Что такое безопасная загрузка и ключ платформы в BIOS

В этой статье рассказывается о безопасной загрузке и о том, как она распространяется на Linux. РЭЛ7. Кроме того, в ней рассказывается о «доверенной загрузке ядра» Linux и ее влиянии на приложения пользовательского пространства.  

Безопасная загрузка предназначена для предотвращения установки руткитов во время загрузки в память с помощью таких механизмов, как Option ROM и MBR, которые затем загружаются в ОС, перехватывают управление системой и скрываются от антивирусных программ. Со временем эта проблема разрослась и стала играть значительную роль в потере данных, их повреждении и краже. Вредоносное ПО может появиться в середине загрузчика BIOS и ОС. Он также может находиться между загрузчиком ОС и ОС.

UEFI (Unified Extensible Firmware Interface) — это новый стандарт аппаратных и программных интерфейсов для современных серверных платформ с богатым набором пользовательских интерфейсов, модульных и стандартных интерфейсов, предназначенных для независимых поставщиков программного обеспечения при разработке драйверов устройств в UEFI, которые работают вместе в предзагрузочной среде, более гибкой, чем устаревшая среда BIOS. UEFI все шире внедряется в операционные системы и платформы и поддерживается многими основными версиями клиентов и серверных ОС. 

Возглавляемый Microsoft орган по стандартизации UEFI определил способ запретить установку вредоносных руткитов во время загрузки с помощью механизма загрузки и запуска двоичных файлов, которые не изменены и известны платформе. Этот механизм называется безопасной загрузкой. Сведения о Майкрософт см. в разделе Безопасная загрузка Microsoft. Аналогичным образом разные поставщики ОС использовали разные способы достижения безопасной загрузки. 

Защищенные платформы с UEFI загружают только те двоичные файлы программного обеспечения, например драйверы дополнительного ПЗУ, загрузчики и загрузчики ОС, которые не были изменены и которые известны платформе. Здесь подробно описан механизм безопасной загрузки в спецификации UEFI.

Безопасная загрузка UEFI:
Спецификация UEFI определяет инфраструктуру, необходимую для безопасной загрузки. Ниже приведено краткое введение в терминологию, используемую в безопасной загрузке, которая будет полезна тем, кто хочет разобраться в ней более подробно.

Безопасная загрузка не обеспечивает защиту системы и ее данных. Secure Boot останавливает загрузку ОС, если какой-либо компонент не прошел проверку подлинности в процессе загрузки, что предотвращает запуск в системе скрытого вредоносного ПО.

Эти ключевые слова являются основой безопасной загрузки. Технические характеристики  UEFI Расскажите подробнее об этих ключевых словах. В этих спецификациях подробно рассказывается, как подписывать двоичные файлы; Смотрите раздел 28 для получения дополнительной информации.

Аутентифицированные переменные:
UEFI предоставляет службу, называемую аутентифицированными переменными, что означает, что только сертифицированный модуль или модуль аутентичного кода может записывать, то есть только модуль кода, имеющий сертификат ключа. Но любая сторона может прочитать эти переменные.

Ключ платформы (PK):
ключ платформы устанавливает доверительные отношения между владельцем платформы и микропрограммой, которая устанавливается в NVM производителем платформы.

Ключ обмена ключами (KEK):
Обмен ключами Ключ устанавливает доверие между операционными системами и микропрограммой платформы. Ключи KEK устанавливаются в платформу операционной системой и/или компонентами сторонних производителей, которые хотят взаимодействовать с микропрограммой платформы.

База данных (БД): авторизованная база данных,
содержащая открытые ключи и сертификаты модуля кода, который авторизован для взаимодействия с микропрограммой платформы.

DBX:
База данных в черном списке. Любой модуль кода, соответствующий этим сертификатам, не может начать загрузку.

Подпись:
Закрытый ключ и хэш генерируют подпись двоичного файла, который должен быть подписан.

Сертификат:
Сертификат подлинности, содержащий открытый ключ, соответствующий закрытому ключу, используемому для подписи образа.

Микропрограмма платформы UEFI загружает сторонние драйверы, дополнительные ПЗУ и загрузчики ОС, подписанные центром сертификации (CA), в данном случае Microsoft. Любой поставщик оборудования может написать драйверы в UEFI BIOS и подписать их Microsoft для работы на платформе UEFI. OEM-производители устанавливают открытую часть ключа в базу данных платформы, а служба протокола загрузчика UEFI проверяет подпись двоичного файла на соответствие авторизованной базе данных, прежде чем разрешить его запуск на платформе. Эта цепочка аутентификации продолжается от UEFI до загрузчика ОС и ОС.

Таким образом, UEFI позволяет запускать загрузчики ОС, которые подписаны и чей ключ присутствует в базе данных. Этот ключевой механизм гарантирует, что загрузчик ОС или дополнительные файлы ПЗУ могут запускаться только в том случае, если они авторизованы и не изменены какой-либо стороной.


Рисунок 1: Микропрограмма платформы UEFI

• Windows 11 и безопасная загрузка 
•