Предзагрузочная аутентификация

Аутентификация перед загрузкой ( PBA ) или аутентификация при включении ( POA ) ^[1] служит расширением BIOS , UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, в качестве доверенного уровня аутентификации. PBA предотвращает чтение чего-либо с жесткого диска, например операционной системы, до тех пор, пока пользователь не подтвердит, что у него правильный пароль или другие учетные данные, включая многофакторную аутентификацию . ^[2]

Использование предзагрузочной аутентификации

Полное шифрование диска за пределами уровня операционной системы ^[2]
Шифрование временных файлов
данных в состоянии покоя Защита
Шифрование облачных серверов или экземпляров

Процесс аутентификации перед загрузкой

Среда PBA служит расширением BIOS, UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, в качестве доверенного уровня аутентификации. ^[2] PBA предотвращает загрузку любой операционной системы до тех пор, пока пользователь не подтвердит, что у него правильный пароль для разблокировки компьютера. ^[2] Этот доверенный уровень исключает возможность того, что одна из миллионов строк кода ОС может поставить под угрозу конфиденциальность личных или корпоративных данных. ^[2]

Общая последовательность загрузки

в режиме БИОС:

Базовая система ввода/вывода (BIOS)
главной загрузочной записи (MBR) Таблица разделов
Аутентификация перед загрузкой (PBA)
Загрузка операционной системы (ОС)

в режиме UEFI:

UEFI ( унифицированный расширяемый интерфейс прошивки )
Таблица разделов GUID (GPT)
Аутентификация перед загрузкой (PBA)
Загрузка операционной системы (ОС)

Технологии предзагрузочной аутентификации

Комбинации с полным шифрованием диска

Аутентификация перед загрузкой может выполняться с помощью надстройки операционной системы, такой как Linux Initial ramdisk или загрузочное программное обеспечение Microsoft системного раздела (или загрузочного раздела), или с помощью различных поставщиков средств полного шифрования диска (FDE), которые можно установить отдельно. в операционную систему. Устаревшие системы FDE обычно полагались на PBA в качестве основного элемента управления. Эти системы были заменены системами, использующими аппаратные двухфакторные системы, такие как чипы TPM или другие проверенные криптографические подходы. Однако без какой-либо формы аутентификации (например, полностью прозрачной аутентификации с загрузкой скрытых ключей) шифрование обеспечивает слабую защиту от продвинутых злоумышленников, поскольку это шифрование без аутентификации полностью зависит от аутентификации после загрузки, происходящей от аутентификации Active Directory на этапе GINA Windows. .

Проблемы безопасности

Microsoft выпустила меры противодействия BitLocker ^[3] определение схем защиты для Windows. Для мобильных устройств, которые могут быть украдены и злоумышленники получают постоянный физический доступ (пункт «Квалифицированный злоумышленник и длительный физический доступ») Microsoft рекомендует использовать предзагрузочную аутентификацию и отключить управление питанием в режиме ожидания. Аутентификацию перед загрузкой можно выполнить с помощью TPM с защитой PIN-кода или любого стороннего поставщика FDA.

Наилучшая безопасность обеспечивается за счет выгрузки ключей криптографического шифрования из защищенного клиента и предоставления ключевого материала извне в процессе аутентификации пользователя. Этот метод исключает атаки на любой встроенный метод аутентификации, которые более слабы, чем атака методом перебора на симметричные ключи AES, используемые для полного шифрования диска.

Без криптографической защиты защищенной среды загрузки, поддерживаемой аппаратным обеспечением (TPM), PBA легко победить с помощью Evil Maid атак в стиле . Однако при использовании современного оборудования (включая TPM или криптографическую многофакторную аутентификацию) большинство решений FDE могут гарантировать, что удаление оборудования для атак методом перебора больше не возможно.

Методы аутентификации

Для предзагрузочной аутентификации существует стандартный набор методов аутентификации, включающий:

Что-то, что вы знаете (например, имя пользователя/пароль, например учетные данные Active Directory или PIN-код TPM)
Что-то, что у вас есть (например, смарт-карта или другой токен)
Что-то, чем вы являетесь (например, биометрические атрибуты, такие как отпечатки пальцев, распознавание лиц, сканирование радужной оболочки глаза)
Автоматическая аутентификация в доверенных зонах (например, ключ загрузки, предоставляемый устройствам компании из корпоративной сети)

Ссылки

^ «Sophos обеспечивает шифрование корпоративного уровня на Mac» . Сетевой мир . 2 августа 2010 года. Архивировано из оригинала 12 октября 2012 года . Проверено 3 августа 2010 г.
^ Jump up to: ^а ^б ^с ^д ^и «Предзагрузочная аутентификация» . СЕКЬЮ . 21 февраля 2008 г. Архивировано из оригинала 4 марта 2012 г. Проверено 22 февраля 2008 г.
^ Дансимп. «Меры противодействия BitLocker (Windows 10) — безопасность Microsoft 365» . docs.microsoft.com . Проверено 30 января 2020 г.

[autogenerated2-1] «Sophos обеспечивает шифрование корпоративного уровня на Mac» . Сетевой мир . 2 августа 2010 года. Архивировано из оригинала 12 октября 2012 года . Проверено 3 августа 2010 г.

[autogenerated1-2] Jump up to: ^а ^б ^с ^д ^и «Предзагрузочная аутентификация» . СЕКЬЮ . 21 февраля 2008 г. Архивировано из оригинала 4 марта 2012 г. Проверено 22 февраля 2008 г.

[3] Дансимп. «Меры противодействия BitLocker (Windows 10) — безопасность Microsoft 365» . docs.microsoft.com . Проверено 30 января 2020 г.

[1]

[2]

[3]