التمهيد الآمن

التمهيد الآمن هو ميزة من ميزات واجهة البرامج الثابتة الموسعة الموحدة (UEFI) التي تتطلب التحقق من جميع مكونات البرامج الثابتة والبرامج منخفضة المستوى قبل التحميل. أثناء التمهيد، يتحقق UEFI Secure Boot من توقيع كل جزء من برامج التمهيد، بما في ذلك برامج تشغيل البرامج الثابتة UEFI (المعروفة أيضا باسم خيارات ROMs)، وتطبيقات واجهة البرنامج الثابت الموسعة (EFI)، وبرامج تشغيل نظام التشغيل والثنائيات. في حال كانت التوقيعات صالحة أو موثوق بها من قبل الشركة المصنعة للمعدات الأصلية فإن تمهيد الجهاز والبرامج الثابتة يمنح التحكم في نظام التشغيل.

المكونات والمعالجة

يعتمد التمهيد الآمن على هذه المكونات المهمة:

• مفتاح النظام الأساسي - ينشئ الثقة بين مالك النظام الأساسي (Microsoft) والبرنامج الثابت. النصف العام هو PKpub بينما النصف الخاص هو PKpriv.
• قاعدة بيانات مفتاح التسجيل الرئيسية - تنشئ الثقة بين نظام التشغيل والبرامج الثابتة للنظام الأساسي. النصف العام هو KEKpriv بينما النصف الخاص هو KEKpriv.
• قاعدة بيانات التوقيع - تحمل تشفير الرسالة للموقعين الموثوق بهم (المفاتيح العامة والشهادات) من البرامج الثابتة ووحدات التعليمات البرمجية للبرامج المعتمدة للتفاعل مع البرامج الثابتة للنظام الأساسي.
• قاعدة بيانات التواقيع التي تم إبطالها (dbx) – تحتوي على ملخصات تم إبطالها لوحدات التعليمات البرمجية التي تم تحديدها على أنها ضارة أو عرضة للخطر أو مخترقة أو غير موثوق بها. إذا كانت تجزئة في قاعدة بيانات التوقيع وقاعدة بيانات التوقيعات التي تم إبطالها، فإن قاعدة بيانات التوقيعات التي تم إبطالها تكون لها الأسبقية.

يشرح الشكل والعملية الآتيان كيفية تحديث هذه المكونات:

تخزن الشركة المصنعة للمعدات الأصلية (OEM) ملخصات التمهيد الآمن على ذاكرة الوصول العشوائي (NV-RAM) للجهاز في وقت التصنيع.

1. يتم ملء signature db بالموقعين أو تجزئات الصور لتطبيقات UEFI، ومحملات نظام التشغيل (مثل Microsoft Operating System Loader أو Boot Manager)، وبرامج تشغيل UEFI الموثوق بها.
2. يتم ملء التواقيع التي تم إبطالها dbx بملخصات الوحدات النمطية التي لم تعد موثوقا بها.
3. يتم ملء قاعدة بيانات مفتاح التسجيل الرئيسية بمفاتيح التوقيعات التي يمكن استخدامها لتحديث قاعدة بيانات التوقيع وقاعدة بيانات التوقيعات التي تم إبطالها. من الممكن تحرير قواعد البيانات عبر التحديثات التي تم توقيعها باستخدام المفتاح الصحيح أو عبر التحديثات من جانب مستخدم معتمد موجود فعليا باستخدام قوائم البرامج الثابتة.
4. بعد إضافة قواعد بيانات db وdbx وKEK واكتمال التحقق من صحة البرنامج الثابت النهائي واختباره، تقوم الشركة المصنعة للمعدات الأصلية بتأمين البرنامج الثابت من التحرير وإنشاء مفتاح النظام الأساسي (PK). من الممكن استخدام مفتاح النظام الأساسي لتوقيع التحديثات إلى KEK أو لإيقاف تشغيل التمهيد الآمن.

خلال كل مرحلة في عملية التمهيد، يتم حساب شفرات البرنامج الثابت وbootloader ونظام التشغيل وبرامج تشغيل النواة وغيرها من أدوات سلسلة التمهيد ومقارنتها بالقيم المقبولة. البرامج الثابتة والبرامج التي تم اكتشافها غير موثوق بها غير مسموح بتحميلها. وبالتالي، يمكن حظر حقن البرامج الضارة منخفضة المستوى أو هجمات البرامج الضارة التي تم تمهيدها مسبقا.

تمهيد آمن على أسطول Azure

في الوقت الحالي، كل جهاز يتم إلحاقه وتوزيعه في أسطول حساب Azure لاستضافة أحمال عمل العملاء يأتي من المصنع مع تمكين التمهيد الآمن. يتم وضع الأدوات والعمليات المستهدفة في كل مرحلة من مراحل بناء الأجهزة وتدفق التكامل لضمان عدم إرجاع تمكين التمهيد الآمن عن طريق الصدفة أو عن طريق القصد الضار.

يضمن التحقق من صحة شفرة db وdbx ما يأتي:

• Bootloader موجود في أحد إدخالات db
• توقيع Bootloader صالح
• يتم تمهيد المضيف مع برامج موثوق بها

من خلال التحقق من صحة توقيعات KEKpub وPKpub، بإمكاننا تأكيد أن الأطراف الموثوق بها فقط لديها الإذن لتعديل تعريفات البرامج التي تعتبر موثوقا بها. وأخيرا، من خلال التأكد من أن التمهيد الآمن فعال يمكننا التحقق من أن هذه التعريفات يتم فرضها.

الخطوات التالية

لمعرفة المزيد حول ما نقوم به لدفع تكامل النظام الأساسي وأمانه، راجع:

• أمان البرامج الثابتة
• تكامل التعليمات البرمجية للنظام الأساسي
• مقياس التمهيد وإثبات المضيف
• Project Cerberus
• التشفير في حالة السكون
• أمان Hypervisor