Che cosa sono Secure Boot e Platform Key nel BIOS
Summary: Scopri di più su Secure Boot e sul suo ruolo nella protezione dei sistemi da malware. Comprendere cos'è una chiave di piattaforma nel BIOS e in che modo stabilisce l'affidabilità per la funzionalità di avvio protetto. ...
Symptoms
Questo articolo spiega l'avvio sicuro e come viene esteso a Linux; RHEL7. Fornisce anche alcune informazioni sull'avvio fidato del kernel di Linux e sulle sue implicazioni sulle applicazioni dello spazio utente.
Secure Boot è progettato per evitare che vengano installati root kit al momento dell'avvio in-memory tramite meccanismi come la ROM facoltativa o il record di avvio principale per il caricamento nel sistema operativo, assumendo il controllo del sistema senza essere identificati dai programmi anti-malware. Questo problema è cresciuto nel tempo fino a svolgere un ruolo significativo nella perdita o nel danneggiamento e nel furto dei dati. I malware possono intromettersi nel BIOS e nel caricatore del sistema operativo. Può anche inserirsi tra OS Loader e OS.
Unified Extensible Firmware Interface (UEFI) è il nuovo standard di interfaccia hardware e software per le moderne piattaforme server con un'ampia serie di interfacce utente, modularità e standard per gli IHV per sviluppare driver di dispositivo in UEFI che funzionano insieme in un'ambiente di preavvio più flessibile rispetto a un'ambiente BIOS legacy. L'adozione di UEFI nei sistemi operativi e nelle piattaforme è in continua crescita, supportato da molte delle versioni principali dei sistemi operativi client e server.
Guidato da Microsoft, l'ente per gli standard UEFI ha identificato un modo per impedire l'installazione di rootkit malware all'avvio utilizzando un meccanismo di caricamento ed esecuzione di file binari non modificati e noti alla piattaforma. Questo meccanismo è chiamato avvio sicuro. Vedere Avvio 
Le piattaforme UEFI protette caricano solo i file binari software, come i driver della ROM facoltativa, i caricatori di avvio e i caricatori del sistema operativo, non modificati e considerati attendibili dalla piattaforma. La specifica UEFI descrive in dettaglio il meccanismo di avvio sicuro qui.
Avvio protetto UEFI:
La specifica UEFI definisce l'infrastruttura necessaria per l'avvio protetto. Viene fornita una breve introduzione della terminologia utilizzata nell'avvio sicuro per essere utile a coloro che vogliono capire più in dettaglio.
Secure Boot non protegge il sistema durante l'esecuzione e i relativi dati. Secure Boot interrompe l'avvio del sistema operativo se uno dei componenti non viene autenticato nel processo di avvio, impedendo ai sistemi di eseguire malware nascosto.
Queste parole chiave sono alla base di un avvio sicuro. Specifiche
Variabili autenticate:
UEFI fornisce un servizio denominato variabili autenticate, il che significa che solo un modulo certificato o un modulo di codice autentico può scrivere, ovvero solo un modulo di codice con un certificato di chiave può scrivere. Ma qualsiasi partito può leggere queste variabili.
Chiave della piattaforma (PK):
la chiave della piattaforma stabilisce una relazione di trust tra il proprietario della piattaforma e il firmware installato in NVM dal produttore della piattaforma.
KEK (Key Exchange Key):
La chiave di scambio chiave stabilisce l'affidabilità tra i sistemi operativi e il firmware della piattaforma. Le KEK vengono installate nella piattaforma dal sistema operativo e/o da componenti di terze parti che desiderano comunicare con il firmware della piattaforma.
Database (DB):
database autorizzato contenente le chiavi pubbliche e i certificati del modulo di codice autorizzato a interagire con il firmware della piattaforma.
DBX:
Database inserito nella lista nera. Qualsiasi modulo di codice corrispondente a questi certificati non può iniziare il caricamento.
Firma:
la chiave privata e l'hash generano la firma del binario da firmare.
Certificate:
certificato Authenticode contenente una chiave pubblica corrispondente alla chiave privata utilizzata per firmare l'immagine.
Il firmware della piattaforma UEFI carica i driver di terze parti, le optionROM e i caricatori del sistema operativo firmati dall'autorità di certificazione (CA), in questo caso Microsoft. Qualsiasi vendor di hardware può scrivere i propri driver nel BIOS UEFI e farlo firmare da Microsoft per l'esecuzione sulla piattaforma UEFI. Gli OEM installano la parte pubblica della chiave nel database della piattaforma e il servizio di protocollo del loader UEFI convalida la firma del file binario sul database autorizzato prima di consentirne l'esecuzione sulla piattaforma. Questa catena di autenticazione continua dall'UEFI al caricatore del sistema operativo e al sistema operativo.
In sintesi, UEFI consente l'esecuzione di caricatori del sistema operativo firmati e la cui chiave è presente nel database. Questo meccanismo chiave garantisce che il caricatore del sistema operativo o le ROM opzionali possano essere eseguiti solo se autorizzati e non modificati da alcuna parte.
Figura 1: Firmware della piattaforma UEFI
Cause
Resolution
Additional Information