dodany: 23.07.2012 | tagi: , , ,

Autor:

Jak działa UEFI Secure Boot?

1

Na początku czerwca, Tim Burke – wiceprezes Linux Engineering – opisał dla www.redhat.com mechanizm działania Unified Extensible Firmware Interface (UEFI) Secure Boot.

Linux od lat dba o swój status najbezpieczniejszego systemu operacyjnego. Nie dziwi więc fakt, że jest tak chętnie instalowany, zarówno przez firmy, jak i prywatnych użytkowników.

Przyczynia się do tego również Red Hat – światowy lider rozwiązań open source’owych i twórca dystrybucji Red Hat Enterprise Linux i Fedory – który aktywnie angażuje się w działania mające na celu poprawę bezpieczeństwa w dziedzinie IT.

Jednym z zagrożeń, na temat którego pojawia się ostatnio dużo informacji w mediach, są złośliwe modyfikacje niskopoziomowego oprogramowania (firmware’u), które mogą prowadzić do osłabienia całego systemu operacyjnego już w trakcie wczesnego bootowania (startowania) sprzętu. Inżynierowie Red Hat, w celu przeciwdziałania takim uszkodzeniom systemów, pracują nad zapewnieniem integralności początkowej fazy bootowania sprzętu – począwszy od firmware’u, aż do kernela.

Chcąc stawić czoła temu wyzwaniu, nadchodzącą generację firmware’u systemowego, nazwaną Unified Extensible Firmware Interface Secure Boot, wyposażyli w mechanizm sekwencji startupu, umożliwiający przekazywanie kontroli systemowi operacyjnemu, który nie został w żaden sposób zmanipulowany (zhakowany).

Bazowali na sprawdzonych, znanych rozwiązaniach. Mechanizm używany do potwierdzenia integralności systemu operacyjnego nie jest niczym nowym – korzysta z tradycyjnego klucza elektronicznego oraz wariacji sum kontrolnych. Te sposoby były już stosowane w przeszłości, ale na wyższych poziomach, czyli np. w działającym oprogramowaniu.

Innowacyjność aktualnego rozwiązania polega na tym, że weryfikacja bezpieczeństwa ma się odbywać w najwcześniejszych fazach sekwencji startowej. Wykonywanie takiej weryfikacji podczas startowania ma krytyczne znaczenie i zapewnia bezpieczny, bo zweryfikowany, punkt startowy.

Unified Extensible Firmware Interface Secure Boot nie jest nowością także pod tym względem, że wykorzystywany był w systemach operacyjnych Microsoft Windows. Jednakże dużą wadą pierwotnej implementacji UEFI SB był brak możliwości łatwego zintegrowania go z innymi systemami.

Red Hat przy współpracy z konsorcjum The Linux Foundation, twórcami sprzętu, a także z Microsoftem, przez wiele miesięcy pracował nad tym, żeby wypracować taki mechanizm UEFI Secure Boot, który będzie przystępny dla użytkowników.

Celem inżynierów z Red Hat było także dopracowanie mechanizmu UEFI SB po to, aby użytkownicy mogli go bez problemu zaadaptować nie tylko w dystrybucji Red Hat, ale także innych dystrybucjach linuksowych. Nie był to łatwy proces. Przed inżynierami z Red Hat pojawiło się wiele wyzywań. Największą trudność sprawiało im – jeśli chodzi o bezpieczeństwo – utrzymywanie kompromisu między efektywnością działania a łatwością użycia.

Dlaczego?

Mechanizm UEFI Secure Boot wymaga parowania kluczy bezpieczeństwa z niskopoziomowym oprogramowaniem systemu operacyjnego podpisanego odpowiednim kluczem. Dużym wyzwaniem było znaleźć sposób, w jaki firmware ma być zaopatrzony oraz aktualizowany w zestaw kluczy bezpieczeństwa. Wymaganie przeprowadzania takiej operacji od użytkowników mijałoby się z postawionym przez twórców mechanizmu założeniem, że ma być „łatwy w użyciu”. Ze wszystkimi rozwiązaniami, które mają zabezpieczać sprzęt czy oprogramowanie jest tak, że jeśli użytkownicy mają trudność z ich aktywacją, to – choć część z nich będzie ich używać – większość zrezygnuje z ich stosowania, narażając się na ataki.

W związku z tym, że mechanizm ma automatycznie pobierać klucze, postanowiono nie szukać za daleko i skorzystać z usługi podpisywania kluczy od Microsoft. Dzięki temu wyeliminowana została konieczność utrzymywania przez użytkowników zestawu kluczy dla różnych systemów operacyjnych. Microsoft będzie odpowiedzialny za dostarczanie kluczy dla Windows, a Red Hat dla Red Hat Enterprise Linux i Fedory. Inni dystrybutorzy systemów operacyjnych mogą korzystać z UEFI Secure Boot po wpłaceniu 99 dolarów – opłaty za zarejestrowanie i umożliwienie dystrybucji własnych kluczy bezpieczeństwa bez dalszych kosztów.

Zdrowy, dynamiczny proces rozwoju otwartego oprogramowania linuksowego, stwarza możliwość tworzenia własnych dystrybucji. Na przykład każdy użytkownik może przebudować Fedorę dla własnych potrzeb. Nawet indywidualny użytkownik może skorzystać z mechanizmu UEFI SB – musi tylko wpłacić wymienioną wyżej sumę. To stwarza możliwości także dla lokalnych dystrybucji, które będą mogły się zarejestrować i dystrybuować klucze na własny koszt.

Należy dodać, że korzystanie z UEFI Boot Secure jest dobrowolne – użytkownicy, którzy nie będą chcieli korzystać z tego mechanizmu, będą mogli wyłączyć tę opcję zabezpieczeń.

Co odbiorcy sądzą o łączeniu open source’owych rozwiązań od Red Hat, jak Fedora i Red Hat Enterprise Linux, z komercyjnymi produktami od Microsoft? Zwolennicy teorii spiskowych węszą w tym podstęp. Wielu jednak cieszy dostępność i bezpłatność mechanizmu UEFI Secure Boot.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

Jedna odpowiedź do “Jak działa UEFI Secure Boot?”

  1. Our iPhone Dev-Team come with a new tool that is very easy and fast solution to completely remove and bypass iOS 7 activation lock on iPhone 5s, 5c, 4s, 5 and iPhone 4.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *