Clever Geek Handbook

セキュアUEFIブート

セキュアUEFIブート



UEFI Wikipedia-Unified Extensible Firmware Interface(EFI)-オペレーティングシステムと機器の低レベル機能を制御するファームウェア間のインターフェイスによると、その主な目的は、システムの電源がオンになったときに機器を正しく初期化し、オペレーティングシステムのブートローダーに制御を転送することです。 EFIは、すべてのIBM PC互換パーソナルコンピューターで従来使用されていたインターフェイスであるBIOSを置き換えるように設計されています



高い確率で、多くの人がすぐにこのトピックに関する質問をするでしょう:



UEFIセキュアブートプロトコルは、最新のUEFIリリースの仕様の一部です。 システムファームウェアに1つ以上の署名付きキーをインストールできます。 UEFIの「セーフブート」を有効にすると、事前にインストールされたキーのいずれかで署名されていない場合、実行可能ファイルまたはドライバーのダウンロードが防止されます。 別のキーセット(Pkek)を使用すると、OSとファームウェア間の通信を維持できます。 OSは、ファームウェアにインストールされているキーとの通信を整理するPkek一致キーのセットとともに、ファームウェアのいわゆる「ホワイトリスト」に追加のキーを追加できます。 当然、これに加えて、キーを「ブラックリスト」に追加できます。 キーのブラックリストでマークされているバイナリは、当然ブート時に機能しません。



現在、集中化されたUEFIキー署名メカニズムはありません。 製造元のシステムにキーが含まれている場合、このキーで署名されたコードを取得する唯一の方法は、製造元に連絡して署名することです。 複数のキーをシステムに埋め込むことができますが、それらのいずれも使用してバイナリに署名できない場合、それらはインストールできません。



これは確かにソフトウェアとハ​​ードウェアの両方のメーカーに影響します。 OSメーカーは、ファームウェアシステムに含まれるキーで署名されるまで、システムにソフトウェアをダウンロードできません。 機器メーカーは、システムファームウェアにある同じキーでドライバーが署名されるまで、EFI環境内でハードウェアを実行できません。 たとえば、システムファームウェアで自然に見つからなかった未署名のドライバーを含む新しいビデオカードをインストールする場合、この環境で動作させることはできません。



Microsoftの要件は、Windows互換システムおよびWindows 8のクライアントバージョンを搭載したシステムがセキュアブートを有効にして出荷されることです。 2つの代替方法が提案されています。 1つ目-Windowsの各コピーはMicrosoftキーで署名する必要があり、その公開部分はすべてのシステムに埋め込まれます。または、2つ目の方法では、各OEMメーカーが独自のキーをシステムに入れて、Windowsのプリインストールコピーで署名します。 2番目の方法では、Windows互換システムでWindowsの箱入りコピーを実行できなくなります。また、OEMが新しいバージョンに署名するまで、新しいバージョンのWindowsをインストールすることもできません。 最初のオプションがより可能性が高いようです。



OEMキーのみで出荷されるシステムでは、MicrosoftはLinuxのコピーをダウンロードできません。



現在、ほとんどの場合、Linuxの署名付きバージョンを提供できます。 しかし、それはそれほど単純ではなく、いくつかの問題が発生します。 まず、非GPLブートローダーが必要です。 Grub 2はGPLv3の下でリリースされており、署名キーを提供することを明記しています。 GrubはGPLv2の下でリリースされ、明示的なキー要件はありませんが、この要件を含む可能性のあるコンパイルを制御するために使用されるスクリプトの要求が含まれる場合があります。 これは「灰色の領域」であり、エクスプロイトの使用は当事者の不正直さをよく示します。 第二に、近い将来、設計上、カーネルはブートローダーの一部になります。 これは、カーネルも署名する必要があることを意味します。 これにより、ユーザーまたは開発者が独自のカーネルを作成(アセンブル)することはほとんど不可能になります。 最後に、自分自身に署名を提供する場合、キーをOEMリストに含める必要があります。



原則として、Microsoftがハードウェアベンダーがこの種のファームウェアの「オン/オフ」機能を提供することを許可しないという兆候はないため、ユーザーは未署名のコードを実行できます。 ただし、多くのソフトウェアメーカーとOEMは、市場に必要な最小限のファームウェア機能を提供することに関心があることを経験が示しています。 一部のシステムにはこの機能を無効にする機能がほぼ確実に搭載されていますが、一方で、特定の契約の結果、ほとんどのメーカーがユーザーに選択権を委ねないことが判明する場合があります。



この記事では、パニックに陥らないようにしてください。検討するだけの価値があります...



PS将来的にはメーカーからの2つの行が表示される可能性が高く、署名検証を無効にするためのサポート付きでより高価になり、より安価になります。 機能が制限されているため、特にモバイルコンピューター(ラップトップ、ネットブックなど)に反映されるように思えます

元の記事は次の場所にあります: ORIGINAL



PPS友人と協力して翻訳されたKoPBuHありがとう、残念ながらまだハブではありませんが、すぐに登場することを願っています。


More articles:


All Articles