すでにUEFIロックがある場合にセキュアブートが必要なのはなぜですか？

私の知る限り、UEFIで有効になっているセキュアブート機能は、OSのカーネルイメージの署名済みキーをNVRAMに保存し、ブートレベルでの破損をチェックします。ただし、UEFIメニューがパスワードでロックされるまで、セットアップメニューを起動してこの機能を無効にすることを妨げるものはありません。

それ以来、カーネルイメージにアクセスして悪意のあるコードを読み込む唯一の方法は、UEFIのパスワードをリセットすることによるEvil Maid攻撃です。しかし、マザーボードにアクセスできる場合、なぜセキュアブート仕様が必要なのでしょうか？

セキュアブートとは、物理的な攻撃者によるシステムへのアクセスを禁止することではありません。ブートローダーの暗号の整合性をチェックすることにより、ソフトウェアがブートプロセスを操作するのを防ぐように設計されています。考えて青い錠剤を。

ブートステップは、次のステップコードの検証を担当します。セキュアブート自体は、最初のステップにのみ関係します。

ソフトウェア攻撃者は、UEFIセットアップにアクセスしたり、ブート構成について何かを変更したりする必要はありません。実行するように設定されているUEFI実行可能ファイルを置き換えるだけです。UEFIセットアップのパスワードロックは、それについて何も行いません。

一方、セキュアブートは、暗号化方式を使用してUEFI実行可能ファイルを検証します。この変更を検出し、起動を拒否します。

信頼できるブートと動作を保証するには、すべてのカーネルモードコードに署名する必要があります。これは、デバイスドライバーの署名も強制する64ビットバージョンのWindowsの場合です。

オペレーティングシステムまたはそれらが実行するソフトウェアは安全ではありません。ほとんどの場合、正式に証明可能なセキュリティを実現することは不可能です。そのため、攻撃者は常に、ブートローダーの交換などの特権操作を実行するのに十分なアクセスを達成できます。

UEFIは、キーを保存する方法と、それらのキーを使用して、EFIイメージの読み込みプロセスの一部としてデジタル署名を検証する方法と、OSで使用できる認証済みUEFI変数を指定します。

マシンをセットアップモードにする方法を定義するのは、実装者の責任です。これは、製造元によって一度設定される可能性があり、ユーザーはそれを変更できないか、UEFIメニューで変更できます。それ以外の場合、CMOSをリセットしてセットアップモードに再び入る必要があります。他のユーザーは、セキュアブートを有効にするためにパスワードが必要です。その他の場合は、セットアップモードに入ることを帯域外管理システムの一部にします。

セットアップモードの開始とセキュアブートの再構成の実装方法は、仕様の範囲外です。

OSがロックをチェックしていない場合、ロックは無意味です。

すべきことは、ブートプロセスのUEFI部分ですべてが正しい場合を除き、ブートしないOSを使用することです。