UEFI Secure Boot

最新推荐文章于 2024-08-09 11:00:00 发布
最新推荐文章于 2024-08-09 11:00:00 发布
阅读量1.5k 收藏 24
点赞数 18
分类专栏: BIOS UEFI 文章标签: BIOS UEFI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40569221/article/details/136325033
版权
UEFI 同时被 2 个专栏收录
11 篇文章 7 订阅
订阅专栏
BIOS
8 篇文章 4 订阅
订阅专栏

一、前言

  在计算机世界,安全是一个永恒的话题。微软的Windows的安全性一直深受诟病,但随着操作系统层面的漏洞逐渐减少,黑客们盯上了BIOS固件。那如何保证从开机到进入操作系统这个过程中的安全呢?下图是Intel CPU的整个UEFI安全启动链条,涉及到了Boot Guard、Secure Boot等技术。
在这里插入图片描述
Microcode验证ACM, ACM验证IBB,IBB验证OBB,而OBB后面就是本文的主题UEFI Secure Boot。
在这里插入图片描述

二、Secure Boot简介

  UEFI Secure Boot是UEFI规范中所定义的一个功能。它保证了只有合法的第三方固件代码才能运行在OEM固件环境中。UEFI Secure Boot认为系统固件也就是BIOS是安全可信的。而任何第三方固件代码是不可信的,包括操作系统供应商(Operating System Vendor,OSV)安装的bootloader和独立的硬件供应商(Independent Hardware Vendor,IHV)提供的外围设备。终端用户可以选择注册和撤销UEFI安全引导映像安全数据库中的条目,作为管理验证策略的一部分。
  UEFI安全引导包括两部分——引导映像的验证和映像安全数据库更新的验证。

下图展示了UEFI Secure Boot验证的流程。
在这里插入图片描述
Key Usage in UEFI Secure Boot
在这里插入图片描述

安全启动相关密钥如下:
在这里插入图片描述
自签名证书:由与证书公钥匹配的私钥签名的证书称为自签名证书。根证书颁发机构(CA)证书属于这种类别的证书。

2.1 Platform Key(PK)

平台密钥PK在平台所有者(OEM)和平台固件之间建立信任关系。平台所有者将密钥的公钥部分PKpub注册到平台固件中。此步骤将平台从设置模式转为用户模式。Microsoft建议平台密钥的类型为EFI_CERT_X509_GUID,公钥算法为RSA,公钥长度为2048位,签名算法为sha256RSA。

2.2 Key Exchange Key(KEK)

密钥交换密钥(KEK)建立了操作系统与平台固件之间的信任关系。每个操作系统(以及可能需要与平台固件通信的每个第三方应用程序)都会在平台固件中注册一个公钥(KEKpub)。

  • db
    EFI _IMAGE_SECURITY_DATABASE db 的内容控制在验证加载的映像时信任哪些映像。 数据库可以包含多个证书、密钥和哈希,以识别允许的映像。
  • dbx
    在检查 db 之前验证映像时,必须检查EFI_IMAGE_SIGNATURE_DATABASE1 dbx 的内容,一旦存在任何匹配项,就必须阻止映像的执行。 数据库可以包含多个证书、密钥和哈希,以识别禁止的映像。 Windows 硬件认证要求规定必须存在一个dbx。

下图展示了使用db/dbx的验证流程
在这里插入图片描述
下图展示了一个引入dbt的验证流。需要基于dbx签名进行额外的检查。
在这里插入图片描述

2.3 Secure Boot Modes

  • Setup Mode
    Setup Mode 即设置模式,在尚未安装 PK 时将处于此模式,此模式允许操作 PK、 KEK、DB 和 DBX,系统所有者可以添加、删除或修改这些值,以控制允许在启动时执行的文件。一旦建立 PK,系统会在下次启动时自动退出设置模式并进入用户模式。

  • User Mode
    User Mode 即用户模式,是指在注册 PK 后生效的 Secure Boot 操作模式,Secure Boot 策略会被强制执行。用户模式是 Secure Boot 的默认模式,通常用于生产环境中。在用户模式下,通常无法修改 Secure Boot 策略。如果需要更改策略,需要进入设置模式或审核模式。

  • Audit Mode
    Audit Mode 即审核模式,其目的是收集有关 Secure Boot 检查结果的调试信息。进入审核模式后,仍然执行签名检查,但不会被禁止未授权的程序启动。管理员可以使用此模式来查看哪些启动过程部分被验证了、验证结果如何、是否存在与启动组件和策略相关的问题。

  • Deployed Mode
    部署模式是最安全的模式。用户模式和审计模式支持未经身份验证就转换到部署模式。但是,要从部署模式转换成任何其他模式,需要使用特定于平台的安全方法,或者删除经过身份验证的PK。

Secure Boot Modes Transition

参考

Understanding_UEFI_Secure_Boot_Chain
UEFI Spec2.10-32_Secure_Boot_and_Driver_Signing
什么是Boot Guard?电脑启动中的信任链条解析-老狼​
UEFI安全启动
安全技术篇 – Secure Boot(上)
安全技术篇 – Secure Boot(下)
Windows 安全启动密钥创建和管理指南
趣话安全启动:迷思与启示

Yang_Winston
关注
专栏目录
如何在 Linux 系统启用 UEFISecure Boot
个人博客
09-02 2万+
如何在 Linux 系统启用 UEFISecure Boot概述Secure Boot 作为 UEFI 的一个选项,它可以被设置为开启或关闭 ( 有少数恶心的计算机里面, Secure Boot 被设置为开启,却不存在关闭它的选项,但系统主板内置有 Windows 系统的公钥证书签名,使其只能加载 Windows ,其他系统一律不以加载,用户没的选,不能关闭,还没法换系统,真的很恶心)。 Se
Cstyle的UEFI导读:Secure Boot简介
业余电子爱好者的日常
11-25 4489
安全启动(SecureBoot)使用非对称加密与数字签名技术提供了一种从硬件到操作系统的安全启动信任链。本文介绍了系统固件、OS Loader、证书、密钥及之间的沟通流程。在windows下下可以使用如下命令获取PK,KEKdb、dbx、SetupMode、SecureBoot、PKDefault、KEKDefault、dbDefault、dbt、dbtDefault等全局变量的值。 例如:当前系统的SetupMode的NV值是0,表示工作在user模式。 平台密钥Platform Key (P
UEFI实战】Secure Boot
热门推荐
jiangwei0512的博客
03-29 1万+
UEFI实战】Secure Boot
UEFI的一点点概识
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
12-06 4415
最近看了一篇Blog讲的是关于PC安全的,其中很多的地方还是有一定相似之处。其中这个UEFI引起了我兴趣,以前安装系统的时候听说过这个名词。这里于是便来认识一下什么是UEFI。大多数人接触UEFI都是在PC的应用场景上,有在PC上安装过多操作系统的经历的同学,通常会进入UEFI界面设置操作系统引导顺序、CPU虚拟化等设置。UEFI诞生之初也确实是作为BIOS的替代者,主要应用在PC电脑上。随着手机/平板等移动设备的发展,高通从MSM8998开始使用UEFI替代LK(Little Kernel)作为手机的Bo
一文搞懂Secure Boot (安全启动)
最新发布
A_991128a的博客
08-09 843
随着汽车新四化的发展,尤其是网联化及自动驾驶的推进,汽车网络信息安全显得越来越重要。随着高级驾驶辅助(ADAS)及自动驾驶的推出,车辆动力及制动控制需要部分或全部授权给智能驾驶系统,而车辆又暴露在互联网当中,此时如果智能驾驶系统被黑客攻破,后果将不堪设想。黑客可能会篡改自动驾驶系统的软件控制系统,植入他们事先编制好的软件,从而实现非法控制车辆的目的。自动驾驶系统开发人员如何避免这种情况发生呢?这就是今天我们要讲的主题:安全启动。
Secure Boot(安全启动)
u013434525的博客
03-01 2329
如果在这个模式下清除了密钥,那么原有的密钥通常无法恢复,因为它们是存储在UEFI固件的非易失性存储区域中的,一旦清除,就无法通过正常的UEFI界面恢复。Secure Boot(安全启动)的原理基于链式验证,这是一种确保计算机在启动过程中只加载和执行经过认证的软件的机制。:在启动过程中,UEFI固件会使用存储的私钥来验证启动文件(如启动加载程序)的签名。:一旦验证通过,UEFI固件会将控制权交给启动加载程序,启动加载程序接着会验证操作系统内核和其他关键组件的签名,确保整个启动过程的安全性。
UEFI secure boot(1)- 简介
qq_21186033的博客
05-17 2121
1、公钥加密和数字签名 加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息y,但因不知道解密的方法,仍然无法了解信息的内容x。 对称密钥和非对称密钥 对称密钥:在双方之间通信,有一个共同密钥来加减密 非对称密钥:不需要事先约定且不需要知道通信对方是谁,公钥部分和私钥部分共同组成新形式的密钥——非对称密钥。 好比是通信双方,有一个人建立了一个保险柜(将保险柜的制造方法理解为私钥),将信息存入其中,并把保险柜的钥匙(公钥)交给另一方,而另一方当然可以拿着这个钥匙获取保险柜
UEFIBIOSSecure Boot的关系和知识介绍
weixin_34161032的博客
09-10 1643
    从Windows 8操作系统时代开始,安装操作系统的方法也有了很大的改变,Windows 8采用了Secure Boot引导启动的方式,而不是过去Win XP和Win 7的Legacy启动方式,从而导致的问题是所有预装Windows 8/8.1系统的笔记本要安装Win7的话必须修改BIOS,给很多想更换操作系统的用户增加了一点小难度。     ...
UEFI secure boot(3)- 安全引导的实现
qq_21186033的博客
05-18 3702
1、先决条件 1)固件必须支持UEFISecureBoot。 2)固件必须支持Setup Mode,或至少清除密钥。 3)一个PKI,以及一种管理(生成和签名)您的X.509证书的方法。 2、生成及添加密钥 参考上述签名过程,简言之,配置包括: 1). 生成初始的已允许数据库(Allowed Database) 2). 生成初始的被禁止数据库(Forbidden Database) 3). 生成初始的秘钥交换秘钥数据库(KEK Database) 4). 设置平台秘钥(PK) .
EFI secure boot
江淋的专栏
11-20 4052
一、EFI    secure boot 是EFI BIOS中的一个子标签,同时EFI BIOS提供证书管理功能,系统可以同时拥有多个证书供用户选择,EFI只能执行经过正确签名的固件    EFI 证书种类比较多:PK,KEK,db,dbx 和 MOK    *一般PC的EFI(例如我的dell)都植入了Microsoft Windows UEFI Driver Publisher's c
提取Secure Boot Key.rar
01-21
标签“Windows UEFI SecureBoot”进一步明确了这是与Windows操作系统和UEFI Secure Boot功能相关的技术。在Windows 8及更高版本中,微软强制实施了Secure Boot,以提高系统的安全性。然而,这也可能导致在安装其他...
uefi secureboot 流程
03-26
UEFI SecureBoot是一个安全启动机制,用于保护系统免受恶意软件的攻击。它的工作流程如下: 1. 开机自检:计算机启动时,UEFI固件首先自检处理器、内存、以及外围设备等硬件。这些检查确保计算机硬件正常,可以启动...
linux如何查看是否打开UEFI Secure Boot
06-01
如果命令输出 "SecureBoot enabled",则表示当前系统启用了 UEFI Secure Boot。如果输出 "SecureBoot disabled",则表示当前系统禁用了 UEFI Secure Boot。 另外,你还可以查看系统日志来获取更多关于 Secure Boot ...
UEFI secure boot(2)- UEFI variable及签名认证过程
qq_21186033的博客
05-17 6089
UEFI中Variable的实现 安全启动涉及到的关于启动模式变量以及上述密钥变量的保存,在uefi中,设置开机的启动项,设置开机密码等功能.这部分功能在标准的uefi中都是使用Variable这套机制实现的。而安全启动中的变量的保存也是通过这套机制来实现的。这些变量将分别保存到内存以及flash中。 (1)Variable变量在flash中数据结构 当安全启动禁用时 即在系统中只保存关于一些启动过程中的相关变量时,格式如下: 在flash中的基地址是0x900000001fc01048 typed
UEFI Secure Boot学习草稿(quqi99)
技术并艺术着
09-29 2437
作者:张华 发表于:2020-09-29 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 什么是secure boot secureboot is designed to present non-Windows OS from booting(Secure Boot works by placing the root of trust in firmware), you can still boot Grub2 with secureboot using shim a
UEFI HTTPBoot Server Setup
weixin_45547360的博客
11-24 4937
UEFI HTTPBoot Server Setup
uefi安全启动
qq_46695411的博客
12-01 1739
uefi 安全启动学习笔记
研究员在3个微软签名的引导程序中发现UEFI安全引导绕过漏洞
smellycat000的专栏
08-15 382
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值