Güvenli Önyüklemeye genel bakış

Bu makale, güvenli önyüklemeyi ve bunun Linux'ta (özellikle RHEL7'de) nasıl kullanıldığını açıklar. Linux "güvenilir çekirdek önyükleme" ve kullanıcı alanı uygulamalarında etkileri hakkında da bazı bilgiler sağlar.  

Güvenli önyükleme, önyüklemede belleğe yüklenen kök setlerinin, sistem kontrolünü aşıp kötü amaçlı yazılımlara karşı koruma programlarından saklanarak işletim sistemine yüklenmek için ROM ve MBR'ler gibi mekanizmalar kullanmasını önlemek üzere tasarlanmıştır.  Bu sorun zamanla veri kaybı/bozulması ve hırsızlıkta önemli rol oynayacak şekilde büyümüştür. Kötü amaçlı yazılımlar BIOS ile işletim sistemi yükleyici arasına girebilir. İşletim sistemi yükleyici ile işletim sistemi arasına da girebilir.

UEFI; zengin UI setine, modülerliğe ve eski BIOS ortamından daha esnek olan önyükleme ortamında sorunsuz çalışan aygıt sürücüleri geliştirmek için standart IHV arayüzlerine sahip modern sunucu platformları için yeni donanım/yazılım arayüzü standardıdır. İşletim sistemlerinde ve platformlarda UEFI kullanımı büyümeye devam etmektedir ve çoğu büyük istemci ve sunucu işletim sistemi bunu destekler. 

Microsoft öncülüğünde UEFI standartları grubu, değiştirilmemiş ve platformun tanıdığı ikili dosyaları yükleme ve çalıştırma mekanizması kullanarak önyükleme sırasında kötü amaçlı yazılım kök setlerinin yüklenmesini önlemenin bir yolunu bulmuştur. Bu mekanizmaya Güvenli Önyükleme adı verilir. Microsoft bilgilerini görmek için lütfen Microsoft way of Secure boot (Microsoft'un Güvenli yükleme yöntemi) sayfasına bakın. Farklı işletim sistemi satıcıları da güvenli önyükleme gerçekleştirmek için farklı yöntemler kullanmıştır. 

Güvenli UEFI platformları, sadece değiştirilmemiş ve platformun güvendiği yazılım ikili dosyalarını (ör. ROM sürücüleri, önyükleyiciler, işletim sistemi yükleyiciler) yükler.  Önyükleme mekanizmasıyla ilgili UEFI özellikleri burada ayrıntılı olarak açıklanmıştır.  

UEFI güvenli önyükleme:

UEFI özellikleri, güvenli önyükleme için gereken altyapıyı tanımlar. Daha ayrıntılı bilgi edinmek isteyenlere faydası olması için güvenli önyüklemede kullanılan terimleri kısaca açıklayacağız.

Güvenli Önyükleme, sistemi ve verilerini çalışırken korumaz. Güvenli Önyükleme, önyükleme işleminde yetkisiz bir bileşen bulunuyorsa işletim sistemine önyüklemeyi durdurarak sistemlerin gizli kötü amaçlı yazılımları çalıştırmasını önler.

Bu anahtar kelimeler güvenli önyüklemenin temelini oluşturur. UEFI Specification (UEFI Özellikleri) sayfası, bu anahtar kelimeler hakkında daha fazla bilgi sağlar. Bu özellikler, ikili dosyaların nasıl onaylanacağını ayrıntılı olarak açıklar. Özellikle 28. bölüme bakın.

Yetkili Değişkenler: UEFI, sadece sertifikalı bir modülün veya orijinal kod modülünün (anahtar sertifikalı kod modülü) yazmasına izin veren yetkili değişkenler adlı bir servis sunar. Ancak bu değişkenler herkes tarafından okunabilir.

Platform anahtarı (PK): Platform Anahtarı, platform sahibi ile platform üreticisi tarafından NVM'ye yüklenen bellenim arasında güven ilişkisi kurar.

KEK: Anahtar Geçiş Anahtarı, İşletim Sistemleri ile platform bellenimi arasında güven kurar. KEK'ler, platform bellenimiyle iletişim kurmak isteyen işletim sistemi ve/veya üçüncü parti bileşenleri tarafından platforma yüklenir.

DB: Yetkili Veritabanı, platform bellenimiyle iletişim kurma yetkisi olan kod modülünün genel anahtarlarını ve sertifikasını içerir.

DBX: Kara listeye alınmış DB. Bu sertifikalarla eşleşen hiçbir kod modülünün yüklemeye başlamasına izin verilmez.

İmza: İmza, özel bir anahtar ve izin verilecek ikili dosyanın karması tarafından oluşturulur.

Sertifika: Görüntüye izin vermek için kullanılan özel anahtara karşılık gelen genel anahtarı içeren yetkilendirme kodu sertifikası    

UEFI platform bellenimi, Sertifika Yetkilisi (CA) (burada Microsoft) tarafından izin verilen üçüncü parti sürücülerini, isteğe bağlı ROM'ları ve işletim sistemi yükleyicilerini yükler. Tüm donanım satıcıları sürücülerini UEFI BIOS içinde yazabilir ve UEFI platformunda çalışmak üzere Microsoft'tan izin alabilir.  OEM'ler platform DB'sindeki anahtarın genel kısmını yükler ve UEFI yükleyici protokol hizmeti bunun platformda çalışmasına izin vermeden önce ikili dosyanın imzasını onaylar. Bu yetki verme dizisi UEFI'den işletim sistemi yükleyiciye ve işletim sistemine devam eder.

Özet olarak UEFI, izinli ve anahtarı DB'de bulunan işletim sistemi yükleyicilerin çalışmasına izin verir. Bu anahtar mekanizması, işletim sistemi yükleyicisinin veya isteğe bağlı ROM'ların sadece yetkili ve hiçbir parti tarafından değiştirilmemiş olduğunda çalışmasına izin verir.


Şekil 1: UEFI platform bellenimi