Русская Википедия:Intel Boot Guard

Intel Boot Guard (Intel BG) — технология, которая обеспечивает аппаратную защиту целостности загрузки BIOS, отслеживает несанкционированные блоки загрузки и запрещает их исполнение^[1].

Для поддержки технологии BG Intel выпустила модуль аутентифицированного кода (ACM, Authenticated Code Module). Подписанный цифровой подписью Intel, ACM хранится внутри флеш-памяти вместе с BIOS и другими компонентами прошивки компьютера. С помощью ACM производитель оборудования (OEM, Original Equipment Manufacturer) настраивает BG^[2].

Для реализации BG OEM включает новый компонент прошивки компьютера — начальный блок загрузки (IBB, Initial Boot Block), который загружается перед BIOS. В процесс загрузки компьютера добавляется этап проверки IBB. Начальный блок загрузки отвечает за проверку целостности BIOS, инициализацию памяти и загрузку BIOS в подсистему памяти. Так же, как и ACM, начальный блок загрузки хранится внутри флеш-памяти компьютера^[2].

История создания

В 2003 году Intel, AMD, HP, IBM и Microsoft создали Группу Доверенных Вычислений (TCG, Trusted Computing Group) — организацию, целью которой является разработка стандарта для производителей оборудования (OEM, Original Equipment Manufacturer), позволяющего обеспечить защиту системы от исполнения несанкционированного программного обеспечения. В рамках этой организации был разработан TPM (Trusted Platform Module)^[3].

В 2013 году Intel выпустила микроархитектуру Haswell, одной из новшеств которой по сравнению с предыдущими поколениями является технология Boot Guard (BG), созданная в рамках TCG^[1]. Технология BG также является частью архитектуры последующих поколений процессоров Intel Core^[4].

Режимы работы и конфигурация

Технология Boot Guard (BG) поддерживает 3 режима работы:

Измеренная загрузка. Проверка целостности начального блока загрузки (IBB, Initial Boot Block) с использованием хеша, вычисляемого в криптопроцессоре TPM (Trusted Platform Module)^[1].
Проверенная загрузка. Проверка целостности IBB с использованием схемы цифровой подписи^[1]. В данном режиме работы не используется криптопроцессор TPM, что снижает стоимость реализации^[5].
Измеренная и проверенная загрузка. Проверка целостности IBB с использованием хеша, вычисляемого в криптопроцессоре TPM, а также с использованием схемы цифровой подписи^[2].

Конфигурации BG, устанавливаемые производителями оборудования (OEM, Original Equipment Manufacturer), варьируются в зависимости от продукта^[6]. В первую очередь OEM отвечает за встраивание хеша своего публичного ключа для поддержки проверенной загрузки и настройку политик загрузки посредством системы безопасности и управления (ME, Management Engine)^[2]. Политики загрузки хранятся в программируемых предохранителях. Они определяют, какой режим защиты активирован и какие действия предпринимать в случае ошибки в модуле аутентифицированного кода (ACM, Authenticated Code Module) или в IBB^[6].

Измеренная загрузка

Механизм измеренной загрузки реализован с использованием криптопроцессора TPM (Trusted Platform Module). Хеш начального блока загрузки (IBB, Initial Boot Block) вычисляется и хранится в TPM. Программы, исполняемые на процессоре, не имеют доступа к TPM, и как следствие, к хешу IBB^[7].

В ходе измеренной загрузки производится точное сравнение между текущим состоянием системы и известными эталонами компонент процесса загрузки. Измерения хранятся в TPM и доступны для локального и удаленного подтверждения. Если измерения соответствуют эталонам, то система помечается как надежная, иначе — как ненадежная и начинает следовать политикам загрузки для отступления^[2]^[7].

Проверенная загрузка

Механизм проверенной загрузки предлагает альтернативный принцип работы, не полагающийся на криптопроцессор TPM (Trusted Platform Module) или другие устройства. В ходе работы проверенной загрузки этапы загрузки выстраиваются в цепочку доверия, окончательным звеном которой являются программируемые предохранители — часть аппаратуры компьютера. Такой подход к проверке системы является более надежным по сравнению с программными решениями^[2].

Манифесты

Манифест начального блока загрузки

Начальный блок загрузки (IBB, Initial Boot Block) ассоциирован с манифестом (IBBM, Initial Boot Block Manifest), состоящим из следующих полей:

Номер версии безопасности
Хеш SHA-256 начального блока загрузки
Подпись RSA (1) и (2)
Открытый ключ RSA IBBM, используемый для проверки (3)

Единственным назначением 2048-битной пары ключей RSA IBBM, устанавливаемых производителем оборудования (OEM, Original Equipment Manufacturer), является подпись (1) и (2). Закрытый ключ защищен OEM, а хеш открытого ключа хранится в программируемых предохранителях^[2].

Манифест ключа

IBBM в свою очередь ассоциирован с манифестом ключа, состоящим из следующих полей:

Номер версии безопасности
Хеш SHA-256 открытого ключа RSA IBBM
Подпись RSA (1) и (2)
Открытый ключ RSA OEM, используемый для проверки (3)

Единственным назначением 2048-битной пары ключей RSA OEM является подпись (1) и (2). Закрытый ключ защищен OEM, а хеш открытого ключа хранится в программируемых предохранителях^[2].

Номер версии безопасности манифеста ключа позволяет OEM аннулировать пару ключей RSA IBBM в случае его взлома. При необходимости заменить пару ключей RSA IBBM, производитель оборудования сгенерирует новую пару ключей и поместит хеш открытого ключа в новый манифест ключа, одновременно увеличив номер версии безопасности. Номер версии безопасности IBBM покрывает начальный блок загрузки и позволяет производителю оборудования отменить и исправить его в случае уязвимости. При выпуске нового начального блока загрузки номер версии безопасности IBBM увеличивается^[2].

Оба номера проверяются системой безопасности и управления (ME, Management Engine) во время проверенной загрузки. В случаях, когда номер версии загружаемого манифеста больше, чем соответствующее значение, записанное в программируемых предохранителях, то программируется определённое количество предохранителей, чтобы отразить больший номер версии. Случаи, когда номер версии меньше соответствующего значения в предохранителях, являются индикатором атаки, при которой злоумышленник имеет доступ к флеш-памяти и заменяет более позднюю версию манифеста уязвимой более старой. В таких ситуациях ME реагирует в соответствии с политиками загрузки, настраиваемыми OEM^[2].

Процесс проверки

Проверка начального блока загрузки (IBB, Initial Boot Block) — это совместная работа модуля аутентифицированного кода (ACM, Authenticated Code Module) и системы безопасности и управления (ME, Management Engine). ACM загружает прошивку начального блока загрузки и манифесты ключа и IBB из флеш-памяти, получает от ME хеш открытого ключа RSA производителя оборудования (OEM, Original Equipment Manufacturer), политики загрузки, собственный номер версии безопасности и номера версий безопасности двух манифестов и проверяет целостность IBB c помощью хеша открытого ключа RSA OEM. При необходимости ACM оповещает ME об обновлении номеров версии безопасности и применяет политики загрузки в случае ошибки или разрыве связи с ME. ME читает хеш открытого ключа RSA OEM, политики загрузки, номера версий безопасности ACM и манифестов из программируемых предохранителей и отправляет эту информацию ACM. При необходимости ME увеличивает номера версий безопасности ACM и манифестов в программируемых предохранителях и применяет политики загрузки в случае ошибки, разрыве связи с ACM или сбое проверки^[2].

Обнаруженные уязвимости

В 2017 году в шести материнских платах компаний Asus, Lenovo, MSI и Gigabyte были обнаружены уязвимости, позволяющие обойти защитные механизмы BIOS, в частности Boot Guard^[8]. В октябре того же года Intel представила патчи, исправляющие некоторые из обнаруженных уязвимостей защитных механизмов BIOS^[9].

Примечания

Шаблон:Примечания

Литература

Ruan X. Platform Embedded Security Technology Revealed — Apress, Berkeley, CA, 2014. — С. 263 — ISBN 978-1-4302-6572-6.

Шаблон:Изолированная статья

en:Intel vPro#Intel Boot Guard

[Intel_uArch-1] 1,0 ^1,1 ^1,2 ^1,3 Шаблон:Публикация

[book-2] 2,00 ^2,01 ^2,02 ^2,03 ^2,04 ^2,05 ^2,06 ^2,07 ^2,08 ^2,09 ^2,10 Шаблон:Публикация

[3] Шаблон:Публикация

[4] Шаблон:Публикация

[Intel_guards-5] Шаблон:Публикация

[BG_Dell-6] 6,0 ^6,1 Шаблон:Публикация

[history-7] 7,0 ^7,1 Шаблон:Публикация

[8] Шаблон:Публикация

[9] Шаблон:Публикация

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

Партнерские ресурсы
Криптовалюты	Обмен криптовалют - www.bestchange.ru Криптовалютная биржа CoinEx Криптовалютная биржа Binance HIVE OS - операционная система для майнинга e4pool - Мультивалютный пул для майнинга.
Магазины	AliExpress — глобальная виртуальная (в Интернете) торговая площадка, предоставляющая возможность покупать товары производителей из КНР; computeruniverse.net - Интернет-магазин компьютеров(Промо код 5 Евро на первую покупку:FWWC3ZKQ);
Хостинг	DigitalOcean - американский провайдер облачных инфраструктур, с главным офисом в Нью-Йорке и с центрами обработки данных по всему миру;
Разное	Викиум - Онлайн-тренажер для мозга Like Центр - Центр поддержки и развития предпринимательства. Gamersbay - лучший магазин по бустингу для World of Warcraft. Ноотропы OmniMind N°1 - Усиливает мозговую активность. Повышает мотивацию. Улучшает память. Санкт-Петербургская школа телевидения - это федеральная сеть образовательных центров, которая имеет филиалы в 37 городах России. Lingualeo.com — интерактивный онлайн-сервис для изучения и практики английского языка в увлекательной игровой форме. Junyschool (Джунискул) – международная школа программирования и дизайна для детей и подростков от 5 до 17 лет, где ученики осваивают компьютерную грамотность, развивают алгоритмическое и креативное мышление, изучают основы программирования и компьютерной графики, создают собственные проекты: игры, сайты, программы, приложения, анимации, 3D-модели, монтируют видео. Умназия - Интерактивные онлайн-курсы и тренажеры для развития мышления детей 6-13 лет SkillBox - это один из лидеров российского рынка онлайн-образования. Среди партнеров Skillbox ведущий разработчик сервисного дизайна AIC, медиа-компания Yoola, первое и самое крупное русскоязычное аналитическое агентство Tagline, онлайн-школа дизайна и иллюстрации Bang! Bang! Education, оператор PR-рынка PACO, студия рисования Draw&Go, агентство performance-маркетинга Ingate, scrum-студия Sibirix, имидж-лаборатория Персона. «Нетология» — это университет по подготовке и дополнительному обучению специалистов в области интернет-маркетинга, управления проектами и продуктами, дизайна, Data Science и разработки. В рамках Нетологии студенты получают ценные теоретические знания от лучших экспертов Рунета, выполняют практические задания на отработку полученных навыков, общаются с экспертами и единомышленниками. Познакомиться со всеми продуктами подробнее можно на сайте https://netology.ru, линейка курсов и профессий постоянно обновляется. StudyBay Brazil – это онлайн биржа для португалоговорящих студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт. Автор24 — самая большая в России площадка по написанию учебных работ: контрольные и курсовые работы, дипломы, рефераты, решение задач, отчеты по практике, а так же любой другой вид работы. Сервис сотрудничает с более 70 000 авторов. Более 1 000 000 работ уже выполнено. StudyBay – это онлайн биржа для англоязычных студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт.