Le fait que Windows 11 exige le TPM et le Secure Boot signifie-t-il que nous ne pouvons plus avoir une configuration en double démarrage avec, par exemple, Linux ?
Le TPM est un composant passif ; il n’intervient pas dans le processus de démarrage de lui-même, à moins qu’un système d’exploitation (ou un chargeur de démarrage) n’essaie spécifiquement d’interagir avec lui. Vous pouvez démarrer un système d’exploitation en double démarrage même s’il ne prend pas en charge le TPM.
Cela dit, si vous souhaitez utiliser le TPM depuis Linux, vous pouvez toujours le faire même s’il a été initialisé par Windows.
Windows initialise le TPM2 en utilisant un “mot de passe propriétaire” aléatoire qu’il supprime ensuite… mais le fait qu’il supprime immédiatement le mot de passe vous indique simplement que vous n’en avez pas besoin pour un fonctionnement normal.
Par exemple, la clé RSA “racine de stockage” est initialisée de manière standard à l’adresse 0x81000001 et peut être utilisée depuis n’importe quel système d’exploitation, y compris Linux. (Certains outils, comme systemd-cryptenroll, l’ignoreront et généreront une clé racine ECDSA à la place.)
(Si nécessaire, vous pouvez toujours convaincre Windows de stocker le mot de passe propriétaire dans le registre, bien que vous ne puissiez évidemment pas récupérer celui qui a été supprimé, ce qui nécessite de réinitialiser le TPM.)
En réalité, la seule limitation est que vous ne pouvez pas utiliser les outils FAPI de haut niveau dans Linux tpm2-tss, mais ce n’est vraiment pas une grande perte ; presque tout se base sur l’EAPI “brut” de toute façon.
En revanche, la fonctionnalité Secure Boot peut causer quelques soucis. Vous devriez toujours pouvoir utiliser des distributions Linux comme Fedora ou Ubuntu qui disposent d’un support officiel (elles ont des chargeurs de démarrage signés par Microsoft).
Avec quelques ajustements, vous devriez pouvoir utiliser le Shim signé par Microsoft pour démarrer à peu près tout ce qui prend en charge l’UEFI. (C’est en quelque sorte une faille, car Shim vous invite simplement à autoriser les fichiers .efi inconnus par leur empreinte.)
Le Secure Boot sur les systèmes x86 vous permet également de configurer vos propres clés de signature aux côtés des clés Microsoft. Cela peut devenir assez compliqué, mais il est néanmoins tout à fait possible d’avoir un noyau Linux ou un autre fichier .efi entièrement validé par le Secure Boot de votre firmware.