Co je zabezpečené spouštění a klíč platformy v systému BIOS

Tento článek vysvětluje zabezpečené spouštění a způsob jeho rozšíření na Linux. RHEL7. Poskytuje také některé poznatky o "bootování důvěryhodného jádra" v Linuxu a jeho důsledcích pro aplikace v uživatelském prostoru.  

Zabezpečené spouštění má zabránit instalaci rootkitů do paměti při spouštění, které využívají mechanismů, jako je nástroj Option ROM a oddíl MBR, k načtení do OS a následnému převzetí kontroly nad systémem a ukrytí před antimalwarovými programy. Tento problém se postupem času zvětšoval a hraje významnou roli při ztrátě nebo poškození a krádeži dat. Malware se může dostat doprostřed zaváděcího programu systému BIOS a operačního systému. Může se také nacházet mezi zavaděčem operačního systému a operačním systémem.

Unified Extensible Firmware Interface (UEFI) je nový standard hardwarového a softwarového rozhraní pro moderní serverové platformy s bohatou sadou uživatelského rozhraní, modularity a standardních rozhraní pro IHV pro vývoj ovladačů zařízení v rozhraní UEFI, které spolupracují v prostředí před spuštěním, které je flexibilnější než starší prostředí systému BIOS. Rozhraní UEFI je v operačních systémech a na platformách stále běžnější a podporuje je řada verzí významných klientských a serverových operačních systémů. 

Pod vedením Microsoftu identifikoval orgán pro standardy UEFI způsob, jak zakázat instalaci malwarových rootkitů při bootování pomocí mechanismu načítání a spouštění binárních souborů, které jsou nezměněné a platformě známé. Tento mechanismus se nazývá zabezpečené spouštění – informace o společnosti Microsoft naleznete v části Microsoft Secure Boot a podobnými způsoby různí výrobci operačních systémů začlenili různé způsoby, jak dosáhnout zabezpečeného spouštění. 

Zabezpečené platformy UEFI načítají pouze softwarové binární soubory, například ovladače Option ROM, zavaděče spouštění, zavaděče OS, které jsou nezměněné a důvěryhodné pro platformu. Specifikace UEFI zde podrobně popisuje mechanismus bezpečného spouštění.

Zabezpečené spouštění UEFI:
Specifikace UEFI definuje infrastrukturu vyžadovanou pro bezpečné spouštění. Zde je uveden stručný úvod do terminologie používané při zabezpečeném spouštění, aby byl užitečný pro uživatele, kteří chtějí porozumět podrobněji.

Zabezpečené spouštění nechrání spuštěný systém a jeho data. Funkce Secure Boot zastaví spouštění operačního systému, pokud není během procesu spouštění ověřena některá komponenta, která brání systémům spouštět skrytý malware.

Tato klíčová slova jsou základem zabezpečeného spouštění. Specifikace  UEFI Řekněte o těchto klíčových slovech více. Tyto specifikace podrobně popisují, jak podepsat binární soubory. Viz oddíl 28 , kde najdete další informace.

Ověřené proměnné:
UEFI poskytuje službu nazvanou ověřené proměnné, což znamená, že zapisovat může pouze certifikovaný modul nebo modul autentického kódu, to znamená, že může zapisovat pouze modul kódu, který má certifikát klíče. Ale každá strana může tyto proměnné přečíst.

Klíč platformy (PK):
Klíč platformy vytváří vztah důvěryhodnosti mezi vlastníkem platformy a firmwarem nainstalovaným v NVM výrobcem platformy.

Klíč výměny klíčů (KEK):
Klíč pro výměnu klíčů vytváří důvěru mezi operačními systémy a firmwarem platformy. Klíče KEK jsou do platformy instalovány operačním systémem nebo komponentami třetích stran, které chtějí komunikovat s firmwarem platformy.

Databáze (DB):
Autorizovaná databáze obsahující veřejné klíče a certifikáty modulu kódu, který je oprávněn interagovat s firmwarem platformy.

DBX:
Databáze na černé listině. Žádný modul kódu, který odpovídá těmto certifikátům, se nesmí začít načítat.

Podpis:
Soukromý klíč a hash generují podpis binárního souboru, který má být podepsán.

Certifikát:
Certifikát technologie Authenticode obsahující veřejný klíč, který odpovídá soukromému klíči použitému k podepsání obrazu.

Firmware platformy UEFI načte ovladače třetích stran, paměti optionROM a zavaděče operačního systému, které jsou podepsány certifikační autoritou (CA), v tomto případě společností Microsoft. Kterýkoli výrobce hardwaru může napsat své ovladače do systému UEFI BIOS a nechat jej podepsat společností Microsoft, aby mohly běžet na platformě UEFI. Výrobci OEM nainstalují veřejnou část klíče do databáze platformy a služba protokolu zavaděče UEFI ověří podpis binárního souboru vůči autorizované databázi před tím, než bude povoleno spuštění na platformě. Tento řetězec ověřování pokračuje z rozhraní UEFI do zavaděče operačního systému a operačního systému.

Stručně řečeno, UEFI umožňuje spuštění podepsaných zavaděčů operačního systému, jejichž klíč se nachází v databázi. Tento klíčový mechanismus zajišťuje, že zavaděče operačního systému nebo volitelné paměti ROM mohou běžet pouze v případě, že jsou autorizovány a nejsou upravovány žádnou stranou.


Obrázek 1: Firmware platformy UEFI

• Windows 11 a bezpečné spouštění 
•