1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
|
---
title: Charge utile deptcharge
x-toc-enable: true
...
Cette section concerne la charge utilise depthcharge utilisée dans libreboot.
Modèle de sécurité CrOS
===================
Les appareils CrOS (Système d'exploitation Chromium/Chrome) tel que les
Chromebooks, implémentent un modèle de sécurité strict pour s'assurer
que ces appareils ne sont pas compromis, ce modèle est implémenté en tant que
démarrage vérifié de référence (vboot), dont la majorité est exécuté dans
depthcharge. Un vue d'ensemble détaillé du modèle de sécurité CrOS est
disponible sur la page dédiée.
Malgré le modèle de sécurité CrOS, depthcharge ne permettra pas de démarrer
des kernels sans vérifier leur signature et de démarrer sur des médium
externes ou charges utiles classique, sauf si explicitement autorisé.
Voyez la [configuration des paramètres de la vérification au démarrage.](#configuring_verified_boot_parameters).
Écran du mode développeur
=====================
L'écran du mode développeur peut être accédé dans depthcharge quand le mode
est activé. Il peut l'être depuis l'écran du mode récupération/dépannage.
Ça permet de démarrer normalement, de démarrer depuis le stockage interne, de
démarrer à partir d'un média externe (p.ex USB) (quand activé), de démarrer
depuis une charge utile classique (quand activé), de montrer des informations
à propos de l'appareil et de désactiver le mode développeur.
Maintenir l'écran du mode développeur
---------------------------------
Comme indiqué sur l'écran du mode développeur, l'écran peut être maintenu en
pressant *CTRL + H* dans les 3 premières secondes après que l'écran apparait.
Après ce délai, depthcharge démarrera normalement.
Démarrer normalement
----------------
Comme indiqué sur l'écran du mode développeur, un démarrage normal se fera
après 3 secondes (si l'écran du mode développeur n'est pas maintenu).
Le type du média de démarrage par défaut (stockage interne, média externe, charge
utile classique) est montré à l'écran.
Démarrer depuis différents médiums
------------------------------
Quand ils sont autorisés, depthcharge permet le démarrage depuis différents
médium (voyez la
[configuration des paramètres de la vérification au démarrage.](#configuring_verified_boot_parameters)
pour activer pour désactiver ces médiums de démarrage).
Comme indiqué sur l'écran du mode développeur, démarrer à partir de médiums
variés peut être enclenché grâce à des combinaisons de touches:
- Stockage interne: *Ctrl + D*
- Média externe: *Ctrl + U* (quand activé)
- Charge utile classique: *Ctrl + L* (quand activé)
Montrer les informations de l'appareil
--------------------------
Comme indiqué sur l'écran du mode développeur, montrer des informations sur
l'appareil peut être enclenché en pressant *Ctrl + I* ou *Tab*. Des
informations variées sont montrées, comprenant les données non-volatile de
vboot, statut TPM, drapeaux GBB et hashs/somme de contrôles des clés.
Avertissements
--------
L'écran du mode développeur montrera des avertissements quand:
- Démarrer des kernels sans vérifier leur signature est activé
- Démarrer depuis un média externe est activé
- Démarrer les charges utiles classique est activé
Écran du mode de recouvrement/dépannage
====================
L'écran du mode de recouvrement/dépannage peut être accéder dans deptcharge,
en pressant *Échap + Rafraîchir + Bouton Marche/Arrêt* quand la machine est
éteinte.
Ça permet de recouvrir la machine d'un état corrompu/erroné en démarrant sur
un média de récupération de confiance.
Quand accédé alors que la machine est dans un bon état, ça permet aussi
d'activer le mode développeur.
Recouvrir d'un mauvais état
---------------------------
Quand l'appareil échoue la vérification de la signature d'une partie du
logiciel de démarrage ou quand une erreur arrive, il est considéré être dans
un mauvais état et demandera à l'utilisateur de redémarrer sur le mode de
récupération.
Le mode de récupération démarre seulement le logiciel situé dans la mémoire
protégée en écriture, qui est considérée de confiance et sécurisée.
Le mode de récupération permet alors de recouvrir/dépanner l'appareil en
démarrant d'un média externe de confiance, qui est automatiquement détecté
quand le mode de récupération commence. Quand aucun média externe est trouvé
ou quand celui-ci est invalide, des instructions sont montrées à l'écran.
Les média de récupérations de confiance sont des médiums externe (clés USB,
cartes SD, etc) qui stockent un kernel signé avec la clé de
dépannage/recouvrement;
Google fournit des images de tels médiums de récupération pour Chrome OS (qui
ne sont pas recommandées aux utilisateurs car elles contiennent des logiciels
propriétaires).
Elles sont signées avec les clés de récupération de Google, qui sont
préinstallées sur l'appareil lors de la livraison.
Lors du remplacement du flash entier de l'appareil, les clés préinstallées
sont remplacées. Quand la clé de recouvrement privée est disponible (p.ex
quand on utile des clés générées soi-même), elle peut être utilisée pour
signer un kernel à des fins de recouvrement.
Activer le mode développpeur
-----------------------
Comme indiqué sur l'écran du mode de récupération, le mode développeur
peut-être activé en pressant *Ctrl + D*. Les instructions pour confirmer
l'activation du mode développeur sont ensuite montrées sur l'écran.
Configurer les paramètres de vérification du démarrage
====================================
Le comportement de depthcharge dépend de l'implémentation du démarrage vérifié
(vboot, **V**erified **B**oot), qui peut être configuré avec des paramètres
stocké dans le stockage non-volatile du démarrage vérifié.
Ces paramètres peuvent être modifiés avec l'outil `crossystem`, nécessitant
des privilèges suffisants pour accéder au stockage non-volatile du démarrage
vérifié.
`crossystem` dépend de `mosys`, qui est utilisé pour accéder le stockage
non-volatile du démarrage vérifié sur certaines machines. `crossystem` et
`mosys` sont tout deux libre et leur code source est rendu disponible par
Google:
[crossystem](https://chromium.googlesource.com/chromiumos/platform/vboot_reference/).
[mosys](https://chromium.googlesource.com/chromiumos/platform/mosys/).
Ces outils ne sont pas encore distribués avec Libreboot. Cependant, ils sont
préinstallés sur la machine, avec ChromeOS.
Certains de ces paramètres ont le potentiel *d'affaiblir la sécurité de
l'appareil*. En particulier, la désactivation de la vérification de la
signature des kernels, le démarrage sur un média externe ou une charge utile
classique peuvent affaiblir la sécurité de l'appareil.
Les paramètres suivant peuvent être configurés:
Vérification de la signature des kernels:
# crossystem dev_boot_signed_only=1 # activer
# crossystem dev_boot_signed_only=0 # désactiver
Démarrage sur média externe:
# crossystem dev_boot_usb=1 # activer
# crossystem dev_boot_usb=0 # désactiver
Démarrage sur charge utile classique:
# crossystem dev_boot_legacy=1 # activer
# crossystem dev_boot_legacy=0 # désactiver
Médium de démarrage par défaut:
# crossystem dev_default_boot=disk # stockage interne
# crossystem dev_default_boot=usb # média externe
# crossystem dev_default_boot=legacy # charge utile classique
Copyright © 2015 Paul Kocialkowski <contact@paulk.fr>\
Permission est donnée de copier, distribuer et/ou modifier ce document
sous les termes de la Licence de documentation libre GNU version 1.3 ou
quelconque autre versions publiées plus tard par la Free Software Foundation
sans Sections Invariantes, Textes de Page de Garde, et Textes de Dernière de Couverture.
Une copie de cette license peut être trouvé dans [../fdl-1.3.md](fdl-1.3.md).
|