Clever Geek Handbook

Intel Boot Guard di jari

Saya mengusulkan untuk terjun ke dalam hutan mikroarsitektur komputer dan memahami bagaimana salah satu teknologi paling umum untuk memastikan integritas perangkat keras dari booting BIOS, Intel Boot Guard, bekerja. Artikel ini menyoroti prasyarat kemunculan teknologi, mencantumkan semua mode operasi, dan juga menjelaskan algoritme untuk masing-masingnya. Semuanya teratur.





Sejarah dan prasyarat untuk penciptaan

Proses boot komputer adalah rangkaian peristiwa di mana kontrol peralatan eksekutif ditransfer dari satu tautan ke tautan lainnya, dimulai dengan pengguna menekan tombol daya dan diakhiri dengan aplikasi. Masalahnya adalah setiap tautan ini dapat disusupi oleh penyerang. Selain itu, semakin dini komponen tersebut diserang, semakin banyak kebebasan bertindak yang didapat pelaku. Ada beberapa kasus serangan yang diketahui di mana penyerang mengganti BIOS atau Boot loader dengan yang rentan dan, pada kenyataannya, mengubah komputer menjadi "batu bata" (itulah sebabnya jenis serangan ini disebut Bricking). Dalam upaya melindungi proses boot komputer, banyak pemeriksa integritas telah dibuat. Namun, program apa pun dapat berhasil diganti oleh pelanggar,oleh karena itu tidak mungkin untuk mengandalkannya seratus persen. Oleh karena itu, muncul kebutuhan untuk menciptakan teknologi perangkat keras yang lebih andal untuk memastikan integritas unduhan.





Pada tahun 2013, Intel mengintegrasikan teknologi Boot Guard ke dalam mikroarsitektur Haswell baru sebagai pilihannya untuk memberikan perlindungan perangkat keras untuk boot komputer. Modul perangkat keras modul kode yang diautentikasi (ACM) ditambahkan ke proses boot, dan produsen perangkat keras harus memperluas BIOS dengan menambahkan blok boot awal (IBB). Sejak itu, rantai boot komputer menyertakan ACM, yang dengannya IBB diperiksa, setelah itu kontrol ditransfer ke BIOS, dan seterusnya.





Diagram proses boot komputer dengan Intel Boot Guard
Diagram proses boot komputer dengan Intel Boot Guard

Mode operasi

Boot Guard . , ACM IBB. , "" .





Boot Guard :





  • (Measured boot) , . TPM (Trusted platform module) — , , RSA, RSA.





  • (Verified boot) , . — , : . , . .





TPM (IBB), IBB. Boot Guard :





  1. TPM





  2. IBB





  3. IBB





  4. IBB





  5. IBB





  6. , —





TPM selama Boot Guard dalam Metered Boot Mode
TPM Boot Guard

Boot Guard , (IBB) : IBB (IBBM) . IBB , IBB, RSA, RSA IBB. , RSA IBB, RSA , RSA RSA IBB. RSA . (ACM). Boot Guard :





  1. ACM RSA .





  2. . , . , .





  3. RSA . .





  4. RSA . .





  5. RSA IBB . .





  6. RSA IBB. .





  7. IBB IBBM. .





  8. .





  9. .





Boot Guard berfungsi dalam mode boot terverifikasi
Boot Guard

Sebagai kesimpulan, saya ingin menambahkan bahwa terlepas dari semua keindahan dan keandalan Boot Guard, penting untuk dipahami bahwa konfigurasi teknologi ini dipercayakan kepada produsen perangkat keras. Pada 2017, enam model motherboard ditemukan di mana Boot Guard tidak dikonfigurasi dengan benar dan diizinkan untuk melewati pemeriksaan integritas BIOS. Jaga komputer Anda dan pilih produsen perangkat keras yang andal!





Saat menulis artikel, literatur berikut digunakan:





  • Ruan X.  Platform Embedded Security Technology Revealed - Apress, Berkeley, CA, 2014. - P. 263 - ISBN 978-1-4302-6572-6











More articles:


All Articles