UEFI安全引导和rootkit

Question

我听说在启用UEFI安全引导的情况下，没有签名的自定义内核模块将不会运行，因此rootkit可能很难安装。

安全引导是否真的会阻止rootkit模块的安装，或者它是否能够阻止rootkit在系统启动期间加载？

安全引导：http://www.webopedia.com/TERM/M/microsoft_安全_boot.html

Answer 1

UEFI安全引导确保UEFI固件加载并只执行签名的UEFI应用程序(包括引导加载程序)和驱动程序。因此，试图通过引入恶意软件来修改它们的尝试将被检测到并被拒绝。漏洞或恶意软件(包括rootkit)也可能在加载的代码或随后加载的组件中签名。

安全引导是否真的会阻止rootkit模块的安装，或者它是否能够阻止rootkit在系统启动期间加载？

安全引导并不能防止系统在引导过程结束后引入恶意软件，因此系统的行为与没有安全引导时的行为相同。为了确保引导过程的安全性，必须确保加载代码的签名链，因为启动可能有多个阶段。见下文。

软件组件

链

总体安全取决于各个组件的链：

1. 硬件-所有软件的安全性取决于它正在运行的硬件。
2. UEFI -固件负责安全引导，包括用于代码签名验证的加密密钥的管理和存储。UEFI安全引导信任存储在UEFI变量中的证书。
3. 引导加载器--这是引导链中唯一由安全引导签名直接验证的软件(除了UEFI本身之外)(带有可能的UEFI驱动程序和应用程序)。下面列出的所有后续组件都不受UEFI安全引导规范的保护。为了保证整个引导过程的安全性，引导加载程序和可能的下一个引导组件必须实现类似于安全引导的代码签名检查机制。
4. 第二阶段引导加载器-可选组件
5. 操作系统内核-作为运行大多数时间最复杂的组件，为漏洞提供了最大的游乐场。

签名证书

的可信度

签名引导程序的可信度取决于使用可信签名证书加载到UEFI变量中的签名密钥。例如，在Linux的某些发行版中，使用一个名为希姆的小型引导程序来克服安全引导，并加载未签名的第二阶段引导程序或内核。因此，任何可以使用引导程序或内核映像写入介质的人都可以在其中引入任何漏洞或恶意软件。

在当前的许多发行版中，Shim用于加载由不同密钥签名的代码，因此仅使用shim并不意味着整个引导链不受签名的保护。

参考资料

• 羊肚菌安全引导
• UEFI安全引导在现代计算机安全解决方案中的应用
• Ubuntu的安全启动

Answer 2

安全启动是一种安全技术，它是不完整的。在安全启动之前可能会有攻击，英特尔为此创建了启动警卫。阅读此书，以更好地理解各种英特尔硅和固件技术：http://firmwaresecurity.com/tag/isbn-978-1-4302-6572-6/也，安全启动不同的操作系统，见：http://firmwaresecurity.com/2015/07/17/secure-boot-strength-varies-by-linux-implementation/谢谢，李http://firmwaresecurity.com/feed