跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

Översikt över säker start

摘要: En översikt över säker start och förklaring av terminologin.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

症状

I den här artikeln beskrivs säker start och hur det utökas till Linux, specifikt RHEL7. Den innehåller även information om Linux ”betrodda kärnstart” och följder för användarutrymmesprogram.  

Säker start är utformat för att förhindra spökprogram. Spökprogram installeras i minnet vid start genom att funktioner som tillvals-ROM och MBR laddas i operativsystemet och kapar systemkontrollen samtidigt som programmet är dolt för skydd mot skadlig kod.  Problemet har ökat över tid och har stor betydelse vid förlust/skador av data och stöld. Skadliga program kan ta sig in mellan BIOS och OS-inläsning. Det kan även ta sig innan mellan OS-inläsning och OS.

UEFI är den nya standarden för maskin-/programvarugränssnitt för moderna serverplattformar. UEFI har en rik uppsättning användargränssnitt, modulfunktioner och standardgränssnitt så att fristående hårdvaruleverantörer kan utveckla drivrutiner i UEFI som fungerar sömlöst i en förstartsmiljö som är mer flexibel än en äldre BIOS-miljö. Användningen av UEFI i operativsystem och plattformar fortsätter att växa och många av de större klient- och serverversionerna för operativsystem har stöd för UEFI. 

Standardiseringsorganisationen för UEFI, som leds av Microsoft, har hittat ett sätt att förhindra att skadliga spökprogram installeras vid start genom en funktion för att ladda och exekvera binärfiler som är omodifierade och kända för plattformen. Funktionen kallas säker start. Gå till Microsofts metod för säker start för att läsa Microsofts information och olika OS-leverantörers införlivade metoder för att uppnå säker start. 

Skyddade UEFI-plattformar laddar endast binära programvarufiler, t.ex. drivrutinen för tillvals-ROM, startinläsare och OS-inläsare, som är oförändrade och betrodda av plattformen.  I UEFI-specifikation beskrivs funktionen för säker start i detalj.  

Säker start med UEFI:

I UEFI-specifikationen definieras infrastrukturen som krävs för säker start. Vi ger en kort förklaring av terminologin inom säker start för de som vill ha en bättre förståelse av UEFI.

Säker start skyddar inte systemet medan det körs eller dess data. Säker start slutar att starta till operativsystemet om någon komponent inte autentiseras i startprocessen, vilket förhindrar system från att köra dold skadlig programvara.

Det här är nyckelorden för säker start. UEFI-specifikationen innehåller mer information om nyckelorden. Specifikationer anger detaljerat för hur binärfiler signeras, särskilt i avsnitt 28.

Autentiserade variabler: UEFI tillhandahåller en tjänst som kallas autentiserade variabler, vilket innebär att endast en certifierad modul eller licensierad kodmodul kan skriva. Det vill säga att endast en kodmodul med nyckelcertifikat kan skriva. Men alla parter kan läsa variablerna.

Plattformsnyckel (PK): Plattformsnyckeln upprättar en förtroenderelation mellan plattformsägaren och fast programvara som är installerad i NVM av plattformstillverkaren.

KEK (Key Exchange Key): KEK upprättar förtroende mellan operativsystem och plattformens fasta programvara. KEK:er är installerade på plattformen av operativsystemet och/eller komponenter från tredje part som vill kommunicera med plattformens fasta programvara.

DB: Behörig databas som innehåller de offentliga nycklarna och certifikaten för kodmodulen som är behörig att interagera med plattformens fasta programvara.

DBX: Svartlistad databas. Kodmoduler som stämmer överens med dessa certifikat tillåts inte att läsas in.

Signatur: En signatur genereras av den privata nyckeln och hashen för binärfilen som ska signeras.

Certifikat: Autentiseringskodscertifikatet som innehåller den offentliga nyckeln som motsvarar den privata nyckeln som används för att signera bilden.    

Plattformens fasta UEFI-programvaran laddar drivrutiner, tillvals-ROM och OS-inläsare som är signerade av certifikatutfärdaren, i det här fallet Microsoft. Alla maskinvaruleverantörer kan skriva drivrutiner i UEFI BIOS och få det signerat av Microsoft för att köras på UEFI-plattformen.  OEM installerar den offentliga delen av nyckeln i plattformens databas och tjänsten UEFI-inläsningsprotokoll validerar signaturen för binärfilen mot den auktoriserade databasen innan den tillåts att köras på plattformen. Den här autentiseringskedjan fortsätter från UEFI till OS-inläsaren och operativsystemet.

Sammanfattningsvis tillåter UEFI körning av OS-inläsare som är signerade och vars nyckel finns i databasen. Nyckelfunktionen säkerställer att OS-inläsare eller tillvals-ROM endast tillåts att köras om de är auktoriserade och inte modifierade av någon part.

SLN311108_sv__1i_OS&Application_Secure_Boot_overview_vb_v1
Bild 1: UEFI-plattformens fasta programvara

文章属性
文章编号: 000145423
文章类型: Solution
上次修改时间: 21 2月 2021
版本:  3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。