Mikä on suojattu käynnistys ja ympäristön avain BIOSissa

Tässä artikkelissa kerrotaan suojatusta käynnistyksestä ja sen laajentamisesta Linuxiin. RHEL7. Se tarjoaa myös joitain oivalluksia Linuxin "luotetusta ytimen käynnistyksestä" ja sen vaikutuksista käyttäjätilan sovelluksiin.  

Suojatun käynnistyksen tarkoituksena on estää tilanne, jossa käynnistyksen aikana asentuu esimerkiksi valinnaisten ROMien tai pääkäynnistystietueiden kautta piilohallintaohjelmia, jotka kaappaavat järjestelmän hallinnan ja pysyvät piilossa haittaohjelmien torjuntaohjelmistoilta. Tämä ongelma on kasvanut ajan myötä, ja sillä on merkittävä rooli tietojen menetyksessä tai vioittumisessa ja varkauksissa. Haittaohjelmat voivat tulla BIOSin ja käyttöjärjestelmän latausohjelman keskelle. Se voi myös olla OS Loaderin ja OS: n välillä.

Unified Extensible Firmware Interface (UEFI) on uusi laitteisto- ja ohjelmistoliittymän standardi nykyaikaisille palvelinalustoille, joissa on monipuolinen valikoima käyttöliittymää, modulaarisuutta ja vakioliittymiä. Niiden avulla voidaan kehittää UEFI:ssa laiteohjaimia, jotka toimivat yhdessä käynnistystä edeltävässä ympäristössä, joka on joustavampi kuin vanha BIOS-ympäristö. UEFIn käyttö yleistyy jatkuvasti eri käyttöjärjestelmissä ja ympäristöissä, ja useat työasemien ja palvelimien merkittävimmät käyttöjärjestelmäversiot tukevat sitä. 

Microsoftin johdolla UEFI-standardointielin määritteli tavan kieltää käynnistysaikaisten haittaohjelmien rootkit-ohjelmien asentaminen käyttämällä muokkaamattomien ja alustan tuntemien binaarien lataus- ja suoritusmekanismia. Tätä mekanismia kutsutaan turvalliseksi käynnistykseksi - katso Microsoftin tiedot Microsoftin suojatusta käynnistyksestä ja samalla tavalla eri käyttöjärjestelmien toimittajat sisällyttivät erilaisia tapoja saavuttaa suojattu käynnistys. 

Suojatut UEFI-ympäristöt lataavat ainoastaan muokkaamattomia ja luotettuja ohjelmistojen binaaritiedostoja, kuten valinnaisia ROM-ohjaimia, käynnistysohjelmia ja käyttöjärjestelmän käynnistysohjelmia. UEFI-spesifikaatiossa kuvataan yksityiskohtaisesti suojattu käynnistysmekanismi täällä.

UEFI Secure Boot:
UEFI-määritys määrittää turvalliseen käynnistykseen tarvittavan infrastruktuurin. Mukana on lyhyt esittely suojatussa käynnistyksessä käytetystä terminologiasta, jotta se olisi hyödyllinen niille, jotka haluavat ymmärtää tarkemmin.

Secure Boot ei suojaa järjestelmää käynnistyksen aikana eikä sen tietoja. Secure Boot lopettaa käynnistymisen käyttöjärjestelmässä, jos jotakin osaa ei todenneta käynnistyksen aikana, mikä estää järjestelmiä suorittamasta piilotettuja haittaohjelmia.

Nämä avainsanat ovat suojatun käynnistyksen perusta. UEFI:n tekniset tiedot  Kerro lisää näistä avainsanoista. Nämä tekniset tiedot kertovat yksityiskohtaisesti, kuinka binaarit allekirjoitetaan; Katso kohta 28 saadaksesi lisätietoja.

Todennetut muuttujat: UEFI tarjoaa palvelua nimeltä Authenticated Variables,
mikä tarkoittaa, että vain sertifioitu moduuli tai aito koodimoduuli voi kirjoittaa, eli vain koodimoduuli, jolla on avainvarmenne, voi kirjoittaa. Mutta mikä tahansa osapuoli voi lukea nämä muuttujat.

Platform key (PK):
Platform Key muodostaa luottamussuhteen alustan omistajan ja laiteohjelmiston välille, jonka alustan valmistaja asentaa NVM:ään.

Avaimenvaihtoavain (KEK):
Avaimenvaihtoavain luo luottamuksen käyttöjärjestelmien ja alustan laiteohjelmiston välille. KEK: t asennetaan alustaan käyttöjärjestelmän ja/tai kolmannen osapuolen komponenttien toimesta, jotka haluavat kommunikoida alustan laiteohjelmiston kanssa.

Tietokanta (DB):
Valtuutettu tietokanta, joka sisältää sen koodimoduulin julkiset avaimet ja varmenteet, jolla on valtuudet olla vuorovaikutuksessa ympäristön laiteohjelmiston kanssa.

DBX:
Mustalla listalla oleva tietokanta. Näitä varmenteita vastaavien koodimoduulien latausta ei saa aloittaa.

Allekirjoitus:
Yksityinen avain ja hash luovat allekirjoitettavan binaarin allekirjoituksen.

Certificate:Authenticode-varmenne
, joka sisältää julkisen avaimen, joka vastaa kuvan allekirjoittamiseen käytettyä yksityistä avainta.

UEFI-ympäristön laiteohjelmisto lataa kolmannen osapuolen ohjaimet, optio-ROM:it ja käyttöjärjestelmän latausohjelmat, jotka varmentaja (CA), tässä tapauksessa Microsoft, on allekirjoittanut. Mikä tahansa laitteistotoimittaja voi kirjoittaa ajurinsa UEFI BIOSiin ja hankkia Microsoftilta allekirjoituksen, jotta niitä voidaan käyttää UEFI-ympäristössä. OEM-valmistajat asentavat avaimen julkisen osan alustan tietokantaan, ja UEFI loader Protocol Service vahvistaa binaarin allekirjoituksen valtuutettua tietokantaa vastaan, ennen kuin se voidaan suorittaa alustalla. Tämä todennusketju jatkuu UEFI:sta käyttöjärjestelmän latausohjelmaan ja käyttöjärjestelmään.

Yhteenvetona voidaan todeta, että UEFI sallii allekirjoitettujen käyttöjärjestelmän lataajien suorittamisen, joiden avain on tietokannassa. Tämä avainmekanismi varmistaa, että käyttöjärjestelmän latausohjelma tai valinnainen ROM voidaan suorittaa vain, jos mikään osapuoli ei ole valtuuttanut niitä eikä muuttanut niitä.


Kuva 1: UEFI-ympäristön laiteohjelmisto

• Windows 11 ja suojattu käynnistys 
•