Qu’est-ce que le démarrage sécurisé et la clé de plateforme dans le BIOS ?

Cet article explique ce qu’est le démarrage sécurisé et la façon dont il est étendu à Linux. RHEL7. Il fournit également des informations sur le « démarrage de noyau fiable » de Linux et ses implications sur les applications de l’espace utilisateur.  

Le démarrage sécurisé est conçu pour empêcher l’installation, lors du démarrage, de kits racines dans la mémoire, via certains mécanismes tels que l’option ROM et les MBR, qui sont ensuite chargés dans le système d’exploitation, piratent le contrôle système et reste masqués des programmes anti-logiciel malveillant. Ce problème s’est développé au fil du temps pour jouer un rôle important dans la perte, la corruption et le vol de données. Les logiciels malveillants peuvent se trouver au milieu du chargeur du BIOS et du système d’exploitation. Il peut également s’interposer entre le chargeur du système d’exploitation et le système d’exploitation.

Unified Extensible Firmware Interface (UEFI) est la nouvelle norme d’interface matérielle et logicielle pour les plates-formes de serveurs modernes avec un riche ensemble d’interfaces utilisateur, modulaires et standard permettant aux IHV de développer des pilotes de périphériques en UEFI qui fonctionnent ensemble dans un environnement de prédémarrage plus flexible qu’un environnement BIOS hérité. L’adoption de l’UEFI sur les systèmes d’exploitation et les plates-formes est en cours sur de nombreuses versions majeures, client et serveur, du système d’exploitation. 

Dirigé par Microsoft, l’organisme de normalisation UEFI a identifié un moyen d’interdire l’installation de rootkits de logiciels malveillants au moment du démarrage à l’aide d’un mécanisme de chargement et d’exécution de fichiers binaires non modifiés et connus de la plate-forme. Ce mécanisme est appelé Secure Booting. Reportez-vous à la section Microsoft Secure Boot pour obtenir des informations sur Microsoft et de la même manière, différents fournisseurs de systèmes d’exploitation ont incorporé différentes méthodes pour obtenir un démarrage sécurisé. 

Les plates-formes UEFI sécurisées chargent uniquement les fichiers logiciels binaires, tels que les pilotes d’option ROM, les programmes de démarrage et les programmes de chargement du système d’exploitation, non modifiés et considérés comme fiables par la plate-forme. La spécification UEFI décrit en détail le mécanisme Secure Boot ici.

Démarrage sécurisé UEFI :
La spécification UEFI définit l’infrastructure requise pour le démarrage sécurisé. Vous trouverez ci-dessous une brève introduction de la terminologie utilisée dans Secure Boot afin d’être utile à ceux qui souhaitent comprendre plus en détail.

Le démarrage sécurisé ne protège pas le système en cours d’exécution ni ses données. Secure Boot arrête le démarrage sur le système d’exploitation si un composant n’est pas authentifié dans le processus de démarrage, ce qui empêche les systèmes d’exécuter des logiciels malveillants cachés.

Ces mots-clés constituent la base d’un démarrage sécurisé. Caractéristiques UEFI  Dites-nous en plus sur ces mots-clés. Ces spécifications expliquent en détail comment signer les binaires ; Voir la section 28 pour plus d’informations.

Variables authentifiées : l’UEFI fournit un service appelé variables authentifiées,
ce qui signifie que seul un module certifié ou un module de code authentique peut écrire, c’est-à-dire que seul un module de code doté d’un certificat de clé peut écrire. Mais n’importe quelle partie peut lire ces variables.

Clé de plate-forme (PK) :
la clé de plate-forme établit une relation de confiance entre le propriétaire de la plate-forme et le firmware qui est installé dans le NVM par le fabricant de la plate-forme.

Key Exchange Key (KEK) :
La clé d’échange de clé établit une relation de confiance entre les systèmes d’exploitation et le firmware de la plate-forme. Les clés KEK sont installées sur la plate-forme par le système d’exploitation et/ou les composants tiers qui souhaitent communiquer avec le firmware de la plate-forme.

Base de données (DB) :
base de données autorisée contenant les clés publiques et les certificats du module de code autorisé à interagir avec le firmware de la plate-forme.

DBX :
base de données sur liste noire. Tout module de code correspondant à ces certificats n’est pas autorisé à démarrer le chargement.

Signature :
la clé privée et le hachage génèrent la signature du binaire qui doit être signé.

Certificat :
certificat Authenticode contenant une clé publique qui correspond à la clé privée utilisée pour signer l’image.

Le firmware de la plate-forme UEFI charge les pilotes tiers, les OptionROM et les chargeurs de système d’exploitation qui sont signés par l’autorité de certification (CA), dans ce cas Microsoft. N’importe quel fournisseur de matériel peut écrire ses pilotes dans le BIOS UEFI et les faire signer par Microsoft pour qu’ils s’exécutent sur la plate-forme UEFI. Les OEM installent la partie publique de la clé dans la base de données de la plate-forme, et le service de protocole du chargeur UEFI valide la signature du fichier binaire par rapport à la base de données autorisée avant qu’il ne soit autorisé à s’exécuter sur la plate-forme. Cette chaîne d’authentification continue de l’UEFI au chargeur du système d’exploitation et au système d’exploitation.

En résumé, l’UEFI permet d’exécuter les chargeurs de système d’exploitation signés et dont la clé est présente dans la base de données. Ce mécanisme de clé garantit que le chargeur du système d’exploitation ou les ROM optionnelles sont autorisés à s’exécuter uniquement s’ils sont autorisés et non modifiés par une partie.


Graphique 1 : Firmware UEFI de la plate-forme

• Windows 11 et Secure Boot 
•