BIOS'ta Güvenli Önyükleme ve Platform Anahtarı Nedir?

Bu makale, güvenli önyükleme ve bunun Linux'a nasıl genişletildiği hakkında bilgi verir; RHEL7. Ayrıca, Linux'un 'güvenilir çekirdek Önyüklemesi' ve bunun kullanıcı alanı uygulamaları üzerindeki etkileri hakkında bazı bilgiler sağlar.  

Güvenli önyükleme, önyüklemede belleğe yüklenen kök setlerinin, sistem kontrolünü aşıp kötü amaçlı yazılımlara karşı koruma programlarından saklanarak işletim sistemine yüklenmek için ROM ve MBR'ler gibi mekanizmalar kullanmasını önlemek üzere tasarlanmıştır. Bu sorun, veri kaybında veya bozulmasında ve hırsızlığında önemli bir rol oynamak için zamanla büyümüştür. Kötü amaçlı yazılım, BIOS ve işletim sistemi yükleyicisinin ortasına gelebilir. Ayrıca OS Loader ve OS arasında da olabilir.

Birleşik Genişletilebilir Bellenim Arabirimi (UEFI), IHV'lerin UEFI'da eski bir BIOS ortamından daha esnek olan önyükleme öncesi ortamda birlikte çalışan aygıt sürücüleri geliştirmesi için zengin bir kullanıcı arayüzü, modülerlik ve standart arabirim setiyle modern sunucu platformları için yeni donanım ve yazılım arabirimi standardıdır. İşletim sistemlerinde ve platformlarda UEFI kullanımı büyümeye devam etmektedir ve çoğu büyük istemci ve sunucu işletim sistemi bunu destekler. 

Microsoft liderliğindeki UEFI standartları kuruluşu, önyükleme zamanı kötü amaçlı yazılım rootkit'lerinin, değiştirilmemiş ve platform tarafından bilinen ikili dosyaları yükleme ve çalıştırma mekanizması kullanılarak yüklenmesini yasaklamanın bir yolunu belirledi. Bu mekanizmaya Güvenli Önyükleme adı verilir - Microsoft bilgileri için Microsoft Güvenli önyükleme bölümüne bakın ve benzer şekillerde farklı işletim sistemi satıcıları güvenli önyükleme elde etmek için farklı yollar kullanmıştır. 

Güvenli UEFI platformları, sadece değiştirilmemiş ve platformun güvendiği yazılım ikili dosyalarını (ör. ROM sürücüleri, önyükleyiciler, işletim sistemi yükleyiciler) yükler. UEFI teknik özellikleri, güvenli önyükleme mekanizması hakkında ayrıntılı olarak buradan bilgi almaktadır.

UEFI Güveli Önyükleme:
UEFI spesifikasyonu, güvenli önyükleme için gereken altyapıyı tanımlar. Daha ayrıntılı olarak anlamak isteyenlerin yararlı olması için güvenli önyüklemede kullanılan terminolojinin kısa bir tanıtımı verilmiştir.

Güvenli Önyükleme, çalışırken sistemi ve verilerini korumaz. Güvenli Önyükleme, önyükleme işleminde herhangi bir bileşenin kimliği doğrulanmamışsa işletim sistemine önyüklemeyi durdurur ve bu da sistemlerin gizli kötü amaçlı yazılımları çalıştırmasını önler.

Bu anahtar sözcükler, güvenli önyüklemenin temelini oluşturur. UEFI Teknik Özellikleri  Bu anahtar kelimeler hakkında daha fazla bilgi verin. Bu özellikler, ikili dosyaların nasıl imzalanacağını ayrıntılı olarak anlatır; Bkz. bölüm 28 daha fazla bilgi için.

Kimliği Doğrulanmış Değişkenler:
UEFI, kimliği doğrulanmış değişkenler adı verilen bir hizmet sağlar, bu da yalnızca sertifikalı bir modülün veya gerçek kod modülünün yazabileceği, yani yalnızca anahtar sertifikasına sahip bir kod modülünün yazabileceği anlamına gelir. Ancak herhangi bir taraf bu değişkenleri okuyabilir.

Platform anahtarı (PK):
Platform Anahtarı, platform sahibi ile platform üreticisi tarafından NVM'ye yüklenen bellenim arasında bir güven ilişkisi kurar.

Anahtar Değiştirme Anahtarı (KEK):
Anahtar Değiştirme Anahtarı, İşletim Sistemleri ve platform bellenimi arasında güven sağlar. KEK'ler, platform bellenimi ile iletişim kurmak isteyen işletim sistemi ve/veya üçüncü taraf bileşenleri tarafından platforma yüklenir.

Veritabanı (DB):
Platform bellenimiyle etkileşime girme yetkisine sahip kod modülünün genel anahtarlarını ve sertifikalarını tutan Yetkili Veritabanı.

DBX:
Kara listelenmiş veritabanı. Bu sertifikalarla eşleşen herhangi bir kod modülünün yüklenmeye başlamasına izin verilmez.

İmza:
Özel anahtar ve hash, imzalanacak ikili dosyanın İmzasını oluşturur.

Sertifika:
Görüntüyü imzalamak için kullanılan özel anahtara karşılık gelen bir genel anahtar içeren kimlik doğrulama sertifikası.

UEFI platformu bellenimi, Sertifika Yetkilisi (CA) (bu durumda Microsoft) tarafından imzalanan üçüncü taraf sürücüleri, seçenek ROM'larını ve işletim sistemi yükleyicilerini yükler. Herhangi bir donanım satıcısı, sürücülerini UEFI BIOS'a yazabilir ve UEFI platformunda çalışması için Microsoft'a imzalatabilir. OEM'ler, anahtarın genel bölümünü platform veritabanına yükler ve UEFI yükleyici protokol hizmeti, platformda çalışmasına izin verilmeden önce ikili dosyanın imzasını yetkili DB ile doğrular. Bu kimlik doğrulama zinciri, UEFI'den işletim sistemi yükleyicisine ve işletim sistemine doğru devam eder.

Özetle, UEFI, imzalanan ve anahtarı DB'de bulunan işletim sistemi yükleyicilerinin çalışmasına izin verir. Bu anahtar mekanizması, işletim sistemi yükleyicisinin veya isteğe bağlı ROM'ların yalnızca yetkilendirilmeleri ve herhangi bir tarafça değiştirilmemeleri durumunda çalışmasına izin verilmesini sağlar.


Şekil 1: UEFI platform bellenimi

• Windows 11 ve Güvenli Önyükleme 
•