Secure Boot

Secure Boot (з англ. — «безпечне завантаження») — протокол, що є частиною специфікації UEFI[1]. Полягає в перевірці електронного цифрового підпису виконуваних EFI-застосунків, з використанням асиметричної криптографії щодо ключів, які зберігаються в системному сховищі ключів.

Історія

2011 року Microsoft включила у вимоги для сертифікації комп'ютерів під керуванням Windows 8 умову постачання таких систем із увімкненим Secure Boot з використанням ключа Microsoft. Більш того, для ARM-систем (смартфони та деякі ноутбуки) вимагалася неможливість відключення Secure Boot. Це викликало суспільний резонанс і критику в бік Microsoft, оскільки такі вимоги значно ускладнювали, а в разі ARM-систем унеможливлювали встановлення операційних систем, відмінних від Microsoft Windows[2][3][4].

Опис

Автентифіковані змінні

Автентифіковані змінні (Authenticated Variable) — змінні, для змінення яких потрібна автентифікація. Secure Boot передбачає зберігання публічних ключів, підписів та гешів застосунків у автентифікованих змінних, що зберігаються в незалежній пам'яті. Такі змінні можна перезаписати двома способами[5][6][7]:

  • нові значення мають бути підписані відомим ключем;
  • якщо система перебуває в режимі налаштування або аудиту, то в ці змінні можна записувати непідписані значення.

Використовувані змінні

  • Platform Key (PK) — публічний ключ власника платформи. Підписи відповідним приватним ключем необхідні для змінення PK, KEK, db і dbx (описано далі). Сховище PK має бути захищеним від втручання та видалення[8].
  • Key Exchange Key (KEK) — публічні ключі операційних систем (ОС). Підписи відповідними приватними ключами необхідні змінення баз даних підписів (db, dbx, описано далі). Сховище KEK має бути захищеним від втручання[8].
  • Бази даних підписів (db, dbx) — бази даних підписів та гешів довірених застосунків (db) та недовірених застосунків (dbx).
  • Machine Owner Key (MOK) — реалізація ключа Secure Boot специфічна для ОС сімейства Linux. Багато варіантів Linux підтримують Secure Boot, але він створює проблеми при використанні нестандартних ядер ОС і модулів. Для обходу цієї проблеми розроблено концепт МОК. МОК може використовуватися з підписаним завантажувачем Shim для забезпечення керування ключами на рівні користувач/системний адміністратор.

Режими роботи

Setup Mode (режим налаштування)

Перехід у цей режим можливий із режиму користування очищенням PK.

У цьому режимі для запису PK, KEK, db, dbx не потрібно автентифікації.

Запис PK переводить систему в режим користування. Запис одиниці в спеціальну змінну AuditMode (доступна для запису тільки в режимах налаштування та користування) переводить систему в режим аудиту.

Audit Mode (режим аудиту)

Перехід у цей режим можливий з режиму налаштування або режиму користування записом одиниці в змінну AuditMode. При зміненні режиму на режим аудиту очищається PK.

У цьому режимі не потрібно автентифікації для запису PK, KEK, db, dbx. У режимі аудиту можна запускати образи, що не пройшли перевірки, а інформація про всі етапи валідації образів буде записана в спеціальну таблицю, доступну з операційної системи, що дозволяє випробовувати комбінації збережених ключів і підписів, не побоюючись втратити працездатність системи[9].

Запис PK переводить систему в розгорнутий режим.

User Mode (режим користування)

Перехід у цей режим можливий із режиму налаштування записом PK, або з розгорнутого режиму платформозалежним методом (не обумовлено специфікацією).

У цьому режимі для змінення ключових сховищ потрібна автентифікація, а також виконується валідація образів, що запускаються.

Видалення PK переводить систему в режим налаштування. Запис одиниці в змінну AuditMode переводить систему в режим аудиту. Запис одиниці в змінну DeployedMode (доступну для запису тільки в режимі користувача) переводить систему в розгорнутий режим.

Deployed Mode (розгорнутий режим)

Перехід у цей режим можливий із режиму аудиту записом PK, або з режиму користування записом одиниці в змінну DeployedMode.

Найбезпечніший режим[9]. Відрізняється від режиму користування переведенням усіх змінних режимів (AuditMode, DeployedMode, SetupMode) у режим тільки для читання.

Перехід у інші режими (користування або налаштування) можливий тільки через платформозалежні методи або автентифіковане очищення PK[9].

Процес авторизації

Перед запуском невідомого UEFI-образу він має пройти процес авторизації.

  1. Скидання. На цьому етапі відбувається ініціалізація платформи під час завантаження.
  2. Ініціалізація сховища ключів.
  3. Валідація UEFI-образу. Для успішної авторизації підпис або геш образу повинні міститися в db, і не повинні міститися в dbx.
  4. Якщо UEFI-образ не пройшов валідації, прошивка може використовувати інші методи валідації (наприклад, запитати у авторизованого користувача приватний ключ, який відповідає публічному ключу в KEK). Результатом на цьому етапі може бути дозвіл (крок 8), відмова (крок 6) або відтермінування.
  5. У разі відтермінування інформація про підпис додається до спеціальної таблиці, доступної з операційної системи.
  6. У разі відмови або відтермінування робиться спроба виконання наступного варіанта завантаження (крок 3).
  7. У разі дозволу підпис образу зберігається до бази даних підписів.
  8. Запуск образу.

Оновлення бази даних довірених програм також доступне з операційної системи[10].

Ключі користувача

Користувач може самостійно згенерувати та встановити власні ключі. «Повний цикл» генерування ключів реалізовано як для ОС Linux, так і для Windows.

Як правило, в процесі генерування ключів застосовується такий ланцюжок перетворень:

PEM => DER => ESL => AUTH

Для Windows є спеціальні інструменти від Microsoft, а на Linux використовують OpenSSL і набір утиліт EfiTools. Існує проблема, пов'язана з відсутністю інтерфейсу для встановлення ключів користувача в BIOS деяких виробників. Для цього може знадобитись окрема утиліта.

Додаткову складність створює необхідність сумісності з обладнанням від Майкрософт у низці випадків. Перевірка працює в обидва боки і без ключів Майкрософт їхнє ПЗ та апаратура (наприклад, GOP-драйвери зовнішніх відеокарт та PXE-драйвери зовнішніх мережевих карт, а значить і самі карти) не працюватимуть. Тобто на певному рівні довіритися Майкрософт доведеться в будь-якому разі.

Користувачеві доведеться додати ключ від Майкрософт до db або КЕК, що створює додаткові ризики для безпеки.

На одному комп'ютері може бути кілька КЕК та db. Таким чином, може утворитися кілька гілок довіри. Або навпаки, одна db може бути підписана кількома КЕК (хоча це й не потрібно)

Розвиток механізму

HP Sure Start — рішення від компанії Hewlett-Packard, фактично є вбудованим апаратно-програмним засобом довіреного завантаження. Здійснює функцію захисту ключів Secure Boot. Secure Boot у його поточному вигляді Майкрософт пропонує як мінімальний стандарт безпеки при захисті від руткітів. Деякі виробники при цьому розробляють свої рішення, що забезпечують довірене завантаження у зв'язці з рішенням від Microsoft, прикладом такого рішення є HP Sure Start[11].

Переваги та недоліки

Переваги

  • Захист від шкідливого ПЗ

При втручанні руткітів у критичні компоненти операційної системи підписи відповідних компонентів втрачають валідність. Таку операційну систему просто не буде завантажено[12].

  • Локальні безпекові політики

За необхідності обмежити список можливих для запуску операційних систем це можна зробити, внісши відповідні підписи до баз даних підписів[12].

Недоліки

  • Вибір обладнання

Драйвери пристроїв, підтримка яких необхідна на стадії завантаження системи, повинні мати підпис, який коректно проходив би перевірку на всіх платформах, де такі пристрої можуть використовуватися. Для цього всім виробникам такого обладнання доведеться узгоджуватися з усіма виробниками платформ для додавання їхніх ключів до сховищ систем. Або такі драйвери доведеться підписувати ключем, який вже міститься в більшості платформ, але тоді виробникам доведеться повністю покладатися на власника такого ключа (наприклад, Майкрософт підписує завантажувач shim[13][14]). Також можна створювати підписи ланцюжком, що закінчується ключем, який міститься в більшості платформ, але навіть цей підхід має недолік — при видаленні відповідного ключа зі сховища ключів (наприклад, щоб заборонити завантаження певної операційної системи) драйвери також втрачають валідність[12].

  • Вибір операційної системи

Постачальники систем не повинні реалізовувати можливості відключення Secure Boot. Процедура додавання сторонніх ключів до сховища має бути недоступною для шкідливого програмного забезпечення, наслідком чого є ускладнення цієї процедури для користувачів. Два цих фактори разом значно ускладнюють використання непідписаних операційних систем, а також підписаних невідомим ключем для платформи[12].

  • Вразливості у реалізації

Конкретні реалізації прошивок пристроїв різних виробників можуть містити вразливості, експлуатація яких може призвести до обходу механізму Secure boot або його нівелювання[15][16].

  • Робота із засобами довіреного завантаження

Механізм Secure Boot може перешкоджати роботі засобів довіреного завантаження (ЗДЗ). Оскільки ЗДЗ підміняють завантажувач ОС власним завантажувачем, що у загальному випадку не має підпису, Secure Boot може заблокувати завантажувач ЗДЗ і, отже, перешкодити роботі ЗДЗ в цілому.

Є два способи вирішення цієї проблеми:

  1. Вимкнення Secure Boot на комп'ютерах зі встановленим ЗДЗ. Прикладом такого підходу є ЗДЗ SafeNode System Loader[17].
  2. Постачання разом із ЗДЗ комплекту автентифікованих змінних, що засвідчують валідність підпису завантажувача. Після встановлення змінних робота ЗДЗ проводитиметься без обмежень з боку Secure Boot. Прикладом такого підходу є ЗДЗ Dallas Lock. Разом із ключами в такому разі постачається й утиліта keytool.efi[18].
  • UEFI BIOS деяких виробників мають слабко розвинений інтерфейс для керування Secure Boot

Див. також

Примітки

  1. Специфікація UEFI.
  2. Will your computer’s «Secure Boot» turn out to be «Restricted Boot»? (англ.). Free Software Foundation. Архів оригіналу за 28 листопада 2013. Процитовано 23 грудня 2016.
  3. Windows 8 Secure Boot: The Controversy Continues (англ.). PC World. Архів оригіналу за 31 березня 2017. Процитовано 23 грудня 2016.
  4. Is Microsoft Blocking Linux Booting on ARM Hardware? (англ.). Computerworld UK. Архів оригіналу за 5 квітня 2016. Процитовано 23 грудня 2016.
  5. Специфікація UEFI, с. 1817.
  6. Специфікація UEFI, с. 1818.
  7. Специфікація UEFI, с. 1828.
  8. а б Специфікація UEFI, с. 1819.
  9. а б в Специфікація UEFI, с. 1816.
  10. Специфікація UEFI, с. 1803—1834.
  11. Technical white paper HP Sure Start (англ.). Архів оригіналу за 19 листопада 2020. Процитовано 6 квітня 2022.
  12. а б в г Jeremy Kerr, Matthew Garrett, James Bottomley. UEFI Secure Boot Impact on Linux (PDF) (англ.). Архів (PDF) оригіналу за 19 липня 2017. Процитовано 23 грудня 2016.
  13. mjg59 | Secure Boot bootloader for distributions available now. Архів оригіналу за 25 жовтня 2019. Процитовано 25 жовтня 2019.
  14. Secure the Windows 10 boot process — Microsoft 365 Security | Microsoft Docs. Архів оригіналу за 25 жовтня 2019. Процитовано 25 жовтня 2019.
  15. Corey Kallenberg, Sam Cornwell, Xeno Kovah, John Butterworth. Setup For Failure: Defeating Secure Boot (PDF) (англ.). The MITRE Corporation. Архів (PDF) оригіналу за 23 грудня 2016. Процитовано 23 грудня 2016.
  16. Lucian Constantin. Researchers demo exploits that bypass Windows 8 Secure Boot (англ.). ITworld. Архів оригіналу за 24 грудня 2016. Процитовано 23 грудня 2016. [Архівовано 2016-12-24 у Wayback Machine.]
  17. Руководство администратора к СДЗ SafeNode System Loader (рос.). Архів оригіналу за 14 серпня 2020. Процитовано 6 квітня 2022.
  18. Руководство по эксплуатации СДЗ Dallas Lock (PDF) (рос.). Архів (PDF) оригіналу за 2 квітня 2022. Процитовано 6 квітня 2022.

Література

Read other articles:

Запрос «ПРС» перенаправляется сюда; о противоракетной системе №1 см. ПРС-1. Приводной радиомаяк аэропорта Альпе-Адрия Ближний приводной радиомаяк аэропорта Богашёво Приводная радиостанция (ПРС), приводной радиомаяк (ПРМ) (NDB, англ. non-directional beacon) — наземный радиопере

 

Fathul Bari PengarangIbnu Hajar Al-AsqalaniJudul asliFath Al-Bari bisyarhi Shahih Al-BukhariNegaraMesirBahasaBahasa Arab (utama) dan berbagai bahasa.SubjekHadis, Aqidah, FiqihGenreSyarahPenerbitBerbagai penerbitTanggal terbitcirca 773-852 H / 1372-1449 MDidahului olehShahih Al-Bukhari Diikuti olehAt-Tanbih 'ala al-Mukhalafat al-Aqidah fi Fath al-Bari oleh Ibnu Baz dan Ali bin Abdul Aziz bin Ali Asy-Syibil  Fathul Bari (Arab: فتح الباري) atau lengkapnya b...

 

أولاد عبد السلام تقسيم إداري البلد المغرب  الجهة فاس مكناس الإقليم تاونات الدائرة تيسة الجماعة القروية عين معطوف المشيخة جعافرةالعليا السكان التعداد السكاني 272 نسمة (إحصاء 2004)   • عدد الأسر 47 معلومات أخرى التوقيت ت ع م±00:00 (توقيت قياسي)[1]،  وت ع م+01:00 (توقيت صيفي) ...

Johnny HazzardLahirFrankie Valenti[1]21 September 1977 (umur 46)Cleveland, OHTinggi5 ft 8 in (1,73 m)Berat150 pon (68 kg)Situs webhttp://www.hazzardcentral.com Johnny Hazzard (lahir Frankie Valenti lahir 21 September 1977) adalah mantan aktor porno, model, dan artis rekaman asal Amerika Serikat yang tampil dalam film porno gay dan biseksual untuk beberapa studio, kebanyakan untuk Rascal Video.[2] Kebanyakan videonya disutradarai oleh Chi Chi LaRue...

 

Село Гвозниця Долішняпол. Gwoźnica Dolna Координати 49°50′15″ пн. ш. 21°57′16″ сх. д. / 49.83750000002777369° пн. ш. 21.95472222002777940° сх. д. / 49.83750000002777369; 21.95472222002777940Координати: 49°50′15″ пн. ш. 21°57′16″ сх. д. / 49.83750000002777369° пн. ш. 21.95472222002777940° сх....

 

Faye Sha Sri Endang Purwaningsih (Lahir 02 Agustus 1996) adalah musisi berkebangsaan Indonesia dari Jepara Jawa Tengah. Yang membangun Faye Sha, dengan partnernya Nina Nur Qalisha ( Lahir 30 September 1991) Faye ShaInformasi latar belakangNama lahirSri Endang PurwaningsihLahir02 Agustus 1996 Jepara, Indonesia.GenreElectronic EBM TechnoInstrumenDigital audio workstationAnggotaNina Nur Qalisha (2023) Tentang Faye Sha Didirikan oleh Sri Endang Purwaningsih (Lahir 02 Agustus 1996) Dan Nina Nur Qa...

This article may require copy editing for grammar, style, cohesion, tone, or spelling. You can assist by editing it. (April 2023) (Learn how and when to remove this template message) Criminal law Elements Actus reus Mens rea Causation Concurrence Scope of criminal liability Accessory Accomplice Complicity Corporate Principal Vicarious Severity of offense Felony (or Indictable offense) Infraction (also called violation) Misdemeanor (or Summary offense) Inchoate offenses Attempt Conspiracy Inci...

 

US-based investment management firm based in Bethesda, Maryland AdvisorShares Investments, Inc.TypePrivate Limited Liability Company (LLC)IndustryInvestment ManagementFounded2006FounderNoah HammanHeadquartersBethesda, MarylandKey peopleNoah HammanDan Ahrens James CarlProducts22 Exchange-Traded Funds (ETFs): U.S. and International Equity, Fixed Income and Alternatives [1]AUMUS$1.38 billion [2]ParentFund.comWebsiteadvisorshares.com AdvisorShares Investments is a US-based investm...

 

Danish physician (1867–1928) Johannes FibigerBornJohannes Andreas Grib Fibiger(1867-04-23)23 April 1867Silkeborg, DenmarkDied30 January 1928(1928-01-30) (aged 60)Copenhagen, DenmarkAlma materUniversity of CopenhagenKnown forInduction of cancer using Spiroptera carcinomaSpouse Mathilde Fibiger ​(m. 1894)​Children2Awards1926 Nobel Prize in Physiology or MedicineScientific careerFieldsMedicineParasitologyInstitutionsUniversity of CopenhagenRoyal Dani...

هذه المقالة بحاجة لصندوق معلومات. فضلًا ساعد في تحسين هذه المقالة بإضافة صندوق معلومات مخصص إليها. هذه المقالة يتيمة إذ تصل إليها مقالات أخرى قليلة جدًا. فضلًا، ساعد بإضافة وصلة إليها في مقالات متعلقة بها. (أبريل 2016) قاعدة جينكن هو مبدأ جراحي يتعلق بجراحة اغلاق الجروح. وهو ي�...

 

Formula One motor race This article is about the Formula One race. For other uses, see Monaco Grand Prix (disambiguation). Monaco GP redirects here. For the video game, see Monaco GP (video game). Monaco Grand PrixCircuit de MonacoRace informationNumber of times held80First held1929Most wins (drivers) Ayrton Senna (6)Most wins (constructors) McLaren (15)Circuit length3.337 km (2.074 miles)Race length260.286 km (161.734 miles)Laps78Last race (2023)Pole position Max Verstapp...

 

Iglesia del Señor de las Misericordias Patrimonio cultural, artístico y religioso de Medellín Fachada principal.LocalizaciónPaís ColombiaDivisión MedellínDirección Medellín, Antioquia ColombiaInformación religiosaCulto CatólicoDiócesis Arquidiócesis de MedellínHistoria del edificioConstrucción 1921-1931Arquitecto Andrés Lorenzo HuarteDatos arquitectónicosTipo IglesiaEstilo Neogótico florido[editar datos en Wikidata] La iglesia del Señor de las Misericordias e...

Indian sabre (fencer) Vishal ThaparPersonal informationNationalityIndianBorn (1994-04-06) 6 April 1994 (age 29)Jammu, Jammu and Kashmir, IndiaSportCountry India Medal record Men's fencing Representing  India Commonwealth Fencing Championships 2018 Canberra Sabre Team Vishal Thapar is an Indian sabre fencing[1] player. He belongs to Jammu and Kashmir UT of India. He won a gold medal in commonwealth fencing championship in Australia in 2018.[2] He will represent I...

 

This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Choice Is Yours AAA EP – news · newspapers · books · scholar · JSTOR (July 2010) (Learn how and when to remove this template message) 2008 EP by AAAChoice Is YoursEP by AAAReleasedJune 18, 2008GenreJ-popLabelavex traxAAA chronology Around(2007) Cho...

 

ГЕС-ГАЕС Капрун Головна Нижній балансуючий резервуар Klammsee 47°15′33″ пн. ш. 12°44′31″ сх. д. / 47.2593055555837722° пн. ш. 12.741944444471779° сх. д. / 47.2593055555837722; 12.741944444471779Координати: 47°15′33″ пн. ш. 12°44′31″ сх. д. / 47.2593055555837722° пн. ш. 12.74194444447177...

Biografi ini tidak memiliki sumber tepercaya sehingga isinya tidak dapat dipastikan. Bantu memperbaiki artikel ini dengan menambahkan sumber tepercaya. Materi kontroversial atau trivial yang sumbernya tidak memadai atau tidak bisa dipercaya harus segera dihapus.Cari sumber: Aji Muhammad Muslihuddin – berita · surat kabar · buku · cendekiawan · JSTOR (Pelajari cara dan kapan saatnya untuk menghapus pesan templat ini) Biografi ini memerlukan lebih banyak...

 

← 2021 •  • 2025 → Elecciones provinciales de Argentina de 202322 Gobernadores23 legislaturas Tipo Provincial (ejecutivas y legislativas) Período 10 de diciembre de 202310 de diciembre de 2027 Gobernadores electos por provincia Resultados por partido político Resultados por frente electoral    10    Juntos por el Cambio   4   Unión Cívica Radical   3   Propuesta Repub...

 

This article does not cite any sources. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: 2008 Langerado Music Festival – news · newspapers · books · scholar · JSTOR (February 2010) (Learn how and when to remove this template message) Campground at Langerado 2008 The sixth Langerado Festival was held March 6, 2008 through March 9, 2008, making it one day longer than ...

Dieser Artikel befasst sich mit dem Masters-Turnier der Herren in Madrid, zum Damen-Turnier siehe WTA Madrid, zum anderen Herrenturnier in Madrid (1972–1994) siehe ATP Madrid. Mutua Madrid Open ATP Tour Austragungsort MadridSpanien Spanien Erste Austragung 2002 Kategorie Masters 1000 Turnierart Freiplatzturnier Spieloberfläche Sand Auslosung 56E/28Q/28D Preisgeld 2.614.465 € Center Court 12.500 Zuschauer Website Offizielle Website Stand: 28. April 2021 Center Court Manuel...

 

G20 > 第2回20か国・地域首脳会合 2009年4月2日、大ロンドン・ニューアム・ロンドン特別区にて第2回20か国・地域首脳会合に出席した首脳 第2回20か国・地域首脳会合(だい2かい20かこく・ちいきしゅのうかいごう、別名:G20首脳会合、G20金融サミット、G20ロンドン・サミット、英語:G20 London Summit)は、2009年に開催された20か国・地域の首脳会合である。正式名称は�...

 

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!