Hva er sikker oppstart og plattformtast i BIOS

Denne artikkelen forklarer om sikker oppstart og hvordan den utvides til Linux; RHEL7. Det gir også litt innsikt i Linux 'trusted kernel Boot' og dens implikasjoner på brukerplassapplikasjoner.  

Sikker oppstart er utviklet for å forhindre at det blir installert rotsett i minnet under oppstart ved hjelp av mekanismer som Option ROM og MBR-er, for å bli lastet inn i operativsystemet, kapre systemkontrollen og skjule seg for antiskadevare. Dette problemet har vokst over tid til å spille en betydelig rolle i tap av data eller korrupsjon og tyveri. Skadelig programvare kan komme midt i BIOS- og OS-lasteren. Det kan også komme mellom OS Loader og OS.

Unified Extensible Firmware Interface (UEFI) er den nye standarden for maskinvare- og programvaregrensesnitt for moderne serverplattformer med et omfattende sett med grensesnitt, modularitet og standardgrensesnitt for IHV-er for å utvikle enhetsdrivere i UEFI som fungerer sammen i et miljø før oppstart som er mer fleksibelt enn et eldre BIOS-miljø. UEFI-implementering på tvers av operativsystemer og plattformer fortsetter å vokse og støttes av mange av de viktigste operativsystemversjonene for klienter og servere. 

Ledet av Microsoft, identifiserte UEFI-standardiseringsorganet en måte å forby oppstartstid malware rootkits fra å bli installert ved hjelp av en mekanisme for lasting og kjøring av binærfiler som er umodifiserte og kjent for plattformen. Denne mekanismen kalles sikker oppstart – se Microsoft Sikker oppstart for Microsoft-informasjonen, og på lignende måter innlemmet forskjellige OS-leverandører forskjellige måter å oppnå sikker oppstart på. 

Sikre UEFI-plattformer laster bare programvarebinærfiler, som alternativet ROM-drivere, oppstartslastere og operativsystemlastere, som er uendret og klarert av plattformen. UEFI-spesifikasjonen beskriver i detalj om den sikre oppstartsmekanismen her.

UEFI Secure boot:
UEFI-spesifikasjonen definerer infrastrukturen som kreves for sikker oppstart. Forutsatt er en kort introduksjon av terminologien som brukes i sikker oppstart for å være nyttig for de som ønsker å forstå mer detaljert.

Sikker oppstart beskytter ikke systemet og dets data. Sikker oppstart stopper oppstarten til operativsystemet hvis en komponent ikke er godkjent i oppstartsprosessen, noe som forhindrer systemer i å kjøre skjult skadelig programvare.

Disse nøkkelordene er grunnlaget for en sikker oppstart. UEFI-spesifikasjoner  Fortell mer om disse søkeordene. Disse spesifikasjonene forteller i detalj hvordan du signerer binærfilene; Se kapittel 28 for mer informasjon.

Godkjente variabler:
UEFI tilbyr en tjeneste som kalles autentiserte variabler, noe som betyr at bare en sertifisert modul eller autentisk kodemodul kan skrive, det vil si bare en kodemodul som har et nøkkelsertifikat kan skrive. Men alle partier kan lese disse variablene.

Plattformnøkkel (PK):
Plattformnøkkel etablerer et tillitsforhold mellom plattformeier og fastvare som installeres i NVM av plattformprodusenten.

Nøkkelbyttenøkkel (KEK):
Key Exchange Key etablerer tillit mellom operativsystemer og plattformfastvaren. KEKs installeres i plattformen av operativsystemet og eller tredjepartskomponenter som ønsker å kommunisere med plattformens fastvare.

Database (DB):
Autorisert database som inneholder de offentlige nøklene og sertifikatene til kodemodulen som er autorisert til å samhandle med plattformfastvaren.

DBX:
Svartelistet database. Kodemoduler som samsvarer med disse sertifikatene, kan ikke starte innlastingen.

Signatur:
Den private nøkkelen og hashen genererer signaturen til binærfilen som skal signeres.

Sertifikat:
Authenticode-sertifikat som inneholder en offentlig nøkkel som tilsvarer privatnøkkelen som ble brukt til å signere bildet.

Fastvaren for UEFI-plattformen laster inn tredjepartsdrivere, optionROM-er og operativsystemlastere som er signert av sertifiseringsinstansen (CA), i dette tilfellet Microsoft. Alle maskinvareleverandører kan skrive driverne sine i UEFI BIOS og få den signert av Microsoft for å kjøre på UEFI-plattformen. OEM-er installerer den offentlige delen av nøkkelen i plattformen DB, og UEFI-lasterprotokolltjenesten validerer signaturen til binærfilen mot den autoriserte DB før den får lov til å kjøre på plattformen. Denne autentiseringskjeden fortsetter fra UEFI til operativsystemlasteren og operativsystemet.

Oppsummert tillater UEFI at operativsystemlastere som er signert og hvis nøkkel er til stede i DB, kan kjøres. Denne nøkkelmekanismen sikrer at OS-lasteren eller alternative ROM-er bare kan kjøres hvis de er autorisert og ikke endret av noen part.


Figur 1: UEFI-plattformens fastvare

• Windows 11 og sikker oppstart 
•