Secure Boot est une fonctionnalité de sécurité essentielle conçue pour garantir que seuls les logiciels de confiance sont exécutés pendant le processus de démarrage. Cependant, à mesure que des vulnérabilités apparaissent, des mécanismes plus avancés tels que Ciblage avancé du démarrage sécurisé (SBAT) ont été introduits pour améliorer sa sécurité. Cet article explique les concepts clés derrière SBAT et comment il fonctionne pour maintenir l'intégrité du processus de démarrage.
Comment fonctionne le démarrage sécurisé traditionnel #
Secure Boot fonctionne en validant chaque composant du processus de démarrage, en commençant par le micrologiciel qui vérifie le chargeur de démarrage, qui à son tour valide le noyau, etc. Cette chaîne de confiance garantit que seuls les composants vérifiés et signés sont autorisés à s'exécuter. Si une vulnérabilité est détectée, le système révoque les composants non fiables en ajoutant leur hachage à une liste noire. Cette méthode s'est avérée efficace, mais elle se heurte à des difficultés pour gérer l'échelle et la complexité des environnements de démarrage modernes.
À un niveau élevé, le processus de démarrage sécurisé suit un modèle de chaîne de confiance :
1. Micrologiciel UEFI: Vérifie la signature du chargeur de démarrage.
2. Bootloader: Vérifie la signature du noyau.
3. Noyau: Valide les modules chargés dynamiquement et tout code de noyau supplémentaire.
4. Environnement d'exécution:La confiance est transmise, sécurisant l'environnement d'exécution du système.
Ce modèle garantit que seuls les composants signés avec une clé de confiance sont exécutés. Cependant, lorsqu'une vulnérabilité est découverte dans l'un de ces composants (par exemple, le chargeur de démarrage), une implémentation de démarrage sécurisé traditionnelle nécessite l'ajout du hachage du composant à une liste noire, ce qui empêche ce binaire de s'exécuter à l'avenir. Le problème ? Scale.
Le problème : gérer un grand nombre de binaires #
Chaque distribution Linux, par exemple, peut compiler sa propre version du chargeur de démarrage (par exemple, GRUB), créant ainsi de nombreux binaires distincts avec des hachages uniques. Lorsqu'une vulnérabilité est identifiée dans le code du chargeur de démarrage sous-jacent, chaque binaire affecté doit être révoqué individuellement. Étant donné que le stockage disponible pour les hachages de révocation (généralement stockés dans la NVRAM) est limité, cette approche n'est pas viable pour les environnements à grande échelle.
SBAT : amélioration de l'évolutivité du démarrage sécurisé #
Secure Boot Advanced Targeting (SBAT) est conçu pour résoudre ce problème d'évolutivité en abandonnant la révocation des hachages binaires individuels et en introduisant à la place des générations de sécurité. Le mécanisme SBAT fonctionne comme suit :
1. Numéro de génération de sécurité:À chaque composant de démarrage (chargeur de démarrage, noyau, etc.) est attribué un numéro de génération. Ce numéro est intégré dans le binaire signé pendant le processus de construction.
2. Variable SBAT:Une nouvelle variable de micrologiciel est introduite pour stocker la génération de sécurité minimale autorisée pour chaque composant.
3. Logique de validation:Pendant le processus de démarrage, le système vérifie le numéro de génération de sécurité du composant suivant par rapport à la génération minimale définie dans la variable SBAT. Si la génération du composant est inférieure au seuil, il est rejeté et le processus de démarrage s'arrête.
Flux SBAT #
- Le firmware lance le chargeur de démarrage et vérifie sa génération de sécurité SBAT.
- Le chargeur de démarrage valide le numéro de génération du noyau.
- Le noyau peut valider les numéros de génération de sécurité d'autres modules si nécessaire.
Cette approche permet de révoquer plusieurs versions de binaires vulnérables en augmentant simplement le nombre de générations minimum dans la variable SBAT, sans avoir besoin de stocker des hachages individuels.
Mise en œuvre du SBAT : éléments clés #
Section SBAT dans les binaires signés #
Chaque composant de la chaîne de démarrage doit inclure une section de métadonnées SBAT contenant :
- Le nom du composant.
- Le numéro de génération de sécurité actuel du composant.
Intégration du micrologiciel #
Le micrologiciel du système doit être mis à jour pour reconnaître et gérer la variable SBAT. Cela comprend :
- Stockage de la variable SBAT dans la NVRAM.
- Vérification des métadonnées SBAT dans les composants de démarrage.
- Rejeter tout composant avec des numéros de génération obsolètes.
Gestion des politiques de sécurité #
La mise à jour de la variable SBAT fait partie de la gestion globale de la politique de sécurité du système. Toute mise à jour doit incrémenter le numéro de génération sur tous les composants concernés de la chaîne de démarrage pour garantir une protection continue.
Renforcement du SBAT et du démarrage sécurisé #
En adoptant SBAT, les organisations peuvent :
1. Réduire les frais de révocation:Au lieu de stocker de nombreux hachages de binaires vulnérables, seul le numéro de génération doit être mis à jour.
2. Accroître La Sécurité:Les composants vulnérables peuvent être bloqués plus efficacement, atténuant ainsi les risques sans épuiser le stockage du micrologiciel.
3. Déploiements plus faciles:Les administrateurs système peuvent gérer plus facilement les mises à jour du micrologiciel et les configurations de démarrage sécurisé, garantissant ainsi des temps de réponse plus rapides aux vulnérabilités.
Conclusion #
Secure Boot Advanced Targeting (SBAT) est une méthode efficace pour gérer les mises à jour de sécurité dans la chaîne Secure Boot sans surcharger l'infrastructure de stockage ou de sécurité du système. En intégrant des numéros de génération dans chaque composant de démarrage et en utilisant un mécanisme de mise à jour unique pour appliquer ces générations, SBAT offre évolutivité et flexibilité pour gérer le paysage en constante évolution de la sécurité de démarrage.
Pour les systèmes Linux et Windows modernes, SBAT garantit un environnement de démarrage sécurisé plus solide et plus résilient, capable de répondre rapidement aux menaces avec une surcharge opérationnelle minimale.
