Windowsを使用したデュアルブートでArch Linuxをセットアップし、セキュアブートを有効にしています。私が理解したのは、セキュアブートの目的は、攻撃者がブートマネージャおよび/またはカーネルを変更できないようにすることです。 Windowsの場合、修正されたブートマネージャはMicrosoftキーで署名されていないため、ノートブックを放置しても機能します。
ほぼすべてのLinuxディストリビューションでは隙間埋めるもの設定して再起動したら、GRUBブートマネージャのハッシュを登録する必要があります。今まではそんなに良くなった。その後、グラブバイナリでシングルバイトを変更して攻撃をシミュレートして再起動しました。ハッシュを登録するように求められ、手間をかけずに登録できました。
それでは、新しいハッシュを登録してセキュリティ侵害を簡単に「修正」できるとしたら、どのように改善されますか?私が何か誤解したことがありますか?
ベストアンサー1
セキュアブート自体では、攻撃者がコンピュータに物理的にアクセスするのを防ぐことはできません。ファームウェア設定への不正アクセスを防ぐために、パスワードを使用することをお勧めします。セキュアブートの主な目的は、悪意のあるコードが破損したカーネルとブートローダを挿入しないようにすることです。
物理アクセス権を持つユーザーは、新しい公開鍵を登録できます(たとえば、ファームウェアで制御された不揮発性メモリに保存)。これらの公開鍵は、ブートローダ、カーネル、および起動時に実行されるすべてのエントリの整合性を確認するために使用されます。新しい鍵を登録した後、攻撃者は攻撃者の秘密鍵で署名された新しいカーネルをインストールできます。または、物理アクセス権を持つ攻撃者がセキュアブートを完全に無効にする可能性があります。
しかし、コアは次のとおりです。オペレータが画面に物理的にアクセスでき、ファームウェア設定に入ることができる場合にのみ新しいキーを追加できます。物理的なアプローチ必須新しいキーを変更または追加する機能。セキュアブートは、システムの起動中に攻撃者がコンピュータに侵入して重要なシステムファイルを変更するのを防ぐように設計されています。すでに起動しています。これらの侵入は、ネットワークを介して行われたり、正当なユーザーをだまして実行したりするトロイの木馬を使用して発生する可能性があります。セキュアブートが有効になっている場合でも、攻撃者はカーネルイメージを変更できますが、ファームウェアは署名が一致しないため、次回の起動時にカーネルブートを拒否します。
したがって、UEFIセキュアブートには用途がありますが、ここで考慮する必要があるもう1つのことがあります。コンピュータはマイクロソフトとハードウェアの製造元キーがプレインストールされた状態で出荷されるため、コンピュータの起動時に実行されるバイナリを制御することはできません。セキュアブートをバイパスするために使用できる署名付きGRUBイメージでバグが検出されました。マイクロソフトとハードウェアのベンダーはさまざまなバイナリに署名している可能性があり、ユーザーはそれを知りません。
この問題に対する解決策は、すべてのファームウェアキーを削除し、独自のファームウェアキーに置き換えることです。これにより、起動時にコンピュータで実行できるバイナリにのみ署名できます。しかし注意してください。一部のコンピュータには起動に特別なドライバが必要であり、これらのドライバは元の公開鍵を必要とする鍵で署名されているという報告があります。そうしないと、コンピュータは起動しません。