Arranque Seguro (Secure Boot)
O que é Arranque Seguro (Secure Boot)?
Arranque Seguro (Secure Boot)Funcionalidade UEFI que verifica a assinatura criptografica de cada componente de arranque, recusando bootloaders, kernels ou drivers nao assinados por uma autoridade confiavel.
O Secure Boot e uma funcionalidade da especificacao UEFI que estabelece uma cadeia de confianca do firmware da plataforma ate ao sistema operativo. Em cada passo, o firmware verifica a assinatura do componente seguinte (bootloader, kernel, drivers) contra chaves guardadas em variaveis protegidas: PK, KEK, db e dbx. Se a assinatura faltar ou tiver sido revogada, o arranque para. Protege contra malware pre-SO como bootkits e rootkits persistentes (LoJax, BlackLotus). E requisito do Windows 11, e suportado pelas principais distros Linux via shim e e complementado por Measured Boot com PCRs do TPM e servicos como Intel BootGuard.
● Exemplos
- 01
Microsoft revogou binarios de boot vulneraveis via dbx do UEFI apos a divulgacao do BlackLotus.
- 02
Uma distro Linux assina o GRUB via shim sob a CA UEFI da Microsoft para arrancar em firmware OEM.
● Perguntas frequentes
O que é Arranque Seguro (Secure Boot)?
Funcionalidade UEFI que verifica a assinatura criptografica de cada componente de arranque, recusando bootloaders, kernels ou drivers nao assinados por uma autoridade confiavel. Pertence à categoria Criptografia da cibersegurança.
O que significa Arranque Seguro (Secure Boot)?
Funcionalidade UEFI que verifica a assinatura criptografica de cada componente de arranque, recusando bootloaders, kernels ou drivers nao assinados por uma autoridade confiavel.
Como funciona Arranque Seguro (Secure Boot)?
O Secure Boot e uma funcionalidade da especificacao UEFI que estabelece uma cadeia de confianca do firmware da plataforma ate ao sistema operativo. Em cada passo, o firmware verifica a assinatura do componente seguinte (bootloader, kernel, drivers) contra chaves guardadas em variaveis protegidas: PK, KEK, db e dbx. Se a assinatura faltar ou tiver sido revogada, o arranque para. Protege contra malware pre-SO como bootkits e rootkits persistentes (LoJax, BlackLotus). E requisito do Windows 11, e suportado pelas principais distros Linux via shim e e complementado por Measured Boot com PCRs do TPM e servicos como Intel BootGuard.
Como se defender contra Arranque Seguro (Secure Boot)?
As defesas contra Arranque Seguro (Secure Boot) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- cryptography№ 1178
Trusted Platform Module (TPM)
Chip de seguranca padronizado soldado a placa principal ou implementado em firmware que oferece armazenamento de chaves ancorado em hardware, atestacao e measured boot.
- malware№ 117
Bootkit
Malware que infeta o processo de arranque — MBR, VBR ou UEFI — para se carregar antes do sistema operativo e obter controlo privilegiado persistente.
- malware№ 949
Rootkit
Malware furtivo que concede e oculta acesso privilegiado a um sistema operativo ou dispositivo, escapando às ferramentas de deteção comuns.
- cryptography№ 462
Token de hardware
Dispositivo fisico que guarda segredos criptograficos e realiza operacoes de autenticacao, usado como fator de posse em MFA.
- cryptography№ 321
Assinatura digital
Mecanismo criptográfico de chave pública que comprova autenticidade, integridade e não-repúdio de uma mensagem ou documento.
- cryptography№ 879
Criptografia de chave pública
Ramo da criptografia que usa pares de chaves pública e privada para suportar cifragem, troca de chaves, assinaturas digitais e autenticação sem segredos partilhados previamente.
● Veja também
- № 445Ataque por glitch
- № 060ARM TrustZone
- № 679Microsoft Pluton
- № 460Atestacao em hardware