Was ist Secure Boot und Platform Key im BIOS?

In diesem Artikel wird Secure Boot erläutert und wie es auf Linux ausgeweitet wird. RHEL7. Es bietet auch einige Einblicke in Linux 'Trusted Kernel Boot' und seine Auswirkungen auf Userspace-Anwendungen.  

Secure Boot (sicherer Start) wurde entwickelt, um zu verhindern, dass Root-Kits unter Verwendung von Mechanismen wie Option ROM und MBRs während des Starts im Speicher installiert und in das Betriebssystem geladen werden, um die Kontrolle über das System zu übernehmen und vor Anti-Malware-Programmen verborgen zu bleiben. Dieses Problem hat sich im Laufe der Zeit zu einer bedeutenden Rolle bei Datenverlust, -beschädigung und -diebstahl entwickelt. Malware kann sich in der Mitte des BIOS und des BS-Loaders befinden. Er kann auch zwischen OS Loader und BS liegen.

Unified Extensible Firmware Interface (UEFI) ist der neue Standard für Hardware- und Softwareschnittstellen für moderne Serverplattformen mit einer Vielzahl von UI-, Modularitäts- und Standardschnittstellen für IHVs zur Entwicklung von Gerätetreibern in UEFI, die in einer Pre-Boot-Umgebung zusammenarbeiten, die flexibler ist als eine Legacy-BIOS-Umgebung. Die Übernahme von UEFI auf allen Betriebssystemen und Plattformen nimmt weiterhin zu, wobei viele der wichtigsten Client- und Serverbetriebssystem-Versionen sie unterstützen. 

Unter der Leitung von Microsoft hat das UEFI-Standardisierungsgremium eine Möglichkeit gefunden, die Installation von Malware-Rootkits zur Startzeit mithilfe eines Mechanismus zum Laden und Ausführen von Binärdateien zu verhindern, die unverändert und der Plattform bekannt sind. Dieser Mechanismus wird als Secure Boot bezeichnet – Informationen zu Microsoft Secure Boot finden Sie unter Microsoft Secure Boot. In ähnlicher Weise haben verschiedene Betriebssystemanbieter unterschiedliche Methoden integriert, um Secure Boot zu erreichen. 

Sichere UEFI-Plattformen laden nur Software-Binärdateien, z. B. Option-ROM-Treiber, Systemstartprogramme und Betriebssystemladeprogramme, die nicht modifiziert sind und von der Plattform als vertrauenswürdig eingestuft werden. Die UEFI-Spezifikation beschreibt hier ausführlich den Secure Boot-Mechanismus.

Sicherer UEFI-Start:
Die UEFI-Spezifikation definiert die für Secure Booting erforderliche Infrastruktur. Im Folgenden finden Sie eine kurze Einführung in die beim sicheren Start verwendete Terminologie, um für diejenigen nützlich zu sein, die mehr im Detail erfahren möchten.

Secure Boot schützt das System während der Ausführung und seine Daten nicht. Secure Boot stoppt den Start des Betriebssystems, wenn eine Komponente während des Startvorgangs nicht authentifiziert wird, wodurch verhindert wird, dass Systeme versteckte Malware ausführen.

Diese Schlüsselwörter bilden die Grundlage für einen Secure Boot. UEFI-Spezifikationen  Erzählen Sie mehr über diese Schlüsselwörter. Diese Spezifikationen geben im Detail an, wie die Binärdateien signiert werden. Siehe Abschnitt 28 für weitere Informationen.

Authentifizierte Variablen:
UEFI bietet einen Dienst namens authentifizierte Variablen, was bedeutet, dass nur ein zertifiziertes Modul oder ein authentisches Codemodul schreiben kann, d. h. nur ein Codemodul mit einem Schlüsselzertifikat kann schreiben. Aber jede Partei kann diese Variablen lesen.

Plattformschlüssel (PK):
Der Plattformschlüssel stellt eine Vertrauensbeziehung zwischen Plattformeigentümer und der Firmware her, die vom Plattformhersteller im NVM installiert wird.

Schlüsselaustauschschlüssel (Key Exchange Key, KEK):
Der Schlüsselaustauschschlüssel stellt die Vertrauensbeziehung zwischen Betriebssystemen und der Plattformfirmware her. KEKs werden vom Betriebssystem und/oder von Drittanbieterkomponenten, die mit der Plattformfirmware kommunizieren möchten, auf der Plattform installiert.

Datenbank (DB):
Autorisierte Datenbank mit den öffentlichen Schlüsseln und Zertifikaten des Codemoduls, das für die Interaktion mit der Plattformfirmware autorisiert ist.

DBX:
Datenbank auf der schwarzen Liste. Codemodule, die mit diesen Zertifikaten übereinstimmen, dürfen nicht geladen werden.

Signatur:
Der private Schlüssel und der Hash erzeugen die Signatur der Binärdatei, die signiert werden soll.

Zertifikat:
Authenticode-Zertifikat, das einen öffentlichen Schlüssel enthält, der dem privaten Schlüssel entspricht, der zum Signieren des Images verwendet wird.

Die UEFI-Plattformfirmware lädt die Treiber von Drittanbietern, OptionROMs und BS-Ladeprogramme, die von der Zertifizierungsstelle (CA), in diesem Fall Microsoft, signiert wurden. Jeder Hardwareanbieter kann seine Treiber in UEFI-BIOS schreiben und von Microsoft signieren lassen, damit sie auf der UEFI-Plattform ausgeführt werden können. OEMs installieren den öffentlichen Teil des Schlüssels in der Plattform-DB und der UEFI-Loader-Protokollservice validiert die Signatur der Binärdatei anhand der autorisierten DB, bevor sie auf der Plattform ausgeführt werden kann. Diese Authentifizierungskette wird vom UEFI zum Betriebssystemlader und zum Betriebssystem fortgesetzt.

Zusammenfassend lässt sich sagen, dass UEFI die Ausführung von Betriebssystemladeprogrammen ermöglicht, die signiert sind und deren Schlüssel in der Datenbank vorhanden ist. Dieser Schlüsselmechanismus stellt sicher, dass der OS Loader oder die Options-ROMs nur ausgeführt werden dürfen, wenn sie autorisiert und nicht von einer Partei geändert wurden.


Abbildung 1: Firmware für UEFI-Plattform

• Windows 11 und Secure Boot 
•