O que é inicialização segura e chave de plataforma no BIOS

Este artigo explica sobre a inicialização segura e como ela é estendida para Linux; RHEL7. Ele também fornece alguns insights sobre a "inicialização de kernel confiável" do Linux e suas implicações em aplicativos de espaço do usuário.  

A inicialização segura foi projetada para evitar que os kits-base sejam instalados no momento da inicialização na memória usando mecanismos como a option ROM e os MBRs para serem carregados no sistema operacional, manipulando o controle do sistema e permanecendo ocultos de programas antimalware. Esse problema cresceu ao longo do tempo para desempenhar um papel significativo na perda de dados ou corrupção e roubo. Um malware pode vir no meio do carregador do BIOS e do sistema operacional. Ele também pode ser fornecido entre o carregador de SO e o SO.

A UEFI (Unified Extensible Firmware Interface) é o novo padrão de interface de hardware e software para plataformas de servidor modernas com um conjunto avançado de interface do usuário, modularidade e interfaces padrão para IHVs a fim de desenvolver drivers de dispositivo em UEFI que funcionem juntos em um ambiente de pré-inicialização mais flexível do que um ambiente BIOS legado. A adoção do UEFI entre os sistemas operacionais e as plataformas continua crescendo, e muitas das principais versões de sistema operacional client e de servidor têm suporte para UEFI. 

Liderado pela Microsoft, o órgão de padrões UEFI identificou uma maneira de proibir a instalação de rootkits de malware no tempo de inicialização usando um mecanismo de carregamento e execução de binários não modificados e conhecidos pela plataforma. Esse mecanismo é chamado de inicialização segura. Consulte a inicialização segura da Microsoft para obter informações da Microsoft e, da mesma forma, diferentes fornecedores de sistemas operacionais incorporaram maneiras diferentes para realizar a inicialização segura. 

As plataformas de UEFI protegidas carregam somente binários de software, como, por exemplo, drivers de option ROM, carregadores de inicialização e carregadores de sistema operacional não modificados e de confiança da plataforma. A especificação UEFI descreve em detalhes o mecanismo de inicialização segura aqui.

Inicialização segura UEFI:
A especificação UEFI define a infraestrutura necessária para a inicialização segura. Apresentamos uma breve introdução da terminologia usada na inicialização segura para ser útil àqueles que desejam entender com mais detalhes.

O Secure Boot não protege o sistema durante a execução e seus dados. O Secure Boot interromperá a inicialização no SO se algum componente não for autenticado no processo de inicialização, o que impede que os sistemas executem malware oculto.

Essas palavras-chave são a base de uma inicialização segura. UEFI Especificações  Conte mais sobre essas palavras-chave. Essas especificações dizem em detalhes como assinar os binários; ver secção 28 para obter mais informações.

Variáveis autenticadas:a
UEFI fornece um serviço chamado variáveis autenticadas, o que significa que somente um módulo certificado ou módulo de código autêntico pode gravar, ou seja, apenas um módulo de código que tenha um certificado de chave pode gravar. Mas qualquer partido pode ler essas variáveis.

Chave da plataforma (PK):
a chave da plataforma estabelece uma relação de confiança entre o proprietário da plataforma e o firmware instalado no NVM pelo fabricante da plataforma.

Chave de troca de chave (KEK):
A chave de troca de chave estabelece a confiança entre os sistemas operacionais e o firmware da plataforma. As KEKs são instaladas na plataforma pelo sistema operacional e/ou por componentes de terceiros que desejam se comunicar com o firmware da plataforma.

Banco de dados (DB):
banco de dados autorizado que contém as chaves públicas e certificados do módulo de código autorizado a interagir com o firmware da plataforma.

DBX:
banco de dados na lista negra. Não é permitido iniciar o carregamento de qualquer módulo de código que corresponda a esses certificados.

Assinatura:
a chave privada e o hash geram a assinatura do binário que será assinado.

Certificado:
certificado Authenticode que contém uma chave pública que corresponde à chave privada usada para assinar a imagem.

O firmware da plataforma UEFI carrega os drivers, as ROMs opcionais e os carregadores de SO de terceiros que são assinados pela Autoridade de Certificação (CA), neste caso a Microsoft. Qualquer fornecedor de hardware pode gravar seus drivers no BIOS UEFI e assiná-lo pela Microsoft para ser executado na plataforma UEFI. Os OEMs instalam a parte pública da chave no banco de dados da plataforma, e o serviço de protocolo do carregador UEFI valida a assinatura do binário em relação ao banco de dados autorizado antes que ele possa ser executado na plataforma. Essa cadeia de autenticação continua da UEFI para o carregador de SO e o SO.

Em resumo, a UEFI permite que carregadores de SO assinados e cuja chave esteja presente no banco de dados sejam executados. Esse mecanismo principal garante que o carregador do sistema operacional ou as ROMs opcionais só poderão ser executadas se forem autorizadas e não modificadas por terceiros.


Figura 1: Firmware da plataforma do UEFI

• Windows 11 e inicialização segura 
•