Wat is Secure Boot en platformsleutel in het BIOS?

In dit artikel wordt uitgelegd hoe veilig opstarten wordt uitgebreid naar Linux; RHEL7. Het geeft ook enig inzicht in Linux 'trusted kernel Boot' en de implicaties ervan voor applicaties in de gebruikersruimte.  

Beveiligd opstarten is ontworpen om te voorkomen dat rootkits die bij opstarten in het geheugen worden geïnstalleerd met behulp van mechanismen als optie-ROM en MBR's om geladen te worden in het besturingssysteem, de systeembesturing over te nemen en verborgen te blijven voor anti-malwareprogramma's. Dit probleem is in de loop van de tijd gegroeid en speelt een belangrijke rol bij gegevensverlies of -beschadiging en -diefstal. Malware kan in het midden van de BIOS- en OS-loader komen. Het kan ook tussen OS Loader en OS komen.

Unified Extensible Firmware Interface (UEFI) is de nieuwe standaard voor hardware- en software-interface voor moderne serverplatforms met een uitgebreide set UI-, modulariteits- en standaardinterfaces voor IHV's om apparaatdrivers in UEFI te ontwikkelen die samenwerken in een pre-boot-omgeving die flexibeler is dan een verouderde BIOS-omgeving. Het gebruik van UEFI met besturingssystemen en platforms blijft groeien, met ondersteuning van veel grote client- en serverversies van besturingssystemen. 

Onder leiding van Microsoft heeft de UEFI-standaardenorganisatie een manier geïdentificeerd om te voorkomen dat malware-rootkits tijdens het opstarten worden geïnstalleerd met behulp van een mechanisme voor het laden en uitvoeren van binaire bestanden die ongewijzigd en bekend zijn bij het platform. Dit mechanisme wordt Secure Booting genoemd - zie Microsoft Secure Boot voor de Microsoft-informatie en op vergelijkbare manieren hebben verschillende leveranciers van besturingssystemen verschillende manieren ingebouwd om veilig opstarten te bereiken. 

Beveiligde UEFI platforms laden alleen software binaries, zoals optie-ROM-drivers, boot loaders, OS loaders, die niet worden gewijzigd en vertrouwd worden door het platform. De UEFI-specificatie beschrijft hier in detail het mechanisme voor veilig opstarten.

UEFI Secure boot:
De UEFI-specificatie definieert de infrastructuur die nodig is voor veilig opstarten. Hieronder vindt u een korte introductie van de terminologie die wordt gebruikt bij Secure Boot, zodat deze nuttig is voor diegenen die meer informatie willen over het gebruik.

Secure Boot biedt geen bescherming voor het systeem tijdens het uitvoeren en de bijbehorende data. Secure Boot stopt met opstarten naar het besturingssysteem als een onderdeel niet wordt geverifieerd tijdens het opstartproces, waardoor wordt voorkomen dat systemen verborgen malware uitvoeren.

Deze sleutelwoorden vormen de basis van een veilige opstartprocedure. UEFI-specificaties  Vertel meer over deze zoekwoorden. Deze specificaties vertellen in detail hoe de binaire bestanden moeten worden ondertekend; Zie rubriek 28 voor meer informatie.

Geverifieerde variabelen:
UEFI biedt een service genaamd geverifieerde variabelen, wat betekent dat alleen een gecertificeerde module of authentieke codemodule kan schrijven, dat wil zeggen dat alleen een codemodule met een sleutelcertificaat kan schrijven. Maar elke partij kan deze variabelen lezen.

Platformsleutel (PK):
platformsleutel brengt een vertrouwensrelatie tot stand tussen de platformeigenaar en firmware die door de platformfabrikant in de NVM wordt geïnstalleerd.

Key Exchange Key (KEK):
Key Exchange Key zorgt voor vertrouwen tussen besturingssystemen en de platformfirmware. KEK's worden in het platform geïnstalleerd door het besturingssysteem en/of componenten van derden die willen communiceren met platformfirmware.

Database (DB):
Geautoriseerde database met de openbare sleutels en certificaten van de codemodule die geautoriseerd is om te communiceren met platformfirmware.

DBX:
Database op de zwarte lijst. Codemodules die overeenkomen met deze certificaten mogen niet worden geladen.

Handtekening:
De persoonlijke sleutel en hash genereren de handtekening van het binaire bestand dat moet worden ondertekend.

Certificaat:
Authenticode-certificaat met een openbare sleutel die overeenkomt met de persoonlijke sleutel die wordt gebruikt om de afbeelding te ondertekenen.

UEFI-platformfirmware laadt de drivers van derden, option-roms en OS-loaders die zijn ondertekend door de certificeringsinstantie (CA), in dit geval Microsoft. Elke hardwareleverancier kan zijn drivers in het UEFI-BIOS schrijven en door Microsoft laten ondertekenen zodat deze op het UEFI-platform kunnen worden uitgevoerd. OEM's installeren het openbare deel van de sleutel in de platform-DB en de UEFI-loader-protocolservice valideert de handtekening van het binaire bestand tegen de geautoriseerde DB voordat deze op het platform mag worden uitgevoerd. Deze verificatieketen loopt van de UEFI tot de OS-loader en het besturingssysteem.

Kortom, UEFI maakt het mogelijk om OS-laders uit te voeren die zijn ondertekend en waarvan de sleutel in de DB aanwezig is. Dit sleutelmechanisme zorgt ervoor dat de OS-loader of optie-ROM's alleen mogen worden uitgevoerd als ze door een partij zijn geautoriseerd en niet worden gewijzigd.


Figuur 1: UEFI platformfirmware

• Windows 11 en Secure Boot 
•