Entry № 1098
安全启动(Secure Boot)
安全启动(Secure Boot) 是什么?
安全启动(Secure Boot)UEFI 提供的功能,会校验每个启动组件的加密签名,拒绝运行未由可信权威签名的引导程序、内核或驱动。
Secure Boot 是 UEFI 规范的功能之一,从平台固件一直延伸到操作系统建立信任链。在每一步,固件都会用存放在受保护变量(PK、KEK、db、dbx)中的密钥校验下一阶段(引导程序、内核、驱动)的签名。若签名缺失或已撤销,则中止启动。它可抵御 LoJax、BlackLotus 等启动期恶意代码与持久化 Bootkit/Rootkit。Windows 11 要求启用,主流 Linux 发行版通过 shim 支持,并可与基于 TPM PCR 的度量启动以及 Intel BootGuard 等远程证明服务配合。
● 示例
- 01
BlackLotus 披露后,微软通过 UEFI dbx 撤销易受攻击的启动二进制。
- 02
Linux 发行版以 Microsoft UEFI CA 签名的 shim 加载 GRUB,可在原厂 OEM 固件上启动。
● 常见问题
安全启动(Secure Boot) 是什么?
UEFI 提供的功能,会校验每个启动组件的加密签名,拒绝运行未由可信权威签名的引导程序、内核或驱动。 它属于网络安全的 密码学 分类。
安全启动(Secure Boot) 是什么意思?
UEFI 提供的功能,会校验每个启动组件的加密签名,拒绝运行未由可信权威签名的引导程序、内核或驱动。
如何防御 安全启动(Secure Boot)?
针对 安全启动(Secure Boot) 的防御通常结合技术控制与运营实践,详见上方完整定义。