Вопрос: Какова цель UEFI SecureBoot?


Я слышал, что новые компьютеры будут иметь встроенную функцию «secureboot» и что она должна сохранять «неподписанный код» при загрузке. Я не видел никаких проблем с возможностью загрузки неправильной ОС, поскольку информация об этом подразумевает. так это на самом деле остановить руткиты или предотвратить установку других операционных систем на ПК?


2
2018-01-10 19:11


Источник




Ответы:


Ответ зависит от того, сколько вы заговорщиков.

Технология способна остановить руткиты, задерживающиеся в критических частях файловой системы, но та же технология может быть использована для предотвращения загрузки «неутвержденной» операционной системы - где Unapproved определяется производителем системы, а не ее владельцем.

Я считаю, что (на данный момент) Secureboot можно отключить в BIOS, и любая система может быть загружена. Тем не менее, возможно, что производитель может удалить функциональность, чтобы отключить Secureboot [Может быть, большой поставщик ОС бросает деньги на них], что может ограничить то, что можно сделать с ним.

Чтобы посмотреть «Что возможно», рассмотрите смартфоны. Некоторые из них (например, фирменные телефоны Google и Samsung) могут загружать любую версию Android, например, поддерживаемую Cyanogenmod, тогда как другие блокируются в ОС, к которым они пришли, и не могут быть обновлены. Я считаю, LG это делает, и Motorola делала это это (у моей жены была Motorola, которая не может быть модернизирована из старой версии Android 2.x Android - принудительного устаревания - я отмечаю, что ее возможная Motorola изменилась, поскольку теперь они принадлежат Google). В любом случае Заблокированные загрузчики являются обычным явлением в сотовых телефонах, поэтому, если вы смотрите на удары, это может быть полезным местом для проведения аналогий.


4
2018-01-10 19:32



Единственное исключение для отключения безопасной загрузки - это устройства на базе ARM. В случае Android и Windows загрузчик заблокирован. Есть решения этой проблемы с Android, но с устройствами Windows RT технически вам будет очень сложно загрузить другую ОС на нее из-за безопасной загрузки. Конечно, устройства ARM не имеют BIOS в традиционном смысле - Ramhound
хм .... Одной из причин, почему я пользуюсь настольными ПК, является их гибкость по сравнению с расфасованными устройствами или планшетами. это плохие новости - ZCoder
Просто чтобы быть понятным для других (я считаю, что неправильно прочитал ваш пост @Ramhound изначально), в настоящее время Secureboot можно отключить на устройствах на базе x86, но не на всех устройствах на базе ARM. Я согласен с этим, но в будущем я уверен, что, по крайней мере, некоторые устройства Intel не позволят отключить безопасную загрузку. - davidgo
AFAIK Я использовал и AMD APU в UEFI-совместимой биографии, но не видел этого варианта; Я не знал, было ли это там и что имело эффект, или если его просто нет, и мне не придется беспокоиться год или около того. - ZCoder


Весь смысл - это «цепочка доверия», которую он создает. Если у меня есть часть программного обеспечения, которое мне нужно, чтобы убедиться, что ничто вредоносное не может перехватить то, что я делаю, и поставить свой собственный код, мне нужно доверять программе, запускающей мою программу. Чтобы доверять этой программе, которая запустила мою программу, вам нужно доверять программе, которая запустила программу, которая запустила мою программу, и так далее и так далее.

Что обеспечивает безопасная загрузка, является якорем для этой первой «доверенной программы». Это позволяет аппаратным средствам на компьютере утверждать "Никто не модифицировал этот загрузчик, и он будет вести себя точно так же, как запрограммированные оригинальные программисты«Загрузочный загрузчик может проверить»Никто не изменил эту ОС и будет вести себя точно так же, как запрограммированные программисты«Тогда ОС может пойти"Никто не изменил эту программу, и она будет вести себя точно так же, как запрограммированные программисты«и теперь у вас есть« доверенный путь »от вашей программы вплоть до физического оборудования, на котором запущен компьютер, все проверяя, что ничто не мешает перехвату или изменению поведения вашего кода.

Теперь то, что делает Bootloader, OS или сама программа с этой цепочкой доверия, полностью зависит от компании. Загрузочный загрузчик мог выбрать только загрузку ОС от конкретного поставщика, и вы не могли этого предотвратить. ОС могла выбрать только разрешение на запуск программного обеспечения, которое было разрешено для запуска (это то, что Windows 8 RT делает через App Store), и вы не могли. Программа может реализовать некоторые из DRM, и у вас не было бы способа обойти ее.

Все зависит от поставщика программного обеспечения о том, как использовать Secure Boot.


2
2018-01-10 19:31





Secureboot обеспечивает «цепочку доверия», чтобы теоретически позволить вам запускать код, который чрезвычайно уверен в том, что он является точным кодом, который был подписан с доверенным ключом. Прошивка, которая поддерживает это, засевается сертификатом x509 изготовителем, который встроен в прошивку.

Это несколько умная платформа, которая позволяет вам вручную изменять разрешенные ключи. Вкратце, PK (Ключ платформы) показывает, кто управляет машиной, KEKs (Key-Exchange keys) показывает, кто может обновить машину и dbx / db (Ключи базы данных подписи) определяет загрузочный код, который может загружать платформу в безопасном режиме. (Видеть: http://blog.hansenpartnership.com/the-meaning-of-all-the-uefi-keys/ а также http://kroah.com/log/blog/2013/09/02/booting-a-self-signed-linux-kernel/)

Точно так же, как с сертификатами, которыми доверяет ваш браузер, любой, у кого есть достаточно денег, может купить себя в заранее установленную (или прошивку!) «Цепочку доверия». Таким образом, практически, Secureboot делает это немного дороже для развертывания программного обеспечения для массового оборудования - как для вас, так и для плохих парней.

Что хорошо. С летучей мыши может показаться, что он просто поднимает планку и удерживает людей и мелких преступников, но просто говоря, когда дело доходит до вычислений, доверие означает деньги. Деньги - лучшая мера псевдонимового доверия, которую мы смогли придумать, как цивилизация. Доверие - это, в конечном счете, самый ценный товар, который мы знаем, поэтому деньги имеют ценность.


0
2017-08-23 19:48