Secure Boot — UEFI firmware tarkibidagi xavfsizlik mexanizmi bo‘lib, kompyuter yuklanayotganda bajariladigan komponentlarning raqamli imzosini tekshiradi. Uning vazifasi operatsion tizim ishga tushishidan oldin ruxsatsiz bootloader yoki bootkit bajarilishining oldini olishdir. Secure Boot diskni shifrlamaydi va foydalanuvchini autentifikatsiya qilmaydi; u yuklanish zanjirining kelib chiqishi va yaxlitligini nazorat qiladi.
Ishonch zanjiri
UEFI ishga tushgach, keyingi EFI executable faylining imzosini tekshiradi. Ruxsat berilgan kalit bilan imzolangan komponent bajariladi va u navbatdagi bosqichni tekshirishi mumkin. Shu tariqa firmware, boot manager, bootloader va operatsion tizim yadrosigacha ishonch zanjiri shakllanadi. Zanjirdagi tekshiruv bajarilmasa, zararli kod ishonchli komponentdan oldin boshqaruvni olishi mumkin.
Secure Boot kalit va imzo ma’lumotlarini bir nechta UEFI o‘zgaruvchisida saqlaydi. Platform Key (PK) platforma egasini bildiradi. Key Exchange Key (KEK) ruxsat va taqiq bazalarini yangilash huquqini boshqaradi. db bajarilishi mumkin bo‘lgan imzo va hashlarni, dbx esa bekor qilingan yoki ishonchsiz komponentlarni saqlaydi.
Imzoni tekshirish
EFI fayli ishonchli sertifikat bilan imzolangan bo‘lsa yoki uning hashi ruxsat bazasida bo‘lsa, firmware uni bajarishi mumkin. Imzo mos kelmasa yoki komponent dbx ro‘yxatiga tushgan bo‘lsa, yuklanish to‘xtatiladi. Bekor qilish bazasini yangilash ilgari ishonchli bo‘lgan, keyin zaifligi aniqlangan bootloaderni bloklash imkonini beradi.
Ayrim Linux distributivlari Microsoft tomonidan imzolangan kichik shim bootloaderdan foydalanadi. Shim distributiv kalitiga ishongan holda GRUB yoki boshqa keyingi bosqichni tekshiradi. Machine Owner Key mexanizmi foydalanuvchiga o‘z kernel moduli yoki komponenti uchun qo‘shimcha kalit ro‘yxatdan o‘tkazish imkonini beradi.
UEFI rejimlari
Setup Mode holatida Platform Key o‘rnatilmagan bo‘ladi va platforma kalitlarini boshqarish mumkin. User Mode holatida PK mavjud va yangilanishlar autentifikatsiya qilinadi. Firmware interfeysi Secure Bootni yoqish, o‘chirish yoki ishlab chiqaruvchi kalitlarini tiklash imkonini berishi mumkin. Noto‘g‘ri kalit boshqaruvi qonuniy operatsion tizimning ham yuklanmasligiga olib keladi.
Himoya chegarasi
Secure Boot yuklangan operatsion tizim ichidagi barcha zararli dasturlarni to‘xtatmaydi. U firmwaredagi zaiflik, operatsion tizimdagi exploit yoki foydalanuvchi hisobining buzilishini o‘zi hal qilmaydi. TPM bilan birga ishlatilganda Secure Boot tekshiradi, Measured Boot esa yuklangan komponentlar o‘lchovini TPM registrlariga yozadi. Bu ikki mexanizm o‘zaro bog‘liq, lekin vazifasi bir xil emas.
Yangilanish va tiklash
Boot komponenti yangilanganda yangi versiya ishonchli kalit bilan imzolangan bo‘lishi kerak. dbx yangilanishi zaif bootloaderni bekor qilgach, eski recovery vositasi ham yuklanmay qolishi mumkin. Shu sababli firmware, bootloader va recovery muhitining mosligi saqlanadi. Disk shifrlash TPM o‘lchovlariga bog‘langan bo‘lsa, firmware yoki Secure Boot sozlamasi o‘zgarganda recovery key talab qilinishi ehtimoli mavjud.
Custom mode ayrim platformalarda tashkilotga o‘z PK, KEK va db kalitlarini boshqarish imkonini beradi. Private signing key himoyalangan joyda saqlanadi; u yo‘qolsa yangi komponentlarni imzolash, oshkor bo‘lsa esa ishonch zanjirini saqlash qiyinlashadi.
Kalitning himoyalangan zaxira nusxasi alohida saqlanadi.
Bog‘liq tushunchalar
UEFI, bootloader, raqamli imzo, Platform Key, TPM, Measured Boot, bootkit