Intel Boot Guard На Ваших Пальцах

Предлагаю окунуться в дебри компьютерной микроархитектуры и понять, как работает одна из самых распространенных технологий обеспечения целостности загрузки аппаратного BIOS — Intel Boot Guard. В статье выделены предпосылки появления технологии, перечислены все режимы работы, а также описан алгоритм работы каждого из них.

Перво-наперво.

История и предпосылки создания

Проблема в том, что каждая из этих ссылок может быть взломана злоумышленником.

При этом чем раньше компонент подвергается атаке, тем большую свободу действий получает нарушитель.

Известны случаи атак, при которых злоумышленник подменял BIOS или загрузчик на свои, уязвимые и фактически превращал компьютер в «кирпич» (поэтому данный тип атаки называется Bricking).

Многие программные инструменты проверки целостности были созданы в попытке защитить процесс загрузки компьютера.

Однако любая программа может быть успешно заменена нарушителем, поэтому полагаться на нее на все сто процентов нельзя.

Следовательно, необходимо создать более надежную аппаратную технологию обеспечения целостности загрузки.

В качестве варианта обеспечения аппаратной защиты при загрузке компьютера Intel в 2013 году интегрировала технологию Boot Guard в новую микроархитектуру Haswell. В процесс загрузки был добавлен аппаратный модуль кода аутентификации (ACM), и производителям оборудования пришлось расширить BIOS, включив в него начальный загрузочный блок (IBB).

С тех пор в цепочку загрузки компьютера входит ACM, с помощью которого проверяется IBB, после чего управление передается в BIOS и так далее.

Схема процесса загрузки компьютера с помощью Intel Boot Guard

Режимы работы

Производитель оборудования должен выбрать, какой режим работы включить и какие действия предпринять в случае ошибки в ACM или IBB. Вся эта информация содержится в политиках загрузки, встроенных в оборудование.

Режимы работы Boot Guard можно классифицировать по корню доверия:

• Мерный ботинок опирается на дополнительное устройство, встроенное производителем оборудования.

  Одним из возможных вариантов устройства является TPM (Trusted Platform Module) — криптопроцессор, в котором предустановлены генератор случайных чисел, генератор ключей RSA, хэш-устройство и устройство RSA.

• Проверенная загрузка полагается на программируемые предохранители, которые являются частью аппаратного обеспечения компьютера.

  По своей сути программируемый предохранитель представляет собой элемент, который может находиться в двух состояниях: сгоревший или не сгоревший.

  После сгорания клетка не может вернуться в исходное состояние.

  Таким образом информация может быть закодирована.

Измеренная нагрузка

1. Начальный загрузочный блок записывается в память криптопроцессора TPM.
2. Устройство хеширования криптопроцессора загружает IBB, хранящийся в памяти.

3. Устройство хеширования вычисляет хеш IBB
4. Хэш IBB записывается в память криптопроцессора.

5. Проводится сравнение текущего хэша IBB и его эталонного значения.

6. При наличии совпадения система помечается как надежная, в противном случае – как ненадежная.

Подтвержденная загрузка

Манифест IBB включает номер версии безопасности, хэш IBB, открытый ключ RSA, подпись RSA номера версии и хеш IBB. Манифест ключа включает номер версии безопасности, хэш открытого ключа RSA манифеста IBB, открытый ключ RSA производителя оборудования, подпись RSA номера версии и хэш открытого ключа RSA манифеста IBB. Программируемые предохранители записывают хэш открытого ключа RSA производителя и указывают номера версий безопасности.

Все расчеты и сравнения выполняются с использованием модуля аутентифицированного кода (ACM).

Алгоритм работы Boot Guard в проверенном режиме загрузки следующий:

1. В ACM загружается хэш открытого ключа RSA производителя и номера версий безопасности манифестов из программируемых предохранителей.

2. Проверяются номера версий безопасности манифестов.

   Если хотя бы одно из чисел меньше, то проверка завершается в соответствии с политиками загрузки.

   Если хотя бы одно из чисел больше, соответствующее значение будет обновлено в программируемых предохранителях в конце теста.

3. Хэш открытого ключа RSA производителя рассчитывается и сравнивается с соответствующим значением из программируемых предохранителей.

   При наличии несоответствия проверка завершается согласно политикам загрузки.

4. Подпись RSA в манифесте ключа проверена.

   При наличии несоответствия проверка завершается согласно политикам загрузки.

5. Хэш открытого ключа RSA манифеста IBB рассчитывается и сравнивается с соответствующим значением из манифеста ключа.

   При наличии несоответствия проверка завершается согласно политикам загрузки.

6. Подпись RSA в манифесте IBB проверена.

   При наличии несоответствия проверка завершается согласно политикам загрузки.

7. Хэш IBB рассчитывается и сравнивается с соответствующим значением из IBMM. При наличии несоответствия проверка завершается согласно политикам загрузки.

8. При необходимости номера версий манифеста безопасности обновляются в программируемых фьюзах путем сжигания дополнительных фьюзов.

9. Исходный блок нагрузки успешно проверяется и на него передается управление.

Заключение

В 2017 году было обнаружено шесть моделей материнских плат, в которых Boot Guard был настроен неправильно и позволял обойти проверку целостности BIOS. Берегите свои компьютеры и выбирайте надежного производителя оборудования! При написании статьи использовалась следующая литература:

• Руан Х.

  Представлена технология встроенной безопасности платформы – Apress, Беркли, Калифорния, 2014 г.

  – стр.

  263 – ISBN 978-1-4302-6572-6

• Министр Связи Никифоров Раскритиковал Законопроект Яровой О Хранении Переписки Пользователей И Ее Расшифровке

  19 Oct, 24

• Сможет Ли Huawei Вытеснить Дуополию Google И Apple На Рынке Мобильных Операционных Систем?

  19 Oct, 24

• Highload++, Юрий Насретдинов (Вконтакте): Как Вк Вставляет В Clickhouse Данные С Десятков Тысяч Серверов

  19 Oct, 24

• Стилизация 3D Персонажа: Модель, Текстуры, Детали.

  19 Oct, 24

• [Ios] Создайте Собственный Загрузчик (Спиннер Или Uiactivityindicator) В Uikit.

  19 Oct, 24

• Замечания По Мониторингу № 1 — Nan В Prometheus

  19 Oct, 24

• Обновления Дизайна Youtube: Чем Дальше, Тем Чудеснее

  19 Oct, 24

• Сравнение Сред Разработки, Сборки И Обновления Операционных Систем И Прикладных Приложений.

  19 Oct, 24

• Слабый Юбилей. Самое Быстрорастущее Приложение В Истории

  19 Oct, 24

• Пользователи Устали От Социальных Сетей

  19 Oct, 24