Що таке безпечне завантаження та ключ платформи в BIOS

У цій статті пояснюється про безпечне завантаження та його поширення на Linux; ХЕЛ7. Він також надає деякі уявлення про «надійне завантаження ядра» Linux та його вплив на програми простору користувача.  

Безпечне завантаження призначене для запобігання встановленню рут-наборів під час завантаження в пам'ять, використовуючи такі механізми, як опція ПЗУ та MBR для завантаження в ОС, захоплення системного контролю та залишаючись прихованим від програм захисту від зловмисного програмного забезпечення. З часом ця проблема перетворилася на значну роль у втраті або пошкодженні та крадіжці даних. Шкідливе програмне забезпечення може з'являтися в середині завантажувача BIOS і OS. Він також може входити між OS Loader та OS.

Unified Extensible Firmware Interface (UEFI) — це новий стандарт апаратного та програмного інтерфейсу для сучасних серверних платформ з багатим набором інтерфейсу користувача, модульності та стандартних інтерфейсів для IHV для розробки драйверів пристроїв на UEFI, які працюють разом у середовищі перед завантаженням, яке є більш гнучким, ніж застаріле середовище BIOS. Впровадження UEFI в операційних системах і платформах продовжує зростати, і багато основних версій клієнтських і серверних ОС підтримують його. 

Очолюваний Microsoft, орган стандартизації UEFI визначив спосіб заборонити встановлення руткітів шкідливого програмного забезпечення під час завантаження за допомогою механізму завантаження та запуску двійкових файлів, які є незміненими та відомими платформі. Цей механізм називається безпечним завантаженням (Secure Booting) - дивіться статтю Microsoft Secure boot для отримання інформації про Microsoft, і подібним чином різні постачальники ОС використовували різні способи для досягнення безпечного завантаження. 

Захищені платформи UEFI завантажують лише двійкові файли програмного забезпечення, такі як драйвери опційного ПЗУ, завантажувачі, завантажувачі ОС, які не модифіковані та є довіреними платформою. Специфікація UEFI докладно описує механізм безпечного завантаження тут.

Безпечне завантаження UEFI:
Специфікація UEFI визначає інфраструктуру, необхідну для безпечного завантаження. Надано короткий вступ до термінології, яка використовується при безпечному завантаженні, щоб бути корисною для тих, хто хоче розібратися більш детально.

Secure Boot не захищає систему під час роботи та її дані. Secure Boot зупиняє завантаження в ОС, якщо будь-який компонент не автентифікований у процесі завантаження, що запобігає запуску системами прихованого шкідливого програмного забезпечення.

Ці ключові слова є основою безпечного завантаження. Технічні характеристики  UEFI Розкажіть докладніше про ці ключові слова. У цих характеристиках докладно розповідається про те, як підписувати двійкові файли; Дивіться розділ 28 для отримання додаткової інформації.

Аутентифіковані змінні:
UEFI надає послугу під назвою authenticated variables, що означає, що лише сертифікований модуль або автентичний код може записувати, тобто може записувати лише модуль коду, який має сертифікат ключа. Але будь-яка сторона може прочитати ці змінні.

Ключ платформи (PK):
Ключ платформи встановлює довірчі відносини між власником платформи та прошивкою, яка встановлена в NVM виробником платформи.

Ключ обміну ключами (KEK):
Key Exchange встановлює довіру між операційними системами та прошивкою платформи. KEK встановлюються на платформу ОС та/або сторонніми компонентами, які хочуть взаємодіяти з прошивкою платформи.

База даних (БД): авторизована база даних,
що містить публічні ключі та сертифікати модуля коду, який авторизовано взаємодіяти з прошивкою платформи.

DBX:
База даних з чорного списку. Будь-який модуль коду, який збігається з цими сертифікатами, не допускається до початку завантаження.

Підпис:
Приватний ключ і хеш генерують підпис двійкового файла, який потрібно підписати.

Сертифікат:
Сертифікат автентифікації, що містить відкритий ключ, який відповідає приватному ключу, використаному для підпису зображення.

Прошивка платформи UEFI завантажує драйвери сторонніх виробників, опціональні ROMS і завантажувачі ОС, підписані Центром сертифікації (CA), в даному випадку Microsoft. Будь-який постачальник обладнання може записати свої драйвери в UEFI BIOS і підписати їх від Microsoft для роботи на платформі UEFI. OEM-виробники встановлюють публічну частину ключа в базу даних платформи, а служба протоколу UEFI loader перевіряє підпис двійкового файлу щодо авторизованої БД, перш ніж його буде дозволено виконувати на платформі. Цей ланцюжок аутентифікації триває від UEFI до завантажувача ОС та ОС.

Таким чином, UEFI дозволяє запускати завантажувачам ОС, які підписані та ключ яких присутній у базі даних. Цей механізм ключів гарантує, що завантажувач ОС або опційні ПЗУ дозволено запускати лише за умови їх авторизації та не змінено жодною стороною.


Малюнок 1: Прошивка платформи UEFI

• Windows 11 і безпечне завантаження 
•