UEFI Secure Boot

最新推荐文章于 2024-08-19 09:48:20 发布
最新推荐文章于 2024-08-19 09:48:20 发布
阅读量5.8k 收藏
点赞数 2
分类专栏: UEFI firmware 文章标签: UEFI MOK Secure Boot

本文参考:https://www.suse.com/media/presentation/uefi_secure_boot_webinar.pdf

Secure Boot

传统BIOS启动过程传统BIOS启动过程中的风险

UEFI

UEFI: Unified Extensible Firmware Interface
–基于旧的已存在的标准EFI。
–用于替代传统的BIOS。

Secure Boot

–用于防止执行一个已被感染的OS。
–它只是UEFI的一种特性表现。
–Specified in version 2.3.1c of the standard

UEFI中的Secure boot

Trust Model: 信任模型

Secure Boot 通过在firmware中嵌入几个公钥数据库:
1,UEFI firmware 加载的任何东西都必须由其中一个密钥签名signed.
2,签名signature能表达"trust"信任关系。
3,包括OS loader, UEFI modules, firmware updates
4,任何没有可用签名signature的东西都是不可信任的,并阻止加载loaded.

5,还有一个数据库,其中包含了一些已知恶意软件的哈希码。这不是一个病毒扫描程序。
Secure Boot中的Key

Physical Presence:
标准允许firmware disable所有的这些检查。
–这意味着,它允许提供一个setup 选项来完全 disable Secure Boot.
–这也意味着Secure Boot 不再保护你免于 攻击者物理访问的攻击。

选择退出?
•x86上的大多数UEFI实现提供了在启动时disable“Secure Boot”的选项:
-UEFI定义了一种称为“Setup Mode”的东西,允许您设置PK和KEK
– 这基本上是它离开工厂之前的状态
– 对于最终用户来说,可以定制他们信任的密钥
– 但我们没有看到很多固件支持Setup Mode

总结:
•Secure Boot可有效防止在加载操作系统之前执行恶意软件

  • 具有root权限的攻击者仍然可以安装一个trojned libc,bash等
  • 显然,不是灵丹妙药
    •从开源角度看当然很痛苦.

Secure Boot对Linux的意义:

•Windows 8硬件认证要求支持Secure Boot

  • 所有桌面硬件现在默认启用UEFI安全启动
    •在服务器市场,我们看到采用率较慢
  • 在数据中心知道如何处理Secure Boot部署的操作系统并不多。
  • 一些新的服务器硬件已经附带UEFI,但默认情况下Secure Boot已关闭disable.

开启 Secure boot 的机器不能启动linux kernel,除非kernel有一个"trusted key" 的 singed(可信密钥的签名).

kernel Community: 内核社区
如果你是一个内核开发者,你需要build and run 你自己的kernel:
Secure Boot 会阻止
可以 disable secure boot

GPLv3和Secure boot
•我们的首选引导加载程序(grub2)由GPLv3提供。 grub1和elilo是“GPLv2或更高版本”
•Preloads+ GPLv3:我们必须允许客户安装备用引导加载程序

  • 关于GPLv3中“Tivo Clause”的法律问题
    •UEFI引导加载程序签名的Windows徽标计划修正案表示您无法签署GPL代码

安全启动Secure boot:SUSE®解决方案
MOK:Machine Owner Key
•将密钥管理返回给用户和sysadmin

  • 无条件地,无论UEFI固件中缺少哪些选项
  • 统一的,在所有系统上具有相同的接口和相同的密钥格式
  • 信任证明由physical presence
  • 由Matthew Garrett,Peter Jones(RH,shim)和
    Gary Lin(SUSE,MOK)实施.

Secure Boot with MOK
Multi-boot with MOK
注册一个MOK key

•哪些需要Signed签名?
UEFI仅要求EFI二进制文件需要签名
- 仅防止引导加载程序bootloader被攻击
- 很多麻烦没什么价值
•值在可以信任的内核中是完整的

  • 因此内核需要签名
  • 模块也需要签名
  • 并禁用某些功能:直接/dev/mem写入,iopl()
    MOK校验模块

MOK and Modules:
MOK 允许第三方模块很容易安装。
安装模块包时,需要请求添加一个MOKList.
然后,用户在重新启动时批准添加。

Secure Boot 的限制:
不能直接访问 IO port, 必需使用kernel 接口。
–GPU 需要KMS drivers.
不能直接访问内存。
– no /dev/mem, no /dev/rmem
不能加载没有签名的第三方模块。

_银叶先生
关注
专栏目录
如何在 Linux 系统启用 UEFISecure Boot
个人博客
09-02 2万+
如何在 Linux 系统启用 UEFISecure Boot概述Secure Boot 作为 UEFI 的一个选项,它可以被设置为开启或关闭 ( 有少数恶心的计算机里面, Secure Boot 被设置为开启,却不存在关闭它的选项,但系统主板内置有 Windows 系统的公钥证书签名,使其只能加载 Windows ,其他系统一律不以加载,用户没的选,不能关闭,还没法换系统,真的很恶心)。 Se
UEFI实战】Secure Boot
jiangwei0512的博客
03-29 1万+
UEFI实战】Secure Boot
uefi boot是什么意思?BIOS开启uefi boot引导及分区教程
最新发布
电脑技术分享网的博客
08-19 2071
uefi boot是新式的BIOS,legacy是传统BIOS。你在UEFI模式下安装的系统,只能用UEFI模式引导;同理,如果你是在Legacy模式下安装的系统,也只能在legacy模式下进系统。uefi只支持64为系统且磁盘分区必须为gpt模式,传统BIOS使用Int 13中断读取磁盘,每次只能读64KB,非常低效,而UEFI每次可以读1MB,载入更快。此外,Win10,更是进一步优化了UEFI支持,号称可以实现瞬时开机。
UEFI、BIOS、Secure Boot的关系和知识介绍
weixin_34161032的博客
09-10 1655
    从Windows 8操作系统时代开始,安装操作系统的方法也有了很大的改变,Windows 8采用了Secure Boot引导启动的方式,而不是过去Win XP和Win 7的Legacy启动方式,从而导致的问题是所有预装Windows 8/8.1系统的笔记本要安装Win7的话必须修改BIOS,给很多想更换操作系统的用户增加了一点小难度。     ...
UEFI secure boot(1)- 简介
qq_21186033的博客
05-17 2148
1、公钥加密和数字签名 加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息y,但因不知道解密的方法,仍然无法了解信息的内容x。 对称密钥和非对称密钥 对称密钥:在双方之间通信,有一个共同密钥来加减密 非对称密钥:不需要事先约定且不需要知道通信对方是谁,公钥部分和私钥部分共同组成新形式的密钥——非对称密钥。 好比是通信双方,有一个人建立了一个保险柜(将保险柜的制造方法理解为私钥),将信息存入其中,并把保险柜的钥匙(公钥)交给另一方,而另一方当然可以拿着这个钥匙获取保险柜
UEFI secure boot(3)- 安全引导的实现
qq_21186033的博客
05-18 3727
1、先决条件 1)固件必须支持UEFISecureBoot。 2)固件必须支持Setup Mode,或至少清除密钥。 3)一个PKI,以及一种管理(生成和签名)您的X.509证书的方法。 2、生成及添加密钥 参考上述签名过程,简言之,配置包括: 1). 生成初始的已允许数据库(Allowed Database) 2). 生成初始的被禁止数据库(Forbidden Database) 3). 生成初始的秘钥交换秘钥数据库(KEK Database) 4). 设置平台秘钥(PK) .
UEFI secure boot(2)- UEFI variable及签名认证过程
qq_21186033的博客
05-17 6185
UEFI中Variable的实现 安全启动涉及到的关于启动模式变量以及上述密钥变量的保存,在uefi中,设置开机的启动项,设置开机密码等功能.这部分功能在标准的uefi中都是使用Variable这套机制实现的。而安全启动中的变量的保存也是通过这套机制来实现的。这些变量将分别保存到内存以及flash中。 (1)Variable变量在flash中数据结构 当安全启动禁用时 即在系统中只保存关于一些启动过程中的相关变量时,格式如下: 在flash中的基地址是0x900000001fc01048 typed
uefi secureboot 流程
03-26
UEFI SecureBoot是一个安全启动机制,用于保护系统免受恶意软件的攻击。它的工作流程如下: 1. 开机自检:计算机启动时,UEFI固件首先自检处理器、内存、以及外围设备等硬件。这些检查确保计算机硬件正常,可以启动...
linux如何查看是否打开UEFI Secure Boot
06-01
如果命令输出 "SecureBoot enabled",则表示当前系统启用了 UEFI Secure Boot。如果输出 "SecureBoot disabled",则表示当前系统禁用了 UEFI Secure Boot。 另外,你还可以查看系统日志来获取更多关于 Secure Boot ...
提取Secure Boot Key.rar
01-21
标签“Windows UEFI SecureBoot”进一步明确了这是与Windows操作系统和UEFI Secure Boot功能相关的技术。在Windows 8及更高版本中,微软强制实施了Secure Boot,以提高系统的安全性。然而,这也可能导致在安装其他...
Cstyle的UEFI导读:Secure Boot简介
业余电子爱好者的日常
11-25 4555
安全启动(SecureBoot)使用非对称加密与数字签名技术提供了一种从硬件到操作系统的安全启动信任链。本文介绍了系统固件、OS Loader、证书、密钥及之间的沟通流程。在windows下下可以使用如下命令获取PK,KEKdb、dbx、SetupMode、SecureBoot、PKDefault、KEKDefault、dbDefault、dbt、dbtDefault等全局变量的值。 例如:当前系统的SetupMode的NV值是0,表示工作在user模式。 平台密钥Platform Key (P
Secure Boot(安全启动)
u013434525的博客
03-01 2486
如果在这个模式下清除了密钥,那么原有的密钥通常无法恢复,因为它们是存储在UEFI固件的非易失性存储区域中的,一旦清除,就无法通过正常的UEFI界面恢复。Secure Boot(安全启动)的原理基于链式验证,这是一种确保计算机在启动过程中只加载和执行经过认证的软件的机制。:在启动过程中,UEFI固件会使用存储的私钥来验证启动文件(如启动加载程序)的签名。:一旦验证通过,UEFI固件会将控制权交给启动加载程序,启动加载程序接着会验证操作系统内核和其他关键组件的签名,确保整个启动过程的安全性。
UEFI Secure Boot学习草稿(quqi99)
技术并艺术着
09-29 2453
作者:张华 发表于:2020-09-29 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 什么是secure boot secureboot is designed to present non-Windows OS from booting(Secure Boot works by placing the root of trust in firmware), you can still boot Grub2 with secureboot using shim a
华硕 UEFI 禁用secure boot ASUS UEFI Boot utility and secure boot
weixin_34166472的博客
04-25 1291
直接删除方法:boot---secure boot menu---os type:windows uefiboot---secure boot menu---key managemnt:delete pk 标准方法看下文http://www.tomshardware.com/answers/id-2225322/asus-uefi-boot-utility-secure-b...
D435i安装驱动时遇到的configuring Secure Boot问题
jes_sun的博客
12-28 6745
Ubuntu18.04 安安装D435i的librealsense SDK驱动时,出现一个configuring Secure Boot粉色窗口: 问题描述: 官网安装链接: https://github.com/IntelRealSense/librealsense/blob/master/doc/distribution_linux.md 在其中 Install the libraries (see section below if upgrading packages): sudo apt-get i
小米笔记本关闭UEFI secure boot
skysys的研究小屋
09-18 1万+
开机过程中不停按F2进入BIOS设置,光标移动到Security,点击Set Supervisor Password设置一个BIOS密码,输入两次相同的密码,点击YES保存; 然后选择Secure Boot Mode,将Enabled改成Disabled,关闭安全启动; 按F10保存重启,如果已经制作好U盘启动盘,则重启过程中按F12,调出Boot Manager启动项菜单,选择EIF USB Device回车即可进入U盘启动盘。 ...
万恶的UEFI Secure Boot
yingrenzhe68的专栏
01-01 2656
转载自LinuxToy: Matthew Garrett 在博客上阐述了最近关于 Fedora 18 在 UEFI 支持方面的一些动向,表示 Fedora 有可能会采取支付 $99 的方式获得 M$ 签名的第一阶段引导器,从而允许最终用户在不关闭 Secure Boot 的情况下引导。 今年下半年发布的 Win8 将要求 UEFI 中启用 Secure Boot 模式,届时所有带有的 Wi...
BIOS怎么开启UEFI模式|电脑设置UEFI启动的方法
热门推荐
湾区人工智能
09-07 1万+
  http://www.xitongcheng.com/jiaocheng/xtazjc_article_18100.html BIOS怎么开启UEFI模式|电脑设置UEFI启动的方法 发布时间:2016-03-31 19:28发布者:系统城-xtcjh浏览数:102093 随着技术的不断发展,新的电脑主板大多支持UEFI引导模式,预装win8和win10系统新机型都是采用UEFI启动模...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值