Secure Boot 是什么?

0x01 Secure Boot 是什么

secure boot是UEFI bios的一个子规则,位于传统(Legacy)bios的BOOT选项下,微软规定,所有预装Win8操作系统的厂商(即OEM厂商)都必须打开secure boot(在主板里面内置Win8的公钥)。部分主板该选项是secure boot Contrl,位于Security选项下。预装Win8系统电脑,一旦关闭这个功能(将其设置为“Disabled"),将导致无法进入系统。

也就是说,微软secure boot使主板上只能加载经过认证过的操作系统或者硬件驱动程序,从而防止恶意软件侵入,可以有效提高产品安全性,但需要第三方公司去设置实现。所以需要OEM厂商去设计bios实现其功能。

现有技术中,以服务器为例,在各个领域都得到了广泛的应用,比如互联网、金融…等;客户对服务器的安全性要求也越来越高。bios下增加secure boot的支持可以极大程度提高非法恶意程序入侵,但需要bios厂商及OEM厂商保证其功能正常实现。

综上所述,如何保证secure boot功能正常实现,完成验证过程,成为关键,基于此,本发明提供一种验证secure boot功能的方法。

0x02 Secure Boot 有什么用

上面提及了secure boot最初作用便是防止恶意软件侵入,它的做法就是当主板出厂的时候,内置可靠的公钥之后,其他想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软件必须该公钥的认证,否则主板拒绝加载,由于恶意软件不可能通过认证,因此就没有办法感染boot,然而事实上它能够做到的仅仅是,当电脑引导器被病毒修改之后,它会给出提醒并拒绝启动,避免可能带来的进一步损失。

微软为了防止安装windows操作系统的电脑重装为其他操作系统(例如linux系统),预装win8系统的电脑都被要求采用uefi,这个接口将会替代传统bios,但是关于uefi这个标准接口,它是支持众多操作系统的(windows、linux、OS X等等),预装win8系统的电脑需要支持安全性启动机制,启动过程中涉及到的软件/固件都必须打上CA数字签名,这样,对于linux或者其他操作系统这种开源的无签名的系统就会直接阻止。因此,如果要在打开secure boot的主板上安装linux系统,这个系统就必须通过内置在secure boot中的公钥的认证。

总结:也就是说,微软当初设计secure boot的原本用意可能是出于保证系统安全,但结果似乎成了pc厂商保护市场垄断、阻碍竞争的一种手段。

相关推荐
python ERROR: Command errored out with exit status 1:
Windows Server 2016 搭建 SMB 共享文件
Windows Server 2019 域环境搭建 SMB 共享文件服务
Parallels Desktop 15.1.3