPG signing active, thus a potential attacker -will not be able to boot an arbitrary operating system. We do this by -adding option `--unrestricted` to a menuentry definition: +Comme l'activation de la protection par mot de passe comme ci-dessus veut +dire que vous devez le rentrer à chaque démarrage, nous allons confectionner +un menu qui marche sans y avoir à le faire. +Rappellez-vous que nous aurons la signature GPG active, donc un attaqueur potentiel +ne sera pas capable de démarrer arbitrairement un système d'exploitation. Nous faisons ça +en ajoutant l'option `--unrestricted` dans la définition d'une menuentry: menuentry 'Load Operating System (incl. fully encrypted disks) [o]' --hotkey='o' --unrestricted { ... -Another good thing to do, if we chose to load signed on-disk GRUB -configurations, is to remove (or comment out) `unset superusers` in -function try\_user\_config: +Une autre bonne chose à faire, si nous choisissons de charger les configurations +GRUB signées sur le disque, et d'enlever (ou commenter) `unset superusers` dans la +fonction try\_user\_config: function try_user_config { set root="${1}" @@ -138,14 +127,16 @@ function try\_user\_config: done } -Why? We allowed booting normally without entering a password above. When -we unset superusers and then load a signed GRUB configuration file, we -can easily use the command line as password protection will be -completely disabled. Disabling signature checking and booting whatever -an attacker wants is then just a few GRUB commands away. -As far as basic password setup is concerned we are done and we can now -move on to signing. +Pourquoi? Nous avons permis ci-dessus un démarrage normal sans rentrer de +mot de passe. Quand on "unset superusers" et que l'on charge ensuite un fichier +de configuration GRUB signé, on peut aisément utiliser la ligne de commande puisque +la protection par mot de passe sera complètement désactivée. +La désactivation de la vérification de signature et le démarrage de ce que veux +l'attaquant est dès lors à la portée de quelques commandes GRUB. + +En tout ce qui concerne la configuration du mot de passe nous sommes OK, donc +nous pouvons passer maintenant à la signature. GPG keys ======== -- cgit v1.2.3-54-g00ecf