安全启动(Secure Boot)
安全启动(Secure Boot) 是什么?
安全启动(Secure Boot)UEFI 提供的功能,会校验每个启动组件的加密签名,拒绝运行未由可信权威签名的引导程序、内核或驱动。
Secure Boot 是 UEFI 规范的功能之一,从平台固件一直延伸到操作系统建立信任链。在每一步,固件都会用存放在受保护变量(PK、KEK、db、dbx)中的密钥校验下一阶段(引导程序、内核、驱动)的签名。若签名缺失或已撤销,则中止启动。它可抵御 LoJax、BlackLotus 等启动期恶意代码与持久化 Bootkit/Rootkit。Windows 11 要求启用,主流 Linux 发行版通过 shim 支持,并可与基于 TPM PCR 的度量启动以及 Intel BootGuard 等远程证明服务配合。
● 示例
- 01
BlackLotus 披露后,微软通过 UEFI dbx 撤销易受攻击的启动二进制。
- 02
Linux 发行版以 Microsoft UEFI CA 签名的 shim 加载 GRUB,可在原厂 OEM 固件上启动。
● 常见问题
安全启动(Secure Boot) 是什么?
UEFI 提供的功能,会校验每个启动组件的加密签名,拒绝运行未由可信权威签名的引导程序、内核或驱动。 它属于网络安全的 密码学 分类。
安全启动(Secure Boot) 是什么意思?
UEFI 提供的功能,会校验每个启动组件的加密签名,拒绝运行未由可信权威签名的引导程序、内核或驱动。
安全启动(Secure Boot) 是如何工作的?
Secure Boot 是 UEFI 规范的功能之一,从平台固件一直延伸到操作系统建立信任链。在每一步,固件都会用存放在受保护变量(PK、KEK、db、dbx)中的密钥校验下一阶段(引导程序、内核、驱动)的签名。若签名缺失或已撤销,则中止启动。它可抵御 LoJax、BlackLotus 等启动期恶意代码与持久化 Bootkit/Rootkit。Windows 11 要求启用,主流 Linux 发行版通过 shim 支持,并可与基于 TPM PCR 的度量启动以及 Intel BootGuard 等远程证明服务配合。
如何防御 安全启动(Secure Boot)?
针对 安全启动(Secure Boot) 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- cryptography№ 1178
可信平台模块(TPM)
由 TCG 标准化的安全芯片,焊接在主板上或以固件方式实现,提供基于硬件的密钥存储、远程证明与度量启动。
- malware№ 117
引导级恶意软件(Bootkit)
感染 MBR、VBR 或 UEFI 等引导过程的恶意软件,可在操作系统之前加载并获取持久的特权控制。
- malware№ 949
Rootkit
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
- cryptography№ 462
硬件令牌(Hardware Token)
存储加密密钥并执行认证操作的物理设备,在多因素认证中作为持有因素使用。
- cryptography№ 321
数字签名
一种公钥密码学机制,用于证明消息或文档的真实性、完整性以及不可否认性。
- cryptography№ 879
公钥密码学
使用成对的公钥与私钥实现加密、密钥交换、数字签名和身份认证的密码学分支,无需事先共享秘密。
● 参见
- № 445Glitch 攻击
- № 060ARM TrustZone
- № 679Microsoft Pluton
- № 460硬件证明