UEFI Medición de integridad del firmware

7

Sabemos que UEFI mide la integridad de la imagen del cargador de arranque cada vez que encendemos nuestra computadora si el arranque seguro está habilitado.

Con los crecientes ataques y descubrimientos de vulnerabilidades de UEFI, surgen las siguientes preguntas:

Quiero saber si hay una especificación en UEFI que mida la integridad del firmware de UEFI antes del proceso de arranque seguro, por lo que puede evitar o evitar ataques de flash para alterar el firmware.

También, quiero saber si se mide la integridad del firmware del resto de dispositivos conectados a la computadora.

Mi preocupación aquí es de que si su firmware se ve comprometido (parpadeo), el malware instalado puede realizar cualquier tarea, por lo que engaña el protocolo de arranque seguro temprano.

    
pregunta kub0x 06.07.2016 - 17:52
fuente

2 respuestas

1

En la mayoría de los casos, el UEFI se encuentra en una memoria no volátil (por ejemplo, N y la memoria integrada en la placa base), un buen enfoque para dicha protección contra el compromiso de FW puede ser:

ANTES de la primera escritura de UEFI FW:

1.calculate RSA singature: tiene que ser una implementación sólida de RSA (por ejemplo, 4096 módulo de longitud + esquema de relleno OAEP)

2. Almacene la clave pública y la firma concatenadas a la imagen FW

3. si hay una opción para usar el bloque de memoria OTP (HW considerablemente bajo costo) - provea SHA-512 de la clave pública a OTP (opcional)

En cada carga de FW:

1.Verifique SHA-512 de la clave pública concatenada a la imagen FW (opcional)

2. Autenticar firma RSA

3. continuar con el arranque

Este enfoque es bastante seguro y no es muy costoso ya que la autenticación de firma RSA no consumirá mucho tiempo (el exponente público tiene pocos bits y, por lo tanto, la exponenciación será lo suficientemente rápida). No encontré ningún esquema de este tipo en la especificación de arranque seguro, espero que agreguen algo de ese tipo en el futuro.

    
respondido por el Dima Shifrin 02.11.2016 - 17:23
fuente
1

El equipo de investigación de Intel Security lanzó recientemente una herramienta dedicada a este tipo de verificación de seguridad UEFI: Escáner de integridad CHIPSEC UEFI

chipsec / github

Necesitará una lista blanca de referencia segura para detectar que su EFI se ha visto comprometida.

    
respondido por el daniel Azuelos 13.03.2017 - 17:23
fuente

Lea otras preguntas en las etiquetas