BIOS의 보안 부팅 및 플랫폼 키는 무엇입니까?

Zusammenfassung: 보안 부팅 및 멀웨어로부터 시스템을 보호하는 보안 부팅의 역할에 대해 알아보십시오. BIOS에서 플랫폼 키가 무엇이며 보안 부팅 기능에 대한 신뢰를 설정하는 방법을 이해합니다.

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Symptome

이 문서에서는 보안 부팅 및 보안 부팅이 Linux로 확장되는 방법에 대해 설명합니다. RHEL7입니다. 또한 Linux '신뢰할 수 있는 커널 부팅'에 대한 몇 가지 통찰력과 사용자 공간 애플리케이션에 미치는 영향에 대한 몇 가지 통찰력을 제공합니다.  

보안 부팅은 OS에 로드되고, 시스템 제어를 하이재킹하고, 멀웨어 방지 프로그램에 남아 있는 옵션 ROM 및 MBR과 같은 메커니즘을 사용하여 부팅 시 루트 키트가 메모리에 설치되는 것을 방지하기 위해 설계되었습니다. 이 문제는 시간이 지남에 따라 데이터 손실이나 손상 및 도난에 중요한 역할을 할 정도로 증가했습니다. 멀웨어는 BIOS 및 OS 로더 중간에 침투할 수 있습니다. OS 로더와 OS 사이에 들어올 수도 있습니다.

UEFI(Unified Extensible Firmware Interface)는 IHV가 레거시 BIOS 환경보다 더 유연한 사전 부팅 환경에서 함께 작동하는 UEFI의 디바이스 드라이버를 개발할 수 있도록 풍부한 UI, 모듈성 및 표준 인터페이스 집합이 있는 최신 서버 플랫폼을 위한 하드웨어 및 소프트웨어 인터페이스의 새로운 표준입니다. 운영 체제 및 플랫폼 전반에서 UEFI 도입이 지속적으로 증가하고 있으며 이를 지원하는 주요 클라이언트 및 서버 OS 버전이 많습니다. 

Microsoft가 이끄는 UEFI 표준 기관은 수정되지 않고 플랫폼에 알려진 바이너리를 로드하고 실행하는 메커니즘을 사용하여 부팅 시간 맬웨어 루트킷이 설치되는 것을 금지하는 방법을 확인했습니다. 이 메커니즘을 보안 부팅이라고 하며, Microsoft 정보는 Microsoft 보안 부팅이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다. 을 참조하고 유사한 방식으로 다른 OS 공급업체는 보안 부팅을 달성하기 위해 다양한 방법을 통합했습니다. 

보안 UEFI 플랫폼은 수정되지 않고 플랫폼에서 신뢰할 수 있는 옵션 ROM 드라이버, 부트 로더, OS 로더 등의 소프트웨어 바이너리만 로드합니다. UEFI 사양은 여기에서 보안 부팅 메커니즘에 대해 자세히 설명합니다.

UEFI 보안 부팅:
UEFI 사양은 보안 부팅에 필요한 인프라를 정의합니다. 보안 부팅에 사용되는 용어에 대한 간략한 소개가 제공되므로 더 자세히 이해하려는 사용자에게 유용합니다.

보안 부팅은 실행 중인 시스템과 해당 데이터를 보호하지 않습니다. 보안 부팅은 부팅 프로세스에서 인증되지 않은 구성 요소가 있는 경우 OS로의 부팅을 중지하여 시스템이 숨겨진 멀웨어를 실행하지 못하게 합니다.

이러한 키워드는 보안 부팅의 기본입니다. UEFI 사양 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다. 이 키워드에 대해 자세히 설명하십시오. 이 사양은 바이너리에 서명하는 방법을 자세히 알려줍니다. 섹션 28이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다. 참조 자세한 내용은.

인증된 변수:
UEFI는 인증된 모듈 또는 인증된 코드 모듈만 쓸 수 있는 인증된 변수, 즉 키 인증서가 있는 코드 모듈만 쓸 수 있는 인증된 변수라는 서비스를 제공합니다. 그러나 모든 당사자는 이러한 변수를 읽을 수 있습니다.

PK(Platform Key):
플랫폼 키는 플랫폼 소유자와 플랫폼 제조업체가 NVM에 설치한 펌웨어 간의 신뢰 관계를 설정합니다.

KEK(Key Exchange Key):
키 교환 키는 운영 체제와 플랫폼 펌웨어 간에 신뢰를 설정합니다. KEK는 플랫폼 펌웨어와 통신하려는 OS 및/또는 타사 구성 요소에 의해 플랫폼에 설치됩니다.

DB(Database):
플랫폼 펌웨어와 상호 작용할 수 있는 권한이 있는 코드 모듈의 공개 키와 인증서를 보유하는 인증된 데이터베이스입니다.

DBX :
블랙리스트 데이터베이스. 이러한 인증서와 일치하는 코드 모듈은 로드를 시작할 수 없습니다.

서명:
개인 키와 해시는 서명할 바이너리의 서명을 생성합니다.

인증서:
이미지에 서명하는 데 사용되는 프라이빗 키에 해당하는 공개 키를 포함하는 Authenticode 인증서입니다.

UEFI 플랫폼 펌웨어는 CA(인증 기관)에서 서명한 타사 드라이버, optionROM 및 OS 로더(이 경우 Microsoft)를 로드합니다. 모든 하드웨어 공급업체는 UEFI BIOS에서 드라이버를 작성하고 UEFI 플랫폼에서 실행하기 위해 Microsoft의 서명을 받을 수 있습니다. OEM은 플랫폼 DB에 키의 공개 부분을 설치하고, UEFI 로더 프로토콜 서비스는 플랫폼에서 실행하기 전에 권한 있는 DB에 대해 바이너리 서명의 유효성을 검사합니다. 이 인증 체인은 UEFI에서 OS 로더 및 OS로 계속됩니다.

요약하면, UEFI를 사용하면 서명되고 키가 DB에 있는 OS 로더를 실행할 수 있습니다. 이 키 메커니즘은 OS 로더 또는 옵션 ROM이 권한을 부여받고 당사자가 수정하지 않는 경우에만 실행할 수 있도록 합니다.

SLN311108_en_US__1i_OS&Application_Secure_Boot_overview_vb_v1
그림 1 : UEFI 플랫폼 펌웨어

Ursache

N/A

Lösung

위 내용을 참조하십시오.

Weitere Informationen

관련 정보:    

 

Artikeleigenschaften
Artikelnummer: 000145423
Artikeltyp: Solution
Zuletzt geändert: 08 Apr. 2025
Version:  4
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.