3.2. UEFI Secure Boot
UEFI( Unified Extensible Firmware Interface ) Secure Boot 기술을 사용하면 신뢰할 수 있는 키로 서명되지 않은 커널 공간 코드의 실행을 방지할 수 있습니다. 시스템 부트 로더는 암호화 키를 사용하여 서명됩니다. 펌웨어에 포함된 공개 키의 데이터베이스는 서명 키를 인증합니다. 나중에 다음 단계 부트 로더 및 커널에서 서명을 확인할 수 있습니다.
UEFI Secure Boot는 다음과 같이 펌웨어에서 서명된 드라이버 및 커널 모듈로 신뢰 체인을 설정합니다.
-
UEFI 개인 키 서명과 공개 키는
shim
첫 번째 단계 부트 로더를 인증합니다. 인증 기관 (CA)은 공개 키에 서명합니다. CA는 펌웨어 데이터베이스에 저장됩니다. -
shim
파일에는 GRUB 부트 로더와 커널을 인증하는 Red Hat 공개 키 Red Hat Secure Boot (CA 키 1) 가 포함되어 있습니다. - 커널에 차례로 드라이버와 모듈을 인증하는 공개 키가 포함되어 있습니다.
Secure Boot는 UEFI 사양의 부팅 경로 검증 구성 요소입니다. 사양은 다음을 정의합니다.
- 비휘발성 스토리지에서 암호로 보호되는 UEFI 변수를 위한 프로그래밍 인터페이스입니다.
- UEFI 변수에 신뢰할 수 있는 X.509 루트 인증서를 저장합니다.
- 부트 로더 및 드라이버와 같은 UEFI 애플리케이션 검증.
- 알려진-bad 인증서 및 애플리케이션 해시를 취소하는 절차입니다.
UEFI Secure Boot는 무단 변경 사항을 감지하는 데 도움이 되지만 다음과 같은 것은 아닙니다.
- 두 번째 단계 부트 로더의 설치 또는 제거를 방지합니다.
- 이러한 변경에 대한 명확한 사용자 확인이 필요합니다.
- 부팅 경로 조작을 중지합니다. 부트 로더가 설치 또는 업데이트될 때 아닌 부팅 중에 서명을 확인합니다.
부트 로더 또는 커널이 시스템 신뢰할 수 있는 키로 서명되지 않은 경우 Secure Boot가 시작되지 않습니다.