Vad är säker start och plattformsnyckel i BIOS?

Den här artikeln förklarar om säker start och hur den utökas till Linux; RHEL7. Den ger också en del insikter om Linux "betrodda kärnstart" och dess konsekvenser för användarrymdsapplikationer.  

Säker start är utformat för att förhindra spökprogram. Spökprogram installeras i minnet vid start genom att funktioner som tillvals-ROM och MBR laddas i operativsystemet och kapar systemkontrollen samtidigt som programmet är dolt för skydd mot skadlig kod. Detta problem har vuxit med tiden till att spela en betydande roll i dataförlust eller korruption och stöld. Skadlig programvara kan finnas mitt i BIOS- och OS-laddaren. Det kan också komma mellan OS Loader och OS.

UEFI (Unified Extensible Firmware Interface) är den nya standarden för maskinvaru- och programvarugränssnitt för moderna serverplattformar med en omfattande uppsättning gränssnitt, modularitet och standardgränssnitt för IHV:er för att utveckla enhetsdrivrutiner i UEFI som fungerar tillsammans i en förstartsmiljö som är mer flexibel än en äldre BIOS-miljö. Användningen av UEFI i operativsystem och plattformar fortsätter att växa och många av de större klient- och serverversionerna för operativsystem har stöd för UEFI. 

Under ledning av Microsoft identifierade UEFI:s standardiseringsorgan ett sätt att förhindra att rootkits med skadlig kod vid starttid installeras med hjälp av en mekanism för att läsa in och köra binärfiler som är oförändrade och kända för plattformen. Den här mekanismen kallas säker start – se Microsoft Secure Boot för Microsoft-information och på liknande sätt har olika OS-leverantörer införlivat olika sätt att uppnå säker start. 

Skyddade UEFI-plattformar laddar endast binära programvarufiler, t.ex. drivrutinen för tillvals-ROM, startinläsare och OS-inläsare, som är oförändrade och betrodda av plattformen. UEFI-specifikationen beskriver i detalj hur mekanismen för säker start fungerar här.

UEFI Secure Boot:
UEFI-specifikationen definierar den infrastruktur som krävs för säker start. Nedan följer en kort introduktion av terminologin som används i säker start för att vara användbar för dem som vill förstå mer i detalj.

Säker uppstart skyddar inte systemet när det körs och dess data. Säker start slutar starta operativsystemet om någon komponent inte autentiseras under startprocessen, vilket förhindrar system från att köra dold skadlig kod.

Dessa nyckelord ligger till grund för en säker start. UEFI-specifikationer  Berätta mer om de här sökorden. Dessa specifikationer talar i detalj om hur binärfilerna ska signeras. Se avsnitt 28 för mer information.

Autentiserade variabler:
UEFI tillhandahåller en tjänst som kallas autentiserade variabler vilket innebär att endast en certifierad modul eller autentisk kodmodul kan skriva, det vill säga endast en kodmodul som har ett nyckelcertifikat kan skriva. Men vilket parti som helst kan läsa dessa variabler.

Plattformsnyckel (PK):
Plattformsnyckeln upprättar en förtroenderelation mellan plattformsägaren och den fasta programvaran som installeras i NVM av plattformstillverkaren.

KEK (Key Exchange Key, Exchange
):Key Exchange Key upprättar förtroende mellan operativsystem och plattformens fasta programvara. KEK:er installeras på plattformen av operativsystemet och/eller komponenter från tredje part som vill kommunicera med plattformens fasta programvara.

Databas (DB):
Auktoriserad databas som innehåller de offentliga nycklarna och certifikaten för kodmodulen som har behörighet att interagera med plattformens fasta programvara.

DBX:
Svartlistad databas. Alla kodmoduler som matchar dessa certifikat får inte börja läsas in.

Signatur:
Den privata nyckeln och hashen genererar signaturen för binärfilen som ska signeras.

Certifikat:
Authenticode-certifikat som innehåller en offentlig nyckel som motsvarar den privata nyckel som används för att signera bilden.

UEFI-plattformens fasta programvara läser in drivrutiner från tredje part, optionROMs och OS-laddare som är signerade av certifikatutfärdaren (CA), i det här fallet Microsoft. Alla maskinvaruleverantörer kan skriva sina drivrutiner i UEFI BIOS och få dem signerade av Microsoft för att köras på UEFI-plattformen. OEM-tillverkare installerar den offentliga delen av nyckeln i plattformsdatabasen och UEFI-inläsningsprotokolltjänsten verifierar signaturen för binärfilen mot den auktoriserade databasen innan den tillåts köras på plattformen. Den här autentiseringskedjan fortsätter från UEFI till OS-inläsaren och operativsystemet.

Sammanfattningsvis tillåter UEFI att OS-inläsare som är signerade och vars nyckel finns i databasen kan köras. Den här nyckelmekanismen säkerställer att OS-inläsaren eller tillvals-ROM endast tillåts köras om de är auktoriserade och inte ändras av någon part.


Figur 1: UEFI-plattformens fasta programvara

• Windows 11 och säker start 
•