¿Qué me aporta una imagen de kernel de Linux firmada?

4

En los sistemas Ubuntu y posiblemente en los sistemas Debian, puede instalar paquetes que contengan imágenes firmadas por la clave EFI de Ubuntu. Por ejemplo, linux-signed-image-generic-lts-trusty es uno de estos paquetes.

Supongamos que tengo un disco totalmente encriptado y una partición de inicio sin cifrar, según sea necesario. Utilizo un archivo de clave cifrada PGP para descifrar mi disco. ¿Qué hace exactamente el uso de estas imágenes firmadas con seguridad adicional? ¿Qué tan trivial es generar una imagen de kernel EFI "firmada" que esté comprometida?

    
pregunta Naftuli Kay 15.05.2015 - 05:44
fuente

1 respuesta

5

Con su partición de inicio sin cifrar, el malware podría, en teoría, reemplazar su núcleo sin firma por el suyo propio (por ejemplo, un hipervisor que ejecuta su núcleo original). Entonces, su sistema no podrá detectar este malware y tendrá acceso completo a él.

Un kernel firmado cierra este agujero, al menos en teoría: dado que el hipervisor de malware no está firmado, un BIOS EFI que requiere un sistema operativo firmado se negaría a cargarlo.

El problema con esto es que si bien el BIOS no reconoce una clave de firma reconocida por un autor de malware aleatorio, sí lo es un actor a nivel estatal, y existe una posibilidad decente de que un autor que trabaja para el crimen organizado lo haga. / p>     

respondido por el Mark 15.05.2015 - 06:20
fuente

Lea otras preguntas en las etiquetas