Il commence par faire un résumé de la situation, mais j'ai déjà dit des choses équivalentes sur ce fil, mais la partie intéressante est là
There's a pretty simple one. If the problem centres around installing signing keys, why not have a standardised way of installing signing keys?
What we've proposed for this is an extension of the current UEFI standard for booting off removable media. There's a standardised location for putting the bootloader for USB sticks or optical media. For 32-bit PCs, it's EFI/BOOT/BOOTIA32.EFI. For 64-bit, it's EFI/BOOT/BOOTX64.EFI. Our proposal is to specify a path for key storage on the media. If the user attempts to boot off an item of removable media and finds a key file, we would like the firmware to prompt the user to install the key. Once the key is installed, the firmware will attempt to boot the bootloader on the removable media.
ici, il propose une solution, qui serait de mettre les clées sur le média d'installation, et que les UEFI accèptent d'installer des clées (avec confirmation de l'utilisateur), si elles sont à un endroit précis sur une clée usb ou un CD dans l'ordinateur au démarrage. C'est bien plus difficile pour un virus de convaincre un virus de faire une telle manipulation que juste se poser sur le disque, et ça ne change pratiquement rien pour les distributions. Donc red hat va tenter de convaincre ceux qui décident des détails et implémentent l'UEFI de mettre en place cette solution, qui permet à tout le monde, y compris le bricoleur du dimanche, de faire sa propre distribution, en ajoutant sa propre clé, et ne diminue pas le niveau de sécurité apporté par l'UEFI (qui est une bonne chose).
