Misura dell'integrità del firmware UEFI

7

Sappiamo che UEFI misura l'integrità dell'immagine del bootloader del sistema operativo ogni volta che accendiamo il computer se è abilitato l'avvio sicuro.

Con gli attacchi e le scoperte crescenti delle vulnerabilità UEFI, emergono le seguenti domande:

Voglio sapere se c'è una specifica su UEFI che misura l'integrità del firmware UEFI prima del processo di avvio protetto, quindi può prevenire o evitare attacchi lampeggianti per alterare il firmware.

Inoltre, voglio sapere se viene misurata l'integrità del firmware del resto dei dispositivi collegati al computer.

La mia preoccupazione è che se il tuo firmware viene compromesso (exploit lampeggiante), il malware installato è in grado di eseguire qualsiasi attività, ingannando così il protocollo di avvio sicuro iniziale.

    
posta kub0x 06.07.2016 - 17:52
fonte

2 risposte

1

Nella maggior parte dei casi l'UEFI si trova in una memoria non volatile (ad esempio memoria Nand incorporata nella scheda madre), un buon approccio per tale protezione contro la compromissione FW potrebbe essere:

PRIMA della prima scrittura di UEFI FW:

1.calcolare la singatura RSA - deve essere una strong implementazione di RSA (ad es. 4096 modulo di lunghezza + schema di riempimento OAEP)

2. Memorizza sia la chiave pubblica che la firma concatenata all'immagine FW

3.se c'è un'opzione per usare il blocco di memoria OTP (HW considerevolmente a basso costo) - fornitura SHA-512 della chiave pubblica a OTP (opzionale)

Su ogni caricamento di FW:

1.Verifica SHA-512 della chiave pubblica concatenata all'immagine FW (opzionale)

2. Firma RSA autentica

3.procare con l'avvio

Questo approccio è abbastanza sicuro e non molto costoso poiché l'autenticazione della firma RSA non consumerà molto tempo (l'esponente pubblico ha pochi bit in esso e quindi l'esponenziazione sarà abbastanza veloce). Non ho trovato nessuno schema simile nella specifica di avvio protetta, spero che aggiungeranno qualcosa di simile in futuro.

    
risposta data 02.11.2016 - 17:23
fonte
1

Il team di ricerca di Intel Security ha recentemente rilasciato uno strumento dedicato a questo tipo di controllo di sanità UEFI: scanner di integrità CHIPSEC UEFI

chipsec / github

Avrai bisogno di una whitelist di riferimento sicura per rilevare che il tuo EFI è stato compromesso.

    
risposta data 13.03.2017 - 17:23
fonte

Leggi altre domande sui tag