Secure Boot
Что такое Secure Boot?
Secure BootВозможность UEFI: проверяет криптографическую подпись каждого компонента загрузки и отказывается запускать загрузчик, ядро или драйвер без подписи доверенного издателя.
Secure Boot — функция спецификации UEFI, выстраивающая цепочку доверия от прошивки платформы до операционной системы. На каждом шаге прошивка проверяет подпись следующей стадии (загрузчика, ядра, драйверов) ключами в защищённых переменных PK, KEK, db и dbx. При отсутствии или отзыве подписи загрузка прерывается. Secure Boot защищает от pre-OS вредоносного ПО — буткитов и устойчивых руткитов вроде LoJax или BlackLotus. Требуется в Windows 11, поддерживается крупными дистрибутивами Linux через shim и дополняется измеренной загрузкой по PCR TPM и сервисами вроде Intel BootGuard.
● Примеры
- 01
Microsoft отозвала уязвимые загрузочные бинарники через UEFI dbx после раскрытия BlackLotus.
- 02
Linux-дистрибутив подписывает GRUB через shim под Microsoft UEFI CA для загрузки на штатной OEM-прошивке.
● Частые вопросы
Что такое Secure Boot?
Возможность UEFI: проверяет криптографическую подпись каждого компонента загрузки и отказывается запускать загрузчик, ядро или драйвер без подписи доверенного издателя. Относится к категории Криптография в кибербезопасности.
Что означает Secure Boot?
Возможность UEFI: проверяет криптографическую подпись каждого компонента загрузки и отказывается запускать загрузчик, ядро или драйвер без подписи доверенного издателя.
Как защититься от Secure Boot?
Защита от Secure Boot обычно сочетает технические меры и операционные практики, как описано в определении выше.