Passa al contenuto principale
Esci

Benvenuto in Dell

Il mio account
  • Effettua gli ordini in modo rapido e semplice
  • Visualizza gli ordini e monitora lo stato della spedizione
  • Crea e accedi a un elenco dei tuoi prodotti
  • Gestisci i siti, i prodotti e i contatti per livello di prodotto di Dell EMC tramite l'amministrazione della società.
Accedi Crea un account Accesso a Premier Accesso al Partner Program
Contattaci

I tuoi carrelli Dell.com

Numero articolo: 000145423

보안 부팅 개요

Riepilogo: 보안 부팅 개요 및 용어 설명

È possibile che questo articolo sia stato tradotto automaticamente. Se desideri fornire un riscontro sulla sua qualità, contattaci utilizzando il modulo in fondo a questa pagina.

Contenuto dell'articolo

Sintomi

이 문서에서는 보안 부팅과 Linux, 특히 RHEL7로 확장하는 방법에 대해 설명합니다. 또한 Linux '신뢰할 수 있는 커널 부팅'에 대한 몇 가지 통찰력과 사용자 공간 애플리케이션에 대한 영향을 제공합니다.  

보안 부팅은 OS에 로드되고, 시스템 제어를 하이재킹하고, 멀웨어 방지 프로그램에 남아 있는 옵션 ROM 및 MBR과 같은 메커니즘을 사용하여 부팅 시 루트 키트가 메모리에 설치되는 것을 방지하기 위해 설계되었습니다.  이 문제는 시간이 지남에 따라 데이터 손실/손상 및 도난에 중요한 역할을 하게 되었습니다. 멀웨어는 BIOS 및 OS 로더 사이에서 발생할 수 있습니다. 또한 OS 로더와 OS 사이에서 발생할 수 있습니다.

UEFI는 모던 서버 플랫폼을 위한 새로운 하드웨어/소프트웨어 인터페이스 표준으로, IHV에서 레거시 BIOS 환경보다 유연한 사전 부팅 환경에서 원활하게 작동하는 디바이스 드라이버를 개발할 수 있는 다양한 UI, 모듈 방식 및 표준 인터페이스 세트를 갖추고 있습니다. 운영 체제 및 플랫폼 전반에서 UEFI 도입이 지속적으로 증가하고 있으며 이를 지원하는 주요 클라이언트 및 서버 OS 버전이 많습니다. 

Microsoft가 이끄는 UEFI 표준 본문은 수정되지 않고 플랫폼에 알려진 바이너리를 로드하고 실행하는 메커니즘을 사용하여 부팅 시간 멀웨어 루트킷 설치를 금지하는 방법을 식별했습니다. 이 메커니즘을 보안 부팅이라고 합니다. Microsoft 정보 및 다른 OS 공급업체들이 여러 가지 방법을 통합하여 보안 부팅을 달성한 비슷한 방법에 대해서는 Microsoft 보안 부팅 방법을 참조하십시오. 

보안 UEFI 플랫폼은 수정되지 않고 플랫폼에서 신뢰할 수 있는 옵션 ROM 드라이버, 부트 로더, OS 로더 등의 소프트웨어 바이너리만 로드합니다.  UEFI 사양은 여기에서 보안 부팅 메커니즘에 대해 자세히 설명합니다.  

UEFI 보안 부팅:

UEFI 사양은 보안 부팅에 필요한 인프라스트럭처를 정의합니다. 보안 부팅에서 사용되는 용어에 대한 간략한 소개는 자세한 내용을 이해하고자 하는 OS에게 유용할 것입니다.

보안 부팅은 실행 중인 시스템과 해당 데이터를 보호하지 않습니다. 보안 부팅은 부팅 프로세스에서 구성 요소가 인증되지 않은 경우 OS로 부팅을 중지하여 시스템이 숨겨진 멀웨어를 실행하지 못하도록 합니다.

이러한 키워드는 보안 부팅의 기본입니다. UEFI 사양은 이러한 키워드에 대해 자세히 설명합니다. 이러한 사양은 바이너리에 서명하는 방법을 자세히 설명합니다(특히 섹션 28 참조).

인증 변수: UEFI는 인증 모듈 또는 정품 코드 모듈만 쓸 수 있는, 즉 키 인증서가 있는 코드 모듈만 쓸 수 있는 인증 변수라고 하는 서비스를 제공합니다. 그러나 모든 당사자가 이러한 변수를 읽을 수 있습니다.

PK(Platform Key): 플랫폼 키는 플랫폼 소유자와 플랫폼 제조업체가 NVM에 설치한 펌웨어 간의 신뢰 관계를 설정합니다.

KEK: 키 교환 키는 운영 체제와 플랫폼 펌웨어 간의 신뢰를 설정합니다. KEK는 플랫폼 펌웨어와 통신하려는 OS 및/또는 타사 구성 요소에 의해 플랫폼에 설치됩니다.

DB: 플랫폼 펌웨어와 상호 작용하도록 승인된 코드 모듈의 공개 키와 인증서를 보유한 승인된 데이터베이스입니다.

DBX: 블랙리스트에 오른 DB입니다. 이러한 인증서와 일치하는 코드 모듈은 로딩을 시작할 수 없습니다.

서명: 서명할 바이너리의 개인 키 및 해시에 의해 서명이 생성됩니다.

인증서: 이미지에 서명하는 데 사용되는 개인 키에 해당하는 공개 키가 포함된 Authenticode 인증서입니다.    

UEFI 플랫폼 펌웨어에서는 CA(Certification Authority)에서 서명한 타사 드라이버, 옵션 ROM 및 OS 로더를 로드합니다(Microsoft의 경우). 모든 하드웨어 공급업체는 UEFI BIOS에 드라이버를 기록하고 Microsoft에서 서명하여 UEFI 플랫폼에서 실행되도록 할 수 있습니다.  OEM은 키 공개 부분을 플랫폼 DB에 설치하고 UEFI 로더 프로토콜 서비스는 인증된 DB에 대해 바이너리의 서명을 검증한 후 플랫폼에서 실행되도록 허용합니다. 이 인증 체인은 UEFI에서 OS 로더 및 OS까지 계속됩니다.

요약하면 UEFI를 통해 서명되고 해당 키가 DB에 있는 OS 로더를 실행할 수 있습니다. 이 주요 메커니즘은 OS 로더 또는 옵션 ROM이 모든 당사자가 승인했지만 수정하지 않은 경우에만 실행되도록 합니다.

SLN311108_ko__1i_OS&Application_Secure_Boot_overview_vb_v1
그림 1: UEFI 플랫폼 펌웨어

Proprietà articolo

Ultima data di pubblicazione

21 feb 2021

Versione

3

Tipo di articolo

Solution

Torna all'inizio