Secure Boot Violation

Tags: #<Tag:0x00007f6406321ee8>

Bonjour à tous,

En rallumant mon PC portable aujourd’hui et sans n’avoir rien fait de particulier lors de la dernière utilisation (pas de mise à jour), j’ai le BIOS qui m’affiche le message suivant dans un cadre rouge :

Secure Boot Violation
Invalid signature detected. Check Secure Boot Policy in Setup
OK

Je ne sais pas pourquoi il y a une violation de sécurité.

Bien évidemment, en désactivant le Secure Boot dans le BIOS, je n’ai plus de problèmes et j’active mon système Debian 11 Bullseye. Mais ce n’est pas le but !
Le but étant bien sûr d’activer le Secure Boot.

Première question :
Comme je n’ai rien modifié au niveau logiciel, pensez-vous que cela peut venir d’un problème matériel ?

Sinon, dans le BIOS (American Megatrends 2.20.1275 de 2020), j’ai dans l’onglet « Security » :

Secure Boot : Active
System Mode : User
Secure Boot : [Enabled]
→ Key Management

Bon là, dans « Key Management » depuis tout à l’heure, j’ai un peu foutu le bordel !
Donc j’ai fait un « Restore Factory Keys », sauvé les paramètres et rebooté, mais le problème persiste.
Et je m’aperçois que la ligne « Vendor Keys » indique « Modified », alors je fait un « Reset To Setup Mode » qui vide la mémoire NVRAM des clés et reboote. Évidemment, pas d’amélioration du problème, le message « Secure Boot Violation » est toujours là et dans le BIOS, les clés sont revenues à leur valeur d’usine, mais j’ai toujours le ligne :

Vendor Keys : Modified

Côté OS, j’avais créé une clé pour ma machine et gérer le MOK - Machine Owner Key en suivant le wiki debian : https://wiki.debian.org/SecureBoot
Mais impossible de recharger cette clé dans le BIOS.
Dans les paramètres du BIOS, on peut charger une clé depuis le disque dur, mais je ne sais pas où déposer cette clé MOK :

  • Platform Key (PK) ?
  • Key Exchange Keys ?
  • Authorized Signatures ?
  • Authorized TimeStamps ?
  • OsRecovery Signatures ?

Pour info, si j’utilise la commande :

mokutil --import mok/MOK.der

et bien que je vérifie sa future prise en compte par :

mokutil --list-new

rien ne se passe de particulier au redémarrage de la machine, le BIOS ne m’invite pas comme il le devrait à entre le mot de passe de la clé pour la valider.

Je suis vraiment perdu. Si vous pouviez m’aider, ce serait super !
Je ne sais pas si je dois chercher du côté des clés, du côté du noyau linux ou du côté de grub ?
Mais peut-être est-ce encore ailleurs !?!?!

Merci à vous.

Bonjour , sans certitude , je mettrai ca dans : Authorized Signatures .

Merci @iznobe , j’ai essayé mais ça n’a pas résolu le problème.

Sinon, j’ai essayé de booter sur une debian-live-11.6.0 et j’ai encore eu le « Secure Boot Violation ».

Donc, soit la clé de signature de debian n’est pas reconnue par le BIOS, soit c’est la chaîne de confiance des clés de signature de mon BIOS qui pose problème.

Est-ce quelqu’un a déjà essayé de reconstruire sa propre chaîne de confiance des clés de signature du BIOS (Platform Key : PK, Key Exchange Key : KEK, Signature Database : db) ?

Comme par exemple décrit dans cet article : Debian 10 et Secure Boot : comment s’adapter au démarrage sécurisé ?

Sinon , ton BIOS est il a jour ?

sudo echo BIOS :; sudo dmidecode -t bios | grep -e Version -e Revision; echo carte mere :;sudo dmidecode -t baseboard | grep -e Version -e Revision -e Product -e Manufacturer

pour avoir les infos afin de verifier sur le site du contructeur .

Bonjour @iznobe et excuse moi pour cette réponse tardive…

Voici le résultat de ta commande :

  • BIOS :
Version: N.1.06GRP01
BIOS Revision: 5.16
Firmware Revision: 1.1
  • carte mere :
Manufacturer: SLIMBOOK
Product Name: PROX15-AMD
Version: Standard

Je rajoute d’autres informations :

BIOS Information
    Vendor: American Megatrends Inc.
    Version: N.1.06GRP01
    Release Date: 07/06/2020
    [...]
    BIOS Revision: 5.16
    Firmware Revision: 1.1

S’il est possible de remplacer le BIOS existant par un BIOS opensource, ce serait génial ! :star_struck:

le BIOS par définition est dépendant du matériel donc par essence propriétaire.
Ou alors il faudra un bios pour chaque modèle de machine.

Bonjour , c ’ est deja le cas me semble t il .

@libresurf , es tu allé voir si ton BIOS est a jour ou pas sur le site du constructeur de ta machine maintenant que tu as les infos adequates ?

Il existe bien les projets coreboot et consorts, comme libreboot, mais il faut s’assurer que ta carte-mère est bien supportée.
Je n’ai jamais franchi le pas, mais si une personne ici a une expérience à partager, ça m’intéresse. J’ai un vieux Thinkpad 301 qui traîne et il faut de toute façon que je réinstalle Debian dessus, j’en profiterais bien pour tester libreboot, qui semble supporter ce modèle.