Qué es el arranque seguro y la clave de plataforma en el BIOS

En este artículo se explica el arranque seguro y cómo se extiende a Linux; RHEL7. También proporciona algunas ideas sobre el 'arranque de kernel confiable' de Linux y sus implicaciones en las aplicaciones de espacio de usuario.  

El arranque seguro está diseñado para evitar que los rootkits se instalen en el momento del arranque en la memoria mediante mecanismos como ROM de opción y MBR para cargarse en el sistema operativo, secuestrar el control del sistema y permanecer oculto de los programas antimalware. Con el tiempo, este problema ha crecido hasta desempeñar un papel importante en la pérdida de datos o en la corrupción y el robo. El malware puede encontrarse en el medio del cargador del BIOS y del SO. También puede estar entre el cargador del sistema operativo y el sistema operativo.

Unified Extensible Firmware Interface (UEFI) es el nuevo estándar de interfaz de hardware y software para plataformas de servidores modernas con un conjunto enriquecido de interfaz de usuario, modularidad e interfaces estándar para que los IHV desarrollen controladores de dispositivos en UEFI que funcionen juntos en un entorno previo al arranque que es más flexible que un entorno de BIOS heredado. La adopción de UEFI en todos los sistemas operativos y plataformas continúa creciendo, y muchas de las principales versiones de SO de clientes y servidores lo admiten. 

Liderado por Microsoft, el organismo de estándares de la UEFI identificó una manera de prohibir que los rootkits de malware de tiempo de arranque se instalen mediante un mecanismo de carga y ejecución de binarios que no están modificados y son conocidos por la plataforma. Este mecanismo se denomina arranque seguro. Consulte Arranque seguro de Microsoft para obtener información sobre Microsoft y, de manera similar, los diferentes proveedores de SO incorporaron diferentes formas de lograr el arranque seguro. 

Las plataformas de UEFI seguras solo cargan archivos binarios de software, como controladores de ROM opcionales, cargadores de arranque y cargadores de SO, que no se modifican y que la plataforma confía en ellos. La especificación UEFI describe en detalle el mecanismo de arranque seguro aquí.

Arranque seguro de UEFI:
La especificación UEFI define la infraestructura necesaria para el arranque seguro. Se proporciona una breve introducción de la terminología utilizada en el arranque seguro para que sea útil para aquellos que desean comprender con mayor detalle.

El arranque seguro no protege el sistema mientras se ejecuta ni sus datos. El arranque seguro deja de arrancar en el sistema operativo si algún componente no se autentica en el proceso de arranque, lo que impide que los sistemas ejecuten malware oculto.

Estas palabras clave son la base de un arranque seguro. Especificaciones de UEFI Cuente más sobre estas palabras clave.  Estas especificaciones indican en detalle cómo firmar los binarios; Consulte la sección 28 para obtener más información.

Variables autenticadas:
UEFI proporciona un servicio llamado variables autenticadas, lo que significa que solo un módulo certificado o un módulo de código auténtico puede escribir, es decir, solo un módulo de código que tiene un certificado de clave puede escribir. Pero cualquier partido puede leer estas variables.

Clave de plataforma (PK):
La clave de plataforma establece una relación de confianza entre el propietario de la plataforma y el firmware instalado en el NVM por el fabricante de la plataforma.

Clave de intercambio de claves (KEK):
Key Exchange Key establece confianza entre los sistemas operativos y el firmware de la plataforma. Las KEK se instalan en la plataforma mediante el sistema operativo o componentes de terceros que desean comunicarse con el firmware de la plataforma.

Base de datos (DB):
base de datos autorizada que contiene las claves públicas y los certificados del módulo de código que está autorizado a interactuar con el firmware de la plataforma.

DBX:
Base de datos en la lista negra. No se permite iniciar la carga de ningún módulo de código que coincida con estos certificados.

Firma:
La clave privada y el hash generan la firma del binario que se va a firmar.

Certificado:
certificado de Authenticode que contiene una clave pública que corresponde a la clave privada utilizada para firmar la imagen.

El firmware de la plataforma UEFI carga los controladores de terceros, las ROM de opción y los cargadores del sistema operativo firmados por la autoridad de certificación (CA), en este caso Microsoft. Cualquier proveedor de hardware puede escribir sus controladores en UEFI BIOS y hacer que Microsoft lo firme para ejecutarse en la plataforma UEFI. Los OEM instalan la parte pública de la clave en la base de datos de la plataforma y el servicio de protocolo del cargador UEFI valida la firma del binario con la base de datos autorizada antes de que se permita su ejecución en la plataforma. Esta cadena de autenticación continúa desde la UEFI hasta el cargador del sistema operativo y el sistema operativo.

En resumen, UEFI permite la ejecución de cargadores de sistemas operativos firmados cuya clave está presente en la base de datos. Este mecanismo clave garantiza que el cargador del sistema operativo o las ROM de opción puedan ejecutarse solo si están autorizadas y no modificadas por ninguna parte.


Figura 1: Firmware de plataforma UEFI

• Windows 11 y arranque seguro 
•