跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

Přehled funkce Zabezpečené spouštění

摘要: Přehled zabezpečeného spouštění a vysvětlení terminologie.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

症状

Tento článek vysvětluje zabezpečené spouštění a jeho rozšíření na systém Linux, konkrétně verzi RHEL7. Také podává informace o funkci „trusted kernel Boot“ systému Linux a důsledcích pro aplikace v uživatelském prostoru.  

Zabezpečené spouštění má zabránit instalaci rootkitů do paměti při spouštění, které využívají mechanismů, jako je nástroj Option ROM a oddíl MBR, k načtení do OS a následnému převzetí kontroly nad systémem a ukrytí před antimalwarovými programy.  Tento problém se postupně rozšířil a má značnou roli při ztrátě/poškození dat a krádežích. Malware může být zaveden mezi systémem BIOS a zavaděčem operačního systému. Může také nastoupit mezi zavaděčem OS a operačním systémem.

UEFI představuje nový standard hardwarového/softwarového rozhraní pro moderní serverové platformy a disponuje obsáhlou sadou uživatelského rozhraní, modulárních funkcí a standardního rozhraní pro nezávislé prodejce hardwaru, kde je možný vývoj ovladačů zařízení v rozhraní UEFI, které bez problémů fungují v prostředí před spuštěním, které je flexibilnější než starší prostředí BIOS. Rozhraní UEFI je v operačních systémech a na platformách stále běžnější a podporuje je řada verzí významných klientských a serverových operačních systémů. 

Orgán pro standardy rozhraní UEFI vedený společností Microsoft identifikoval způsob, jak zamezit instalaci rootkitů při spouštění pomocí mechanismu načítání a spouštění binárních souborů, které jsou nezměněné a známé platformě. Tento mechanismus se nazývá zabezpečené spouštění – informace od společnosti Microsoft najdete v článku Microsoft Way of Secure Boot. Výrobci ostatních operačních systémů využili dalších způsobů bezpečného spouštění. 

Zabezpečené platformy UEFI načítají pouze softwarové binární soubory, například ovladače Option ROM, zavaděče spouštění, zavaděče OS, které jsou nezměněné a důvěryhodné pro platformu.  Specifikace UEFI zde podrobně popisuje mechanismus zabezpečeného spouštění.  

Zabezpečené spouštění UEFI:

Specifikace UEFI uvádí infrastrukturu potřebnou k zabezpečenému spouštění. Zde podáme krátký úvod do terminologie zabezpečeného spouštění, který ocení uživatelé se zájmem o hlubší vhled do tématu.

Zabezpečené spouštění nechrání spuštěný systém a jeho data. Zabezpečené spouštění zastavuje spuštění operačního systému, pokud není v procesu spouštění ověřena některá komponenta, což zabraňuje spuštění skrytého malwaru v systému.

Pro zabezpečené spouštění jsou klíčové tyto pojmy: Článek Specifikace UEFI poskytuje další informace o těchto klíčových slovech. Dozvíte se v něm přesně, jak podepsat binární soubory, konkrétně v části 28.

Ověřené proměnné: Rozhraní UEFI poskytuje službu ověřených proměnných, u kterých mohou zapisovat pouze certifikovaný modul nebo modul s autentickým kódem, tj. pouze kódový modul s certifikátem klíče. Tyto proměnné ale může číst kdokoli.

Klíč platformy (PK): Klíč platformy zajišťuje důvěryhodnost mezi vlastníkem platformy a firmwarem, který je instalován do paměti NVM výrobcem platformy.

KEK: Výměna klíče zajišťuje důvěryhodnost mezi operačním systémem a firmwarem platformy. Prvky KEK instalují na platformu komponenty operačního systému nebo třetích stran, které chtějí komunikovat s firmwarem platformy.

DB: Ověřená databáze s veřejnými klíči a certifikáty kódového modulu autorizovaná k interakci s firmwarem platformy.

DBX: Zakázaná databáze. Všem kódovým modulům, které odpovídají těmto certifikátům, bude zakázáno zahájit načítání.

Podpis: Podpis je vytvořen soukromým klíčem a hashem binárního souboru, který bude podepsán.

Certifikát: Certifikát Authenticode obsahující veřejný klíč, který odpovídá soukromému klíči použitému k podpisu bitové kopie.    

Firmware platformy UEFI načte ovladače třetích stran, paměti Option ROM a zavaděče OS podepsané certifikační autoritou (CA), v tomto případě společností Microsoft. Dodavatelé hardwaru mohou zapsat své ovladače do rozhraní UEFI BIOS a nechat je podepsat společností Microsoft, aby se mohly spouštět na platformě UEFI.  Výrobci instalují veřejnou část klíče do databáze platformy a služba protokolu zavaděče UEFI ověřuje podpis binárního souboru v autorizované databázi. Až poté je povoleno spuštění na platformě. Tento řetězec ověřování pokračuje z rozhraní UEFI do zavaděče OS a operačního systému.

Když to shrneme, rozhraní UEFI umožňuje spouštět zavaděče OS, které jsou podepsané a jejichž klíč se nachází v databázi. Mechanismus klíče zajišťuje, že se zavaděč OS nebo paměti Option ROM mohou spustit, pouze pokud jsou ověřené a nejsou nikým upravené.

SLN311108_cs__1i_OS&Application_Secure_Boot_overview_vb_v1
Obrázek 1: Firmware platformy UEFI

文章属性
文章编号: 000145423
文章类型: Solution
上次修改时间: 21 2月 2021
版本:  3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。