edk2 security boot校验流程

已于 2023-07-10 15:33:13 修改
阅读量447 收藏
点赞数
文章标签: linux
于 2023-07-10 14:31:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/131635778
版权

edk2整体架构

在这里插入图片描述

关于安全校验的核心逻辑

Code\Edk2\MdeModulePkg\Universal\SecurityStubDxe\SecurityStub.c

  Status = gBS->InstallMultipleProtocolInterfaces (
                  &mSecurityArchProtocolHandle,
                  &gEfiSecurity2ArchProtocolGuid,
                  &mSecurity2Stub,
                  &gEfiSecurityArchProtocolGuid,
                  &mSecurityStub,
                  &gSecurityManagementProtocolGuid,
                  &mSecurityManagement,
                  NULL
                  );

Code\Edk2\MdeModulePkg\Core\PiSmmCore\Dispatcher.c

  if (mSecurity2 == NULL) {
    gBS->LocateProtocol (&gEfiSecurity2ArchProtocolGuid, NULL, (VOID**)&mSecurity2);
  }
  if (mSecurity == NULL) {
    gBS->LocateProtocol (&gEfiSecurityArchProtocolGuid, NULL, (VOID**)&mSecurity);
  }

Code\Edk2\MdeModulePkg\Core\PiSmmCore\Dispatcher.c

    SecurityStatus = mSecurity2->FileAuthentication (
                                  mSecurity2,
                                  OriginalFilePath,
                                  Buffer,
                                  Size,
                                  FALSE
                                  );

    SecurityStatus = mSecurity->FileAuthenticationState (
                                  mSecurity,
                                  AuthenticationStatus,
                                  OriginalFilePath
                                  );

这三段分别是注册安全句柄,获取安全句柄和使用安全句柄,所有的安全逻辑貌似都是从这里触发的。

再往核心出发就可以看到:
EFI_SECURITY_ARCH_PROTOCOL mSecurityStub = {
SecurityStubAuthenticateState
};

EFI_SECURITY2_ARCH_PROTOCOL mSecurity2Stub = {
Security2StubAuthenticate
};

以及Security2StubAuthenticate的实现:
在这里插入图片描述

可以发现stub 又由RegisterSecurity2Handler注册。

在这里插入图片描述

这边注册由较多的安全校验函数如下:
在这里插入图片描述

DxeImageAuthenticationStatusHandler                //未找到调用处
DxeImageVerificationHandler
DxeTpm2MeasureBootHandler
DxeTpmMeasureBootHandler                           //未找到调用处
DxePlatformImageVerificationHandler                //未找到调用处

其中Code\Build\AlderLakeIoTPkg\DEBUG_VS2017\X64\MdeModulePkg\Universal\SecurityStubDxe\SecurityStubDxe\DEBUG\AutoGen.c

VOID
EFIAPI
ProcessLibraryConstructorList (
  IN EFI_HANDLE        ImageHandle,
  IN EFI_SYSTEM_TABLE  *SystemTable
  )
{
  EFI_STATUS  Status;
......

  Status = DxeImageVerificationLibConstructor (ImageHandle, SystemTable);
  ASSERT_EFI_ERROR (Status);

  Status = DxeTpm2MeasureBootLibConstructor (ImageHandle, SystemTable);
  ASSERT_EFI_ERROR (Status);

}

再往上是_ModuleEntryPoint

FileAuthentication

所以结论是FileAuthentication 调用了DxeImageVerificationHandler / DxeTpm2MeasureBootHandler实现了镜像校验。

            Status = Tcg2MeasureGptTable (Tcg2Protocol, Handle);
            DEBUG ((EFI_D_INFO, "DxeTpm2MeasureBootHandler - Tcg2MeasureGptTable - %r\n", Status));

    DbStatus = IsSignatureFoundInDatabase (
                 EFI_IMAGE_SECURITY_DATABASE1,
                 mImageDigest,
                 &mCertType,
                 mImageDigestSize,
                 &IsFound
                 );
    if (EFI_ERROR (DbStatus) || IsFound) {
      //
      // Image Hash is in forbidden database (DBX).
      //
      DEBUG ((DEBUG_INFO, "DxeImageVerificationLib: Image is not signed and %s hash of image is forbidden by DBX.\n", mHashTypeStr));
      goto Done;
    }

调试开关和日志打印

  IN  CONST EFI_DEVICE_PATH_PROTOCOL   *File, OPTIONAL

  EFI_DEVICE_PATH_PROTOCOL            *DevicePathNode;
  EFI_DEVICE_PATH_PROTOCOL            *OrigDevicePathNode;
  OrigDevicePathNode = DuplicateDevicePath (File);

    DEBUG_CODE_BEGIN ();
      CHAR16                            *ToText;
      ToText = ConvertDevicePathToText (
                 DevicePathNode,
                 FALSE,
                 TRUE
                 );
      if (ToText != NULL) {
        DEBUG ((DEBUG_INFO, "The measured image path is %s.\n", ToText));
        FreePool (ToText);
      }
    DEBUG_CODE_END ();
inquisiter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EDK2 UEFI 固件学习笔记
chenqioulin的博客
06-17 3342
EDK2的编译学习笔录。
secure boot 签名和验签流程
weixin_42884925的博客
11-03 293
secure boot 签名和验签流程
Windows下的EDK2环境搭建
最新发布
weixin_53362286的博客
07-23 1059
edk2的文档中,要成功运行此源码需要设置Phython的环境变量,由此,我们需要对此进行设置,在开始菜单界面直接搜索环境变量,点击环境变量,进入环境变量界面,点击新建,填写变量名:PYTHON_HOME,变量值填写你自己所安装的Python位置(我这边是直接安装在C盘,即C:\Python)下载源码edk2的时候,里面的代码有一些是链接文件,导致我们下载的文件里面是空白的,需要跳转网页去进行下载,如图的openssl需要点击跳转到响应的网页进行下载。
secure boot(三)secure boot的签名和验签方案
2301_78914168的博客
06-29 1391
例如,也可以使用相同的签名镜像创建一个FIT image,但是,其配置已经被改变,从而可以选择不同的镜像去加载(混合式匹配攻击)。要完成对镜像的签名,就必须使用私钥。从bootrom到kernel为止的安全启动,统一使用一把RSA公钥完成安全校验,并且当前这级的RSA Key已经作为自身固件的一部分,由前一级loader完成了安全校验,从而保证了Key的安全。因此,为了解决这个问题,除了给镜像签名外,我们可以把配置选项也签名,每个镜像都有自己的签名,在给配置选项签名时,把镜像的hash值也包含进去。
UEFI学习(一)-EDK II环境搭建
热门推荐
weixin_42951246的博客
09-09 1万+
UEFI_edk2环境搭建UEFI_edk2环境搭建环境搭建准备软件安装(一) vs2019安装(二)Python安装(三)IASL、NASM安装(四)edk2的选择与安装环境变量配置target.txt修改edk2编译 UEFI_edk2环境搭建 本文选用edk2进行对UEFI的学习,首先先安装edk2,需要搭建相应环境 环境搭建准备 Nasm 下载地址:https://www.nasm.us/pub/nasm/releasebuilds/2.15.02/win64/ ASL Compiler 下载地
UEFI学习---EDK II开发环境的搭建
Guocean
07-22 7139
   搭建UEFI开发环境
EDK2编译环境搭建、编译、在模拟器运行、在笔记本运行
07-10 7271
这 自己对写操作系统这个事情比较感兴趣,但是这条路太漫长,只能慢慢来,原来是基于传统的汇编+C语言编写,现在UEFI基本很普及了,因为想着使用国外的操作系统始终存在安全隐患,所以想好好学习一把,由于是初学者,有很多不对的地方,请看到这篇博客的大侠们指出不足之处。 1、操作系统Ubuntu20.10装在VMWARE 14pro下的版本:14.1.3 build-9474260,,注:我未修改/etc/apt/sources.list文件,直接使用的国外下载源,感觉速度也还可以,我切换到阿里源,进行安装..
ed2k:ed2k 链接计算器(非常适合 anidb)
07-09
标题 "ed2k:ed2k 链接计算器(非常适合 anidb)" 指的是一个Python程序,用于生成ed2k链接。ed2k链接是一种在P2P网络中广泛使用的链接格式,特别是在文件共享社区如anidb中。这个程序允许用户将本地文件转换为ed2k...
ED2K.zip
10-12
ED2K,全称“EDonkey 2000 Network”,是一种点对点(P2P)文件分享网络协议,由MetaMachine公司于2000年开发。这个协议主要用于共享各种类型的文件,包括音乐、电影、软件、文档等。ED2K网络的核心理念是用户之间...
ed2k-link:一个简单的模块,用于为nodejs解析ed2k链接
05-20
ed2k-link 一个简单的模块,用于解析/生成nodejs的ed2k链接。 安装 您可以使用以下命令进行安装: npm install ed2k-link 用法 您应该首先要求该模块: ed2k = require ( 'ed2k-link' ) ; 例子 解析ed2k网址 ...
ED2K资源信息
08-04
### ED2K资源信息知识点详解 #### 一、ED2K概述 ED2K(eDonkey2000)是一种分布式文件共享协议,由MetaMachine公司开发,并于2000年首次发布。该协议允许用户通过互联网共享文件,而无需集中式的服务器支持。ED2K...
ed2k种子搜索器
03-20
没有源码只是实现了功能,可以模仿写一个。主要用于网络传输学习研究。
EDK II Module Writers Guide上
好好学习,天天向上
06-10 2962
对应EDKII Module Writer Guide PDF的 1 2 3 4章节
EDK2开发环境搭建【详细步骤】
tianpu2320959696的博客
05-05 4539
EDK2开发环境搭建【详细步骤】 mssunna 2019-07-16 18:07:01 3692 收藏 7 分类专栏: UEFI\BIOS 版权 参考博客【EDK2 UDK2018的环境搭建】:https://blog.csdn.net/qq_39155263/article/details/82965744 下载EDK2 1.直接从https://github.com/tianocore/edk2/ 网站下载.zip压缩文件 2.运用svn 从http://svn.code.sf.net/p/e..
EDK2设备驱动模型
heshuangzong的博客
02-26 2256
重点介绍了UEFI设备驱动模型,Controlller、Device Path、Image handle等内容,以及他们之间的关联。
EDK2从搭建到运行
csdnlnp的博客
07-03 3886
之前用的很老版本的edk2,今天抽空更新至最新版本,但一直编译失败; 参考了 CSDN 上面的很多文章,但大都讲的比较简单,软件环境也不一样(我用的VS2015),而且本人比较小白,折腾了半天也没能成功; 后参考 UEFI编程实践 这本书成功编译(也可以参考原书,写的比我好),特分享详细步骤,涵盖了从环境搭建到模拟器运行efi程序的全过程,希望能帮助到各位,.........
Windows下EDK2快速搭建(详细)过程总结附软件包地址
Luckiers的博客
01-28 1768
本文详细介绍本人在windows平台搭建EDK2编译环境的流程,方便读者快速搞定,少走弯路。
UEFI原理与编程学习笔记(二)——搭建EDKII环境
weixin_42235842的博客
12-08 1467
1、初步搭建EDKII环境2、初步了解EDKII代码架构3、初步理解EDKII与UEFI之间的关系。
EDK2环境搭建--Windows
weixin_45450696的博客
07-04 2814
EDK2的最新环境搭建,都3202年了,不会还有人用老版本的Tool去搭建EDK2环境吧
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值