Secure Boot
Что такое Secure Boot?
Secure BootВозможность UEFI: проверяет криптографическую подпись каждого компонента загрузки и отказывается запускать загрузчик, ядро или драйвер без подписи доверенного издателя.
Secure Boot — функция спецификации UEFI, выстраивающая цепочку доверия от прошивки платформы до операционной системы. На каждом шаге прошивка проверяет подпись следующей стадии (загрузчика, ядра, драйверов) ключами в защищённых переменных PK, KEK, db и dbx. При отсутствии или отзыве подписи загрузка прерывается. Secure Boot защищает от pre-OS вредоносного ПО — буткитов и устойчивых руткитов вроде LoJax или BlackLotus. Требуется в Windows 11, поддерживается крупными дистрибутивами Linux через shim и дополняется измеренной загрузкой по PCR TPM и сервисами вроде Intel BootGuard.
● Примеры
- 01
Microsoft отозвала уязвимые загрузочные бинарники через UEFI dbx после раскрытия BlackLotus.
- 02
Linux-дистрибутив подписывает GRUB через shim под Microsoft UEFI CA для загрузки на штатной OEM-прошивке.
● Частые вопросы
Что такое Secure Boot?
Возможность UEFI: проверяет криптографическую подпись каждого компонента загрузки и отказывается запускать загрузчик, ядро или драйвер без подписи доверенного издателя. Относится к категории Криптография в кибербезопасности.
Что означает Secure Boot?
Возможность UEFI: проверяет криптографическую подпись каждого компонента загрузки и отказывается запускать загрузчик, ядро или драйвер без подписи доверенного издателя.
Как работает Secure Boot?
Secure Boot — функция спецификации UEFI, выстраивающая цепочку доверия от прошивки платформы до операционной системы. На каждом шаге прошивка проверяет подпись следующей стадии (загрузчика, ядра, драйверов) ключами в защищённых переменных PK, KEK, db и dbx. При отсутствии или отзыве подписи загрузка прерывается. Secure Boot защищает от pre-OS вредоносного ПО — буткитов и устойчивых руткитов вроде LoJax или BlackLotus. Требуется в Windows 11, поддерживается крупными дистрибутивами Linux через shim и дополняется измеренной загрузкой по PCR TPM и сервисами вроде Intel BootGuard.
Как защититься от Secure Boot?
Защита от Secure Boot обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- cryptography№ 1178
Trusted Platform Module (TPM)
Стандартизированный микрочип безопасности, припаянный к материнской плате или реализованный в прошивке; обеспечивает аппаратный корень доверия, аттестацию и измеренную загрузку.
- malware№ 117
Буткит
Вредоносное ПО, заражающее процесс загрузки (MBR, VBR или UEFI), чтобы загружаться раньше ОС и обеспечивать устойчивый привилегированный контроль.
- malware№ 949
Руткит
Скрытное вредоносное ПО, обеспечивающее и маскирующее привилегированный доступ к ОС или устройству, обходя стандартные средства обнаружения.
- cryptography№ 462
Аппаратный токен
Физическое устройство, хранящее криптографические секреты и выполняющее операции аутентификации; применяется как фактор владения в MFA.
- cryptography№ 321
Цифровая подпись
Криптографический механизм с открытым ключом, доказывающий подлинность, целостность и невозможность отказа от авторства сообщения или документа.
- cryptography№ 879
Криптография с открытым ключом
Раздел криптографии, использующий пары открытого и закрытого ключей для шифрования, обмена ключами, электронной подписи и аутентификации без предварительного общего секрета.
● См. также
- № 445Глитч-атака
- № 060ARM TrustZone
- № 679Microsoft Pluton
- № 460Аппаратная аттестация