Co to jest bezpieczny rozruch i klucz platformy w systemie BIOS

W tym artykule wyjaśniono, czym jest bezpieczny rozruch i jak jest on rozszerzony na Linuksa; RHEL7. Dostarcza również pewnych informacji na temat "zaufanego rozruchu jądra" Linuksa i jego implikacji dla aplikacji przestrzeni użytkownika.  

Funkcja bezpiecznego rozruchu została zaprojektowana, aby zapobiegać wczytaniu do systemu operacyjnego rootkitów instalowanych podczas rozruchu w pamięci przy użyciu mechanizmów, takich jak pamięć ROM i MBR, które przejmują kontrolę nad systemem i ukrywają się przed zabezpieczeniami przed złośliwym oprogramowaniem. Problem ten rozrósł się z czasem, odgrywając znaczącą rolę w utracie lub uszkodzeniu oraz kradzieży danych. Złośliwe oprogramowanie może znajdować się w środku systemu BIOS i programu ładującego system operacyjny. Może też znajdować się pomiędzy programem OS Loader a systemem operacyjnym.

Unified Extensible Firmware Interface (UEFI) to nowy standard interfejsu sprzętowego i programowego dla nowoczesnych platform serwerowych z bogatym zestawem interfejsów użytkownika, modułowości i standardów dla niezależnych dostawców oprogramowania, umożliwiający opracowywanie sterowników urządzeń w UEFI, które współpracują ze sobą w środowisku przedrozruchowym, które jest bardziej elastyczne niż starsze środowisko BIOS. Poziom adopcji UEFI przez różne systemy operacyjne i platformy stale rośnie, a wiele najważniejszych wersji klienckich i serwerowych systemów operacyjnych zapewnia jego obsługę. 

Kierowany przez firmę Microsoft organ standaryzacyjny UEFI zidentyfikował sposób na uniemożliwienie instalowania rootkitów złośliwego oprogramowania podczas uruchamiania przy użyciu mechanizmu ładowania i uruchamiania plików binarnych, które są niezmodyfikowane i znane platformie. Mechanizm ten nazywa się bezpiecznym rozruchem — zapoznaj się z informacjami firmy Microsoft na temat bezpiecznego rozruchu firmy Microsoft i w podobny sposób różni dostawcy systemów operacyjnych zastosowali różne sposoby osiągnięcia bezpiecznego rozruchu. 

Zabezpieczone platformy UEFI wczytują tylko pliki binarne oprogramowania, takie jak opcjonalne sterowniki ROM, moduły ładowania rozruchu, moduły ładowania systemu operacyjnego, które są niezmodyfikowane i zaufane przez platformę. Specyfikacja UEFI zawiera szczegółowe informacje na temat mechanizmu bezpiecznego rozruchu tutaj.

Bezpieczny rozruch UEFI:
Specyfikacja UEFI określa infrastrukturę wymaganą do bezpiecznego rozruchu. Podano krótkie wprowadzenie do terminologii używanej w bezpiecznym rozruchu, aby było przydatne dla tych, którzy chcą zrozumieć bardziej szczegółowo.

Bezpieczny rozruch nie chroni systemu podczas działania systemu i jego danych. Funkcja Secure Boot zatrzymuje uruchamianie systemu operacyjnego, jeśli jakikolwiek komponent nie zostanie uwierzytelniony w procesie rozruchu, co uniemożliwia systemom uruchamianie ukrytego złośliwego oprogramowania.

Te słowa kluczowe są podstawą bezpiecznego rozruchu. Dane techniczne  interfejsu UEFI Dowiedz się więcej o tych słowach kluczowych. Te specyfikacje mówią szczegółowo, jak podpisywać pliki binarne; Patrz sekcja 28 , aby uzyskać więcej informacji.

Zmienne uwierzytelnione:
UEFI udostępnia usługę o nazwie zmienne uwierzytelnione, co oznacza, że tylko moduł certyfikowany lub autentyczny moduł kodu może zapisywać, czyli tylko moduł kodu, który ma certyfikat klucza, może zapisywać. Ale każda strona może odczytać te zmienne.

Klucz platformy (PK):
klucz platformy ustanawia relację zaufania między właścicielem platformy a oprogramowaniem układowym, które jest instalowane w NVM przez producenta platformy.

Klucz wymiany kluczy (KEK):
Klucz wymiany kluczy ustanawia zaufanie między systemami operacyjnymi a oprogramowaniem wewnętrznym platformy. Klucze KEK są instalowane na platformie przez system operacyjny i/lub komponenty innych firm, które chcą komunikować się z oprogramowaniem układowym platformy.

Baza danych (DB):
autoryzowana baza danych zawierająca klucze publiczne i certyfikaty modułu kodu, która jest autoryzowana do interakcji z oprogramowaniem układowym platformy.

DBX:
Baza danych na czarnej liście. Żaden moduł kodu, który pasuje do tych certyfikatów, nie może rozpocząć ładowania.

Podpis:
Klucz prywatny i skrót generują podpis pliku binarnego, który ma zostać podpisany.

Certyfikat:
certyfikat Authenticode zawierający klucz publiczny odpowiadający kluczowi prywatnemu użytemu do podpisania obrazu.

Oprogramowanie wewnętrzne platformy UEFI ładuje sterowniki, moduły Option ROM i programy ładowania systemu operacyjnego innych firm, które są podpisane przez urząd certyfikacji (CA), w tym przypadku firmę Microsoft. Każdy dostawca sprzętu może napisać swoje sterowniki w systemie UEFI BIOS i uzyskać ich podpis firmy Microsoft, aby działały na platformie UEFI. Producenci OEM instalują publiczną część klucza w bazie danych platformy, a usługa protokołu modułu ładującego UEFI weryfikuje podpis pliku binarnego względem autoryzowanej bazy danych przed jego uruchomieniem na platformie. Ten łańcuch uwierzytelniania jest kontynuowany od UEFI do programu ładującego systemu operacyjnego i systemu operacyjnego.

Podsumowując, UEFI umożliwia uruchamianie programów ładujących systemy operacyjne, które są podpisane i których klucz znajduje się w bazie danych. Ten mechanizm klucza zapewnia, że moduł ładujący systemu operacyjnego lub pamięci ROM opcji mogą być uruchamiane tylko wtedy, gdy są autoryzowane i nie są modyfikowane przez żadną stronę.


Rysunek 1: Oprogramowanie wewnętrzne platformy UEFI

• Windows 11 i bezpieczny rozruch 
•