Visão geral da inicialização segura

Este artigo explicará a inicialização segura e como ela é estendida para Linux; especificamente RHEL7. Ele também fornecerá alguns insights sobre a 'inicialização confiável do kernel' e as implicações nas aplicações no espaço do usuário.  

A inicialização segura foi projetada para evitar que os kits-base sejam instalados no momento da inicialização na memória usando mecanismos como a option ROM e os MBRs para serem carregados no sistema operacional, manipulando o controle do sistema e permanecendo ocultos de programas antimalware.  Esse problema tem aumentado ao longo do tempo e tem uma participação importante na corrupção/perda e no roubo de dados. O malware pode ser fornecido entre o BIOS e o carregador do sistema operacional. Ele também pode ser fornecido entre o carregador do sistema operacional e o sistema operacional.

O UEFI é o novo padrão de interface de hardware/software para plataformas de servidor modernas com um conjunto avançado de interface do usuário, modularidade e interfaces padrão para IHVs para desenvolver drivers de dispositivo em UEFI que funcionem perfeitamente em um ambiente de pré-inicialização, que é mais flexível do que um ambiente preexistente do BIOS. A adoção do UEFI entre os sistemas operacionais e as plataformas continua crescendo, e muitas das principais versões de sistema operacional client e de servidor têm suporte para UEFI. 

A Microsoft determinou diretrizes de normalização de UEFI que identificaram uma maneira de impedir que os kits-base de malware de tempo de inicialização sejam instalados usando um mecanismo de carregamento e execução de binários não modificados e conhecidos da plataforma. Esse mecanismo é chamado de inicialização segura. Consulte o artigo sobre a inicialização segura da Microsoft para saber como a Microsoft e outros fornecedores de sistema operacional incorporaram maneiras diferentes de realizar a inicialização segura. 

As plataformas de UEFI protegidas carregam somente binários de software, como, por exemplo, drivers de option ROM, carregadores de inicialização e carregadores de sistema operacional não modificados e de confiança da plataforma.  A especificação do UEFI descreve em detalhes o mecanismo de inicialização segura:  

Inicialização segura do UEFI:

A especificação do UEFI define a infraestrutura necessária para a inicialização segura. Forneceremos uma breve introdução sobre a terminologia usada na inicialização segura que será útil para os usuários que desejam mais detalhes.

A inicialização segura não protege o sistema durante a execução e os seus dados. A inicialização segura interrompe a inicialização no sistema operacional se qualquer componente não for autenticado no processo de inicialização, o que impedirá que os sistemas executem um malware oculto.

Essas palavras-chave são a base da inicialização segura. A especificação do UEFI oferece mais explicações sobre essas palavras-chave. Nessas especificações, há explicações detalhadas sobre como assinar os binários; consulte especificamente a seção 28.

Variáveis autenticadas: o UEFI oferece um serviço chamado variáveis autenticadas, que significa que somente um módulo certificado ou módulo de código autêntico pode fazer gravações, ou seja, somente um módulo de código com um certificado de chave pode fazer gravações. No entanto, qualquer parte pode ler essas variáveis.

Chave da plataforma (CP): a chave da plataforma estabelece uma relação de confiança entre o proprietário da plataforma e o firmware que é instalado no NVM pelo fabricante da plataforma.

Chave de criptografia de chave (KEK): estabelece a confiança entre os sistemas operacionais e o firmware da plataforma. As chaves de criptografia de chave são instaladas na plataforma pelos componentes do sistema operacional e/ou de terceiros que desejam se comunicar com o firmware da plataforma.

Banco de dados autorizado (DB): retém as chaves públicas e os certificados do módulo de código que está autorizado a interagir com o firmware da plataforma.

DBX: banco de dados da lista negra. Qualquer módulo de código que corresponda a esses certificados não terá permissão para iniciar o carregamento.

Assinatura: a assinatura é gerada pela chave privada e pelo hash do binário que será assinado.

Certificado: certificado de código autenticador que contém a chave pública que corresponde à chave privada usada para assinar a imagem    

O firmware da plataforma do UEFI carregará os drivers de terceiros, as option ROMS e os carregadores de sistema operacional assinados pela CA (Certificate Authority, autoridade de certificação), neste caso, a Microsoft. Qualquer fornecedor de hardware pode gravar seus drivers no BIOS do UEFI e obter a assinatura da Microsoft para sua execução na plataforma UEFI.  Os OEMs instalam a parte pública da chave no banco de dados da plataforma e o serviço de protocolo do carregador do UEFI valida a assinatura do binário em relação ao banco de dados autorizado antes que ele possa ser executado na plataforma. Essa cadeia de autenticação continua do UEFI para o carregador do sistema operacional e o sistema operacional.

Em resumo, o UEFI permite a execução dos carregadores de sistema operacional que sejam assinados e cuja chave esteja presente no banco de dados. Esse mecanismo de chave garante que o carregador do sistema operacional ou as option ROMs sejam executados somente se forem autorizados e não tiverem sido modificados por nenhuma parte.


Figura 1: firmware da plataforma do UEFI