Hvad er sikker opstart og platformsnøgle i BIOS

Denne artikel forklarer om sikker opstart, og hvordan den udvides til Linux; RHEL7. Det giver også nogle indsigter i Linux 'trusted kernel Boot' og dens konsekvenser for brugerrumsapplikationer.  

Fejlsikret tilstand er beregnet til at forhindre, at rootkits installeres ved opstart i hukommelsen ved hjælp af mekanismer, hvor ROM-drev og MBR-drev indlæses i operativsystemet og overtager systemstyringen og forbliver skjult fra programmer til beskyttelse mod skadelig software. Dette problem er vokset over tid til at spille en væsentlig rolle i datatab eller korruption og tyveri. Malware kan komme midt i BIOS- og OS-loaderen. Det kan også komme ind mellem OS Loader og OS.

Unified Extensible Firmware Interface (UEFI) er den nye standard for hardware- og softwaregrænseflade til moderne serverplatforme med et omfattende sæt brugergrænseflader, modularitet og standardgrænseflader til IHV'er til udvikling af enhedsdrivere i UEFI, der arbejder sammen i et opstartsmiljø, der er mere fleksibelt end et ældre BIOS-miljø. UEFI-adoption på tværs af operativsystemer og platforme vokser stadig, og mange af de større klient- og serveroperativsystemversioner understøttes. 

Ledet af Microsoft, UEFI standarder organ identificeret en måde at forbyde boot time malware rootkits fra at blive installeret ved hjælp af en mekanisme til indlæsning og kørsel binære filer, der er umodificeret og kendt af platformen. Denne mekanisme kaldes Secure Booting - se Microsoft Secure boot for Microsoft-oplysninger og på lignende måder inkorporerede forskellige OS-leverandører forskellige måder at opnå sikker opstart på. 

Beskyttede UEFI-platforme indlæser kun binære softwarefiler gennem f.eks. ROM-drivere, indlæsningsprogrammer til start, OS-indlæsningsprogrammer, der er uændrede og betroet af platformen. UEFI-specifikationen beskriver i detaljer om mekanismen for sikker opstart her.

UEFI Sikker start:
UEFI-specifikationen definerer den infrastruktur, der kræves til sikker opstart. Forudsat er en kort introduktion af terminologien, der bruges i sikker opstart for at være nyttig for dem, der ønsker at forstå mere detaljeret.

Secure Boot beskytter ikke systemet, mens det kører, og dets data. Secure Boot stopper med at starte til operativsystemet, hvis en komponent ikke godkendes i opstartsprocessen, hvilket forhindrer systemer i at køre skjult malware.

Disse nøgleord er grundlaget for en sikker opstart. UEFI-specifikationer  Få flere oplysninger om disse søgeord. Disse specifikationer fortæller detaljeret, hvordan man underskriver binære filer; Se afsnit 28 for at få flere oplysninger.

Godkendte variabler:
UEFI leverer en tjeneste kaldet godkendte variabler, hvilket betyder, at kun et certificeret modul eller autentisk kodemodul kan skrive, det vil sige, at kun et kodemodul, der har et nøglecertifikat, kan skrive. Men enhver part kan læse disse variabler.

Platformsnøgle (PK):
Platformsnøgle etablerer et tillidsforhold mellem platformejeren og firmwaren, som installeres i NVM af platformsproducenten.

Key til udveksling af nøgler (KEK):
Key Exchange Key skaber tillid mellem operativsystemerne og platformens firmware. KEK'er installeres på platformen af operativsystemet og/eller tredjepartskomponenter, der ønsker at kommunikere med platformens firmware.

Database (DB):
Autoriseret database, der indeholder de offentlige nøgler og certifikater for kodemodulet, der er autoriseret til at interagere med platformens firmware.

DBX:
Sort listet database. Kodemoduler, der matcher disse certifikater, må ikke begynde at indlæse.

Signatur:
Den private nøgle og hash genererer signaturen for den binære fil, der skal signeres.

Certifikat:Autentificeringscertifikat,
der indeholder en offentlig nøgle, der svarer til den private nøgle, der bruges til at signere billedet.

UEFI-platformfirmware indlæser tredjepartsdrivere, optionROMS og OS-indlæsere, der er signeret af nøglecenteret (CA), i dette tilfælde Microsoft. Alle hardwareleverandører kan skrive deres drivere i UEFI BIOS og få dem signeret af Microsoft, så de kan køre på UEFI-platformen. OEM'er installerer den offentlige del af nøglen i platforms-DB, og UEFI-loaderprotokoltjenesten validerer signaturen af den binære fil i forhold til den autoriserede DB, før den får lov til at køre på platformen. Denne godkendelseskæde fortsætter fra UEFI til OS-indlæseren og operativsystemet.

Sammenfattende tillader UEFI OS-indlæsere, der er signeret, og hvis nøgle er til stede i DB, at køre. Denne nøglemekanisme sikrer, at OS-indlæseren eller options-ROM'erne kun får lov til at køre, hvis de er autoriseret og ikke ændret af nogen part.


Figur 1: UEFI-platformfirmware

• Windows 11 og Secure Boot 
•