7

Я только что построил свой первый компьютер за последние годы, и у меня впервые появилась материнская плата UEFI. Я установил Windows 7 в устаревшем режиме и зашифровал системный раздел с помощью Truecrypt.

Недавно появилась статья о концепции Lighteater, в которой говорилось, что Lighteater может извлекать ключи шифрования из памяти. Для этого UEFI потребуется доступ к системной памяти и хранение данных в незашифрованном виде. Для каждого пользователя шифрования это должно вызывать тревогу.

Из того, что я знаю, UEFI сама по себе является операционной системой, которая затем работает под управлением Windows. Моя проблема в том, что я не знаю, в какой степени UEFI может получить доступ к работающей системе Windows и ее памяти, и если части памяти перемещаются во флэш-память UEFI, что может привести к утечке моих ключей шифрования кому-то, кто получит доступ к моему компьютеру. Моя главная проблема заключается в том, чтобы кто-то мог извлечь эти ключи из памяти UEFI на материнской плате, даже если компьютер выключен и отключен от источника питания. Кто-нибудь может это прояснить?

1 ответ1

15

Из того, что я знаю, UEFI сама по себе является операционной системой, которая затем запускает Windows

UEFI так же сложен, как и операционная система, но неверно утверждать, что UEFI запускает операционную систему после ее загрузки - даже при том, что есть много онлайн-текстов, которые могли бы создать такое впечатление.

Проще говоря, это правильный способ выразить, как UEFI и Windows сосуществуют "бок о бок" - UEFI не запускается в фоновом режиме после загрузки Windows, но есть код UEFI, который может что-то делать и будет делать вещи после вызова. Windows инициирует любые вызовы прошивки UEFI.

UEFI имеет тот же уровень привилегий, что и ядро ОС, и может обращаться ко всей памяти и устройствам. Обычно он не предпринимает никаких действий без указания ОС.

Таким образом, UEFI не собирается утекать какие-либо ключи самостоятельно, но одна из служб времени выполнения, которую предоставляет UEFI, - это чтение и запись в UEFI NVRAM - и вредоносный процесс в ОС может попросить UEFI записать ключи в UEFI NVRAM.


Однако (наденьте свою шляпу из фольги) ...

Начиная с 80486 серии процессов Intel (поколение до Pentium) была введена функция, называемая прерыванием управления системой. SMI спроектированы так, чтобы их нельзя было обнаружить в базовой ОС. Современные платформы используют их для:

  • управление вентилятором.
  • эмулирующее аппаратное обеспечение - например, благодаря SMI USB-клавиатуры / мыши выглядят как PS / 2-клавиатуры / мыши для совместимости с DOS.
  • эмулирует другое оборудование (вы можете найти эту интересный).

Так что для вредоносной прошивки UEFI вполне возможно иметь что-то работающее в фоновом режиме без ведома операционной системы. (Возможно, что-то, выполняющееся до загрузки ОС, может изменить обработчик SMI перед загрузкой ОС, по крайней мере, на некоторых платформах.)

Поэтому, как и любое программное обеспечение, UEFI - это то, что вы выбираете для доверия, и, поскольку оно является закрытым исходным кодом, а не тем, что вы скомпилировали / установили самостоятельно, вы также решили слепо доверять ему в некоторой степени, как большинство сжатых и / или или предустановленное программное обеспечение.

Если вы еще не сняли шляпу из фольги, поймите, что такие вещи, как Intel vPro и Intel AMT, имеют гораздо больший доступ к вашей системе и предоставляют гораздо более удаленный доступ, чем UEFI.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .