Secure Boot

Opublikowano przez mgr Bartłomiej_Speth w dniu

Secure Boot to mechanizm bezpieczeństwa stosowany w komputerach i urządzeniach elektronicznych, którego zadaniem jest zapewnienie, że podczas uruchamiania systemu operacyjnego ładowane jest wyłącznie zaufane oprogramowanie. Funkcja ta została wprowadzona w ramach standardu UEFI (Unified Extensible Firmware Interface) i ma chronić system przed uruchomieniem złośliwego oprogramowania już na etapie startu komputera.

Dzięki Secure Boot urządzenie sprawdza, czy każdy element procesu uruchamiania – od bootloadera po system operacyjny – posiada poprawny podpis cyfrowy pochodzący od zaufanego źródła.

Jak działa Secure Boot

Podczas uruchamiania komputera firmware UEFI sprawdza podpis cyfrowy oprogramowania startowego. Jeśli podpis jest zgodny z listą zaufanych kluczy zapisanych w firmware, system może zostać uruchomiony. Jeśli podpis nie jest rozpoznany lub został zmodyfikowany, uruchomienie zostaje zablokowane.

Proces wygląda w uproszczeniu następująco:

  1. komputer uruchamia firmware UEFI,
  2. firmware sprawdza podpis cyfrowy bootloadera,
  3. bootloader uruchamia system operacyjny tylko jeśli jest zaufany,
  4. system operacyjny kontynuuje proces startowy.

W ten sposób cały łańcuch uruchamiania pozostaje zabezpieczony przed ingerencją.

Cel stosowania Secure Boot

Secure Boot został zaprojektowany, aby chronić system przed szczególnie niebezpiecznymi typami złośliwego oprogramowania, które mogą uruchamiać się przed systemem operacyjnym.

Mechanizm ten pomaga zapobiegać:

  • rootkitom działającym na poziomie bootloadera,
  • bootkitom modyfikującym proces uruchamiania systemu,
  • uruchamianiu nieautoryzowanych systemów operacyjnych,
  • manipulowaniu plikami startowymi systemu.

Ponieważ takie zagrożenia działają przed uruchomieniem systemu operacyjnego, tradycyjne programy antywirusowe często nie są w stanie ich wykryć.

Secure Boot w systemie Windows

Secure Boot jest standardowo włączony w komputerach sprzedawanych z systemem Windows 10 i Windows 11. Wymóg ten wynika z polityki bezpieczeństwa Microsoftu, która ma zapewnić ochronę procesu uruchamiania systemu.

System Windows posiada podpisane bootloadery i komponenty startowe, które są automatycznie akceptowane przez firmware UEFI.

Secure Boot a Linux

Secure Boot może również współpracować z systemami Linux, jednak wymaga odpowiednio podpisanego bootloadera. W wielu dystrybucjach stosuje się specjalny komponent o nazwie Shim, który umożliwia uruchamianie systemu Linux w środowisku Secure Boot.

Dzięki temu nowoczesne dystrybucje Linuxa, takie jak Ubuntu czy Fedora, mogą działać bez konieczności wyłączania Secure Boot.

Secure Boot a modyfikacje systemu

Secure Boot może utrudniać instalację niektórych systemów operacyjnych lub modyfikacji oprogramowania. Dotyczy to między innymi:

  • instalacji niepodpisanych bootloaderów,
  • uruchamiania starszych systemów operacyjnych,
  • eksperymentalnych wersji systemów Linux,
  • niestandardowych środowisk startowych.

W takich przypadkach użytkownik może wyłączyć Secure Boot w ustawieniach UEFI lub dodać własne klucze zaufania.

Secure Boot a inne mechanizmy bezpieczeństwa

Secure Boot jest częścią szerszej architektury zabezpieczeń systemu. Współpracuje m.in. z:

  • TPM (Trusted Platform Module),
  • BitLocker,
  • Measured Boot,
  • Trusted Execution Environment (TEE).

Razem tworzą one wielowarstwowy system ochrony przed manipulacją oprogramowaniem startowym.

Secure Boot to mechanizm bezpieczeństwa kontrolujący proces uruchamiania systemu operacyjnego. Dzięki weryfikacji podpisów cyfrowych zapobiega uruchamianiu nieautoryzowanego lub zmodyfikowanego oprogramowania podczas startu komputera. Funkcja ta jest standardem w nowoczesnych systemach opartych na UEFI i odgrywa ważną rolę w ochronie systemów przed zaawansowanymi zagrożeniami, takimi jak rootkity czy bootkity.

Kategorie:

mgr Bartłomiej_Speth

Absolwent wydziału Fizyki Uniwersytetu im. Adama Mickiewicza w Poznaniu na kierunku Fizyka z informatyką. Miłośnik komputerów, sprzętu komputerowego oraz otwartego oprogramowania. Specjalizuje się w budowie, naprawach, modyfikacjach laptopów jak i jednostek stacjonarnych. Zapalony PC'towiec od momentu, w którym otrzymał swój pierwszy komputer z procesorem 80286.

Podobne wpisy

Laptopy

Jak naprawić DALLAS DS1287 i DS1287A – mod bateryjny, wymiana i zamienniki (RTC Fix)

DS1287A i DS1287 to jedne z tych elementów, które prędzej czy później trafiają na warsztat każdego, kto zajmuje się retro komputerami. Problem z nimi jest przewidywalny i powtarzalny – po latach przestają trzymać ustawienia, a Dowiedz się więcej

Laptopy

Wymiana kondensatorów w sekcji zasilania na płytce PCB Hyundai SUPER-LT4 (power unit recap)

Wymiana kondensatorów elektrolitycznych w Hyundai SUPER-LT4 to jeden z tych tematów, który z pozoru wygląda banalnie, ale w praktyce decyduje o tym, czy komputer w ogóle działa stabilnie. W moim egzemplarzu recap sekcji zasilania okazał Dowiedz się więcej

Laptopy

Hyundai SUPER-LT4 BIOS dump – struktura firmware, analiza EPROM EVEN/ODD i Award BIOS z 1990 roku

Hyundai SUPER-LT4 to rzadki komputer typu luggable PC, ale dopiero analiza jego BIOS-u pokazuje, jak wyglądała rzeczywista implementacja firmware w sprzęcie z przełomu lat 80. i 90. Dump dwóch kości EPROM pozwala zajrzeć głęboko w Dowiedz się więcej