搜尋此網誌

2012年9月16日 星期日

UEFI Secure Boot 概要

1.1 UEFI Secure Boot 概要
UEFI安全啟動(Secure Boot)定義平台的韌體如何鑑定一個UEFI影像檔的數位簽章,例如一個作業系統的載入器或一個UEFI驅動程式存在一個Option ROM, 以這樣的方式提供功能去確保那些UEFI影像檔,它們只被載入在一個經所有人授權的方式。當系統執行以UEFI為底的韌體時,所提供大眾的方法去確保平台的安全與完整性。
更多詳細的概要請瀏覽Intel Technology日誌,參考下面章節。

1.1.1 [影像格式]
UEFI影像檔使用PE/COFF格式與簽章如同定義在微軟的Authenticode 說明,請看接項來的說明手冊:
  • Microsoft Portable Executable and Common Object File Format Specification, http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx
  • Windows Authenticode Portable Executable Signature Format, http://www.microsoft.com/whdc/winlogo/drvsign/Authenticode_PE.mspx
1.1.2 [UEFI安全啟動(Secure Boot)方針]
UEFI安全啟動(Secure Boot)的設計與實現接下來的目標:
  • 允許這平台所有者檢查一個已知的影像檔確保其完整性與安全性,這影像檔只能被載入經由此檢驗的方法。
  • 允許這平台所有者管理平台的安全方針像定義一樣,經由UEFI安全啟動(Secure Boot)鑑定變數,它的描述如下。
UEFI安全啟動(Secure Boot)被控制經由一個UEFI鑑定變數的設定與平台PCD(定義如下),它明確說明UEFI安全啟動(Secure Boot)方針。這些方針包含:
  • 影像檔和憑證方針 - 詳細說明它的影像檔和憑證是含有在白表(a.k.a 經授權的簽章資料庫)與黑表(a.k.a 禁用的簽章資料庫)。
  • 影像檔位置方針 - 詳細說明這行為對於影像檔載入從固定的對於可移動的媒體。這些方針包含總是或從不確信的影像檔來自一個出處。例如這策略能夠載入總是確信的影像,從固定媒體,但從PCI裝置卡與移動媒體驗證影像檔載入。
  • 影像檔驗證失敗方針 - 細說明這行為被執行,當影像檔驗證失敗時。這些包含:允許執行,延遲執行,拒絕執行或是詢問使用者。例如這策略可能是詢問使用者,對於允許去執行一個影像檔,這影像檔被驗證失敗。
影像檔和憑證方針被實現,使用這UEFI鑑定變數。它定義在UEFI 2.3.1A規格書,還有被描述在章節1.2下。
影像檔位置方針與影像檔驗證失敗方針是特殊平台與被實現經由OEM和IBV使用UDK2010.SR1安全啟動方針PCD的章節被描述在章節1.3。這些PCD是一個UDK2010.SR1釋出版中的特色與不明確說明在UEFI 2.3.1A說明書中。

1.1.3 [附加的資訊]
附加的資訊在 UEFI安全啟動(Secure Boot) 與鑑定可變因素可以被尋得在接下來的文件:
  • Intel Technology Journal, Volume 15, Issue 1, 201,  UEFI Today: Bootstrapping the Continuum, UEFI Networking and Pre-OS Security, page 80 at http://www.intel.com/technology/itj/2011/v15i1/pdfs/Intel-Technology-Journal-Volume-15-Issue-1-2011.pdf.
  • UEFI 2.3.1A Specification : Sections 7.2 (Variable Services) and Sections 27.2 through 27.8 (Secure Boot)  of the at www.uefi.org.  Please note that the use of the “Secure Boot” in Section 27.1 is an overloaded usage that is unrelated to “Secure Boot” as used in this document.
  • Beyond BIOS: Developing with the Unified Extensible Firmware Interface, 2nd Edition, Vincent Zimmer, ISBN 13 978-1-934053-29-4, Chapter 10 – Platform Security and Trust, www.intel.com/intelpress.
  • Harnessing the UEFI Shell, Moving the platform beyond DOS, Michael Rothman www.intel.com/intelpress.  Appendix A - Security Considerations.
  • Windows Hardware Certification Requirements December, 2011. http://msdn.microsoft.com/library/windows/hardware/hh748188
1.1.4 [文件的優先次序]
若有任何資訊被提供在這份文件(Signing UEFI Applications and Drivers for UEFI Secure Boot)牴觸UEFI 2.3.1A規格書中所包含的資訊,將以UEFI 2.3.1A規格書為主,除非明確的註明。

沒有留言:

張貼留言