Secure Boot ist eine wichtige Sicherheitsfunktion, die sicherstellen soll, dass während des Startvorgangs nur vertrauenswürdige Software ausgeführt wird. Wenn jedoch Schwachstellen auftauchen, werden fortschrittlichere Mechanismen wie Erweitertes Targeting für sicheren Start (SBAT) wurden eingeführt, um die Sicherheit zu verbessern. Dieser Artikel erläutert die Schlüsselkonzepte hinter SBAT und wie es funktioniert, um die Integrität des Startvorgangs aufrechtzuerhalten.
So funktioniert der herkömmliche Secure Boot #
Secure Boot funktioniert, indem jede Komponente des Startvorgangs validiert wird. Dabei beginnt die Firmware mit der Überprüfung des Bootloaders, der wiederum den Kernel usw. validiert. Diese Vertrauenskette stellt sicher, dass nur verifizierte und signierte Komponenten ausgeführt werden dürfen. Wenn eine Sicherheitslücke gefunden wird, widerruft das System nicht vertrauenswürdige Komponenten, indem es ihren Hash zu einer schwarzen Liste hinzufügt. Diese Methode hat sich als effektiv erwiesen, ist jedoch mit der Größe und Komplexität moderner Startumgebungen nicht einfach zu handhaben.
Auf hoher Ebene folgt der Secure Boot-Prozess einem Chain-of-Trust-Modell:
1. UEFI Firmware: Überprüft die Bootloader-Signatur.
2. Bootloader: Überprüft die Kernelsignatur.
3. Kernel: Validiert dynamisch geladene Module und jeglichen zusätzlichen Kernelcode.
4. Laufzeitumgebung: Vertrauen wird weitergegeben, wodurch die Ausführungsumgebung des Systems gesichert wird.
Dieses Modell stellt sicher, dass nur Komponenten ausgeführt werden, die mit einem vertrauenswürdigen Schlüssel signiert sind. Wenn jedoch in einer dieser Komponenten (z. B. dem Bootloader) eine Schwachstelle entdeckt wird, muss bei einer herkömmlichen Secure Boot-Implementierung der Hash der Komponente zu einer Blacklist hinzugefügt werden, wodurch die Ausführung dieser Binärdatei in Zukunft verhindert wird. Das Problem? Skalieren.
Das Problem: Verwalten einer großen Anzahl von Binärdateien #
Jede Linux-Distribution kann beispielsweise ihre eigene Version des Bootloaders (z. B. GRUB) kompilieren und dabei viele verschiedene Binärdateien mit einzigartigen Hashes erstellen. Wenn im zugrunde liegenden Bootloader-Code eine Sicherheitslücke festgestellt wird, muss jede betroffene Binärdatei einzeln widerrufen werden. Da der für Widerrufs-Hashes verfügbare Speicherplatz (normalerweise im NVRAM gespeichert) begrenzt ist, ist dieser Ansatz für große Umgebungen nicht tragfähig.
SBAT: Verbesserung der Skalierbarkeit des sicheren Starts #
Secure Boot Advanced Targeting (SBAT) soll dieses Skalierbarkeitsproblem lösen, indem es auf das Widerrufen einzelner binärer Hashes verzichtet und stattdessen Sicherheitsgenerationen einführt. Der SBAT-Mechanismus funktioniert wie folgt:
1. Sicherheitsgenerationsnummer: Jeder Boot-Komponente (Bootloader, Kernel usw.) wird eine Generationsnummer zugewiesen. Diese Nummer wird während des Build-Prozesses in die signierte Binärdatei eingebettet.
2. SBAT-Variable: Eine neue Firmware-Variable wird eingeführt, um die minimal zulässige Sicherheitsgeneration für jede Komponente zu speichern.
3. Validierungslogik: Während des Startvorgangs vergleicht das System die Sicherheitsgenerationsnummer der nächsten Komponente mit der in der Variablen SBAT definierten Mindestgeneration. Wenn die Generation der Komponente unter dem Schwellenwert liegt, wird sie abgelehnt und der Startvorgang angehalten.
SBAT-Fluss #
- Die Firmware initiiert den Bootloader und überprüft seine SBAT-Sicherheitsgenerierung.
- Der Bootloader validiert die Generationsnummer des Kernels.
- Der Kernel kann bei Bedarf die Sicherheitsgenerationsnummern anderer Module validieren.
Dieser Ansatz ermöglicht das Widerrufen mehrerer Versionen anfälliger Binärdateien durch einfaches Erhöhen der Mindestgenerationsnummer in der SBAT-Variable, ohne dass einzelne Hashes gespeichert werden müssen.
Implementierung von SBAT: Schlüsselkomponenten #
SBAT-Abschnitt in signierten Binärdateien #
Jede Komponente in der Bootkette muss einen SBAT-Metadatenabschnitt enthalten, der Folgendes enthält:
- Der Name der Komponente.
- Die aktuelle Sicherheitsgenerationsnummer der Komponente.
Firmware-Integration #
Die Systemfirmware muss aktualisiert werden, um die SBAT-Variable zu erkennen und zu verarbeiten. Dazu gehört:
- Speichern der SBAT-Variable im NVRAM.
- Überprüfen der SBAT-Metadaten in Boot-Komponenten.
- Ablehnung aller Komponenten mit veralteten Generationsnummern.
Verwaltung von Sicherheitsrichtlinien #
Die Aktualisierung der SBAT-Variable ist Teil der allgemeinen Sicherheitsrichtlinienverwaltung des Systems. Bei allen Aktualisierungen muss die Generationsnummer aller relevanten Komponenten in der Startkette erhöht werden, um einen kontinuierlichen Schutz zu gewährleisten.
SBAT und Secure Boot Hardening #
Durch die Einführung von SBAT können Unternehmen:
1. Reduzieren Sie den Widerrufsaufwand: Anstatt viele Hashes anfälliger Binärdateien zu speichern, muss nur die Generationsnummer aktualisiert werden.
2. SICHERHEIT VERBESSERN: Anfällige Komponenten können effizienter blockiert werden, wodurch Risiken gemindert werden, ohne den Firmware-Speicher zu erschöpfen.
3. Einfachere Rollouts: Systemadministratoren können Firmware-Updates und Secure Boot-Konfigurationen einfacher verwalten und so schnellere Reaktionszeiten auf Sicherheitslücken gewährleisten.
Fazit #
Secure Boot Advanced Targeting (SBAT) ist eine effektive Methode zur Handhabung von Sicherheitsupdates in der Secure Boot-Kette, ohne den Speicher oder die Sicherheitsinfrastruktur des Systems zu überlasten. Durch die Einbettung von Generationsnummern in jede Boot-Komponente und die Verwendung eines einzigen Update-Mechanismus zur Durchsetzung dieser Generationen bietet SBAT Skalierbarkeit und Flexibilität für die Verwaltung der sich ständig weiterentwickelnden Landschaft der Boot-Sicherheit.
Für moderne Linux- und Windows-Systeme gewährleistet SBAT eine stärkere, widerstandsfähigere Secure Boot-Umgebung, die mit minimalem Betriebsaufwand schnell auf Bedrohungen reagieren kann.
