Přehled funkce Zabezpečené spouštění

Tento článek vysvětluje zabezpečené spouštění a jeho rozšíření na systém Linux, konkrétně verzi RHEL7. Také podává informace o funkci „trusted kernel Boot“ systému Linux a důsledcích pro aplikace v uživatelském prostoru.  

Zabezpečené spouštění má zabránit instalaci rootkitů do paměti při spouštění, které využívají mechanismů, jako je nástroj Option ROM a oddíl MBR, k načtení do OS a následnému převzetí kontroly nad systémem a ukrytí před antimalwarovými programy.  Tento problém se postupně rozšířil a má značnou roli při ztrátě/poškození dat a krádežích. Malware může být zaveden mezi systémem BIOS a zavaděčem operačního systému. Může také nastoupit mezi zavaděčem OS a operačním systémem.

UEFI představuje nový standard hardwarového/softwarového rozhraní pro moderní serverové platformy a disponuje obsáhlou sadou uživatelského rozhraní, modulárních funkcí a standardního rozhraní pro nezávislé prodejce hardwaru, kde je možný vývoj ovladačů zařízení v rozhraní UEFI, které bez problémů fungují v prostředí před spuštěním, které je flexibilnější než starší prostředí BIOS. Rozhraní UEFI je v operačních systémech a na platformách stále běžnější a podporuje je řada verzí významných klientských a serverových operačních systémů. 

Orgán pro standardy rozhraní UEFI vedený společností Microsoft identifikoval způsob, jak zamezit instalaci rootkitů při spouštění pomocí mechanismu načítání a spouštění binárních souborů, které jsou nezměněné a známé platformě. Tento mechanismus se nazývá zabezpečené spouštění – informace od společnosti Microsoft najdete v článku Microsoft Way of Secure Boot. Výrobci ostatních operačních systémů využili dalších způsobů bezpečného spouštění. 

Zabezpečené platformy UEFI načítají pouze softwarové binární soubory, například ovladače Option ROM, zavaděče spouštění, zavaděče OS, které jsou nezměněné a důvěryhodné pro platformu.  Specifikace UEFI zde podrobně popisuje mechanismus zabezpečeného spouštění.  

Zabezpečené spouštění UEFI:

Specifikace UEFI uvádí infrastrukturu potřebnou k zabezpečenému spouštění. Zde podáme krátký úvod do terminologie zabezpečeného spouštění, který ocení uživatelé se zájmem o hlubší vhled do tématu.

Zabezpečené spouštění nechrání spuštěný systém a jeho data. Zabezpečené spouštění zastavuje spuštění operačního systému, pokud není v procesu spouštění ověřena některá komponenta, což zabraňuje spuštění skrytého malwaru v systému.

Pro zabezpečené spouštění jsou klíčové tyto pojmy: Článek Specifikace UEFI poskytuje další informace o těchto klíčových slovech. Dozvíte se v něm přesně, jak podepsat binární soubory, konkrétně v části 28.

Ověřené proměnné: Rozhraní UEFI poskytuje službu ověřených proměnných, u kterých mohou zapisovat pouze certifikovaný modul nebo modul s autentickým kódem, tj. pouze kódový modul s certifikátem klíče. Tyto proměnné ale může číst kdokoli.

Klíč platformy (PK): Klíč platformy zajišťuje důvěryhodnost mezi vlastníkem platformy a firmwarem, který je instalován do paměti NVM výrobcem platformy.

KEK: Výměna klíče zajišťuje důvěryhodnost mezi operačním systémem a firmwarem platformy. Prvky KEK instalují na platformu komponenty operačního systému nebo třetích stran, které chtějí komunikovat s firmwarem platformy.

DB: Ověřená databáze s veřejnými klíči a certifikáty kódového modulu autorizovaná k interakci s firmwarem platformy.

DBX: Zakázaná databáze. Všem kódovým modulům, které odpovídají těmto certifikátům, bude zakázáno zahájit načítání.

Podpis: Podpis je vytvořen soukromým klíčem a hashem binárního souboru, který bude podepsán.

Certifikát: Certifikát Authenticode obsahující veřejný klíč, který odpovídá soukromému klíči použitému k podpisu bitové kopie.    

Firmware platformy UEFI načte ovladače třetích stran, paměti Option ROM a zavaděče OS podepsané certifikační autoritou (CA), v tomto případě společností Microsoft. Dodavatelé hardwaru mohou zapsat své ovladače do rozhraní UEFI BIOS a nechat je podepsat společností Microsoft, aby se mohly spouštět na platformě UEFI.  Výrobci instalují veřejnou část klíče do databáze platformy a služba protokolu zavaděče UEFI ověřuje podpis binárního souboru v autorizované databázi. Až poté je povoleno spuštění na platformě. Tento řetězec ověřování pokračuje z rozhraní UEFI do zavaděče OS a operačního systému.

Když to shrneme, rozhraní UEFI umožňuje spouštět zavaděče OS, které jsou podepsané a jejichž klíč se nachází v databázi. Mechanismus klíče zajišťuje, že se zavaděč OS nebo paměti Option ROM mohou spustit, pouze pokud jsou ověřené a nejsou nikým upravené.


Obrázek 1: Firmware platformy UEFI