Предзагрузочная аутентификация

Расширение BIOS или загрузочной прошивки

Аутентификация перед загрузкой ( PBA ) или аутентификация при включении питания ( POA ) ^[1] служит расширением BIOS , UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, как доверенный уровень аутентификации. PBA предотвращает чтение чего-либо с жесткого диска, например операционной системы, пока пользователь не подтвердит, что у него есть правильный пароль или другие учетные данные, включая многофакторную аутентификацию . ^[2]

Использование предзагрузочной аутентификации

Полное шифрование диска вне уровня операционной системы ^[2]
Шифрование временных файлов
Защита данных в состоянии покоя
Шифрование облачных серверов или экземпляров

Процесс предзагрузочной аутентификации

Среда PBA служит расширением BIOS, UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, в качестве доверенного уровня аутентификации. ^[2] PBA предотвращает загрузку любой операционной системы, пока пользователь не подтвердит, что у него/нее есть правильный пароль для разблокировки компьютера. ^[2] Этот доверенный уровень исключает возможность того, что одна из миллионов строк кода ОС может поставить под угрозу конфиденциальность личных или корпоративных данных. ^[2]

Общая последовательность загрузки

в режиме BIOS:

Базовая система ввода-вывода (BIOS)
Таблица разделов основной загрузочной записи (MBR)
Предзагрузочная аутентификация (PBA)
Загрузка операционной системы (ОС)

в режиме UEFI:

UEFI ( унифицированный расширяемый интерфейс прошивки )
Таблица разделов GUID (GPT)
Предзагрузочная аутентификация (PBA)
Загрузка операционной системы (ОС)

Технологии предзагрузочной аутентификации

Комбинации с полным шифрованием диска

Предзагрузочная аутентификация может быть выполнена надстройкой операционной системы, такой как Linux Initial ramdisk или загрузочным программным обеспечением Microsoft системного раздела (или загрузочного раздела), или различными поставщиками полного шифрования диска (FDE), которые могут быть установлены отдельно в операционной системе. Устаревшие системы FDE, как правило, полагались на PBA в качестве основного элемента управления. Эти системы были заменены системами, использующими аппаратные двухфакторные системы, такие как чипы TPM или другие проверенные криптографические подходы. Однако без какой-либо формы аутентификации (например, полностью прозрачной аутентификации с загрузкой скрытых ключей) шифрование обеспечивает слабую защиту от продвинутых злоумышленников, поскольку это шифрование без аутентификации полностью полагается на послезагрузочную аутентификацию, происходящую от аутентификации Active Directory на этапе GINA Windows.

Проблемы безопасности

Microsoft выпустила меры противодействия BitLocker ^[3], определяющие схемы защиты для Windows. Для мобильных устройств, которые могут быть украдены и злоумышленники могут получить постоянный физический доступ (пункт Злоумышленник с навыками и длительным физическим доступом), Microsoft рекомендует использовать предзагрузочную аутентификацию и отключить управление питанием в режиме ожидания. Предзагрузочная аутентификация может быть выполнена с помощью TPM с защитой PIN или любого стороннего поставщика FDA.

Лучшая безопасность достигается путем выгрузки криптографических ключей шифрования из защищенного клиента и предоставления ключевого материала извне в процессе аутентификации пользователя. Этот метод исключает атаки на любой встроенный метод аутентификации, которые слабее атаки методом подбора симметричных ключей AES, используемых для полного шифрования диска.

Без криптографической защиты оборудования (TPM), поддерживающего безопасную среду загрузки, PBA легко побеждается атаками в стиле Evil Maid . Однако с современным оборудованием (включая TPM или криптографическую многофакторную аутентификацию) большинство решений FDE способны гарантировать, что удаление оборудования для атак методом подбора больше невозможно.

Методы аутентификации

Для предзагрузочной аутентификации существует стандартный набор методов аутентификации, включая:

Что-то, что вы знаете (например, имя пользователя/пароль, как учетные данные Active Directory или PIN-код TPM)
Что-то, что у вас есть (например, смарт-карта или другой токен)
Что-то, чем вы являетесь (например, биометрические атрибуты, такие как отпечатки пальцев, распознавание лица, сканирование радужной оболочки глаза)
Автоматическая аутентификация в доверенных зонах (например, ключ загрузки, предоставляемый корпоративным устройствам корпоративной сетью)

Ссылки

^ "Sophos приносит шифрование корпоративного уровня на Mac". Network World . 2 августа 2010 г. Архивировано из оригинала 12 октября 2012 г. Получено 2010-08-03 .
^ abcde "Pre-Boot Authentication". SECUDE. 21 февраля 2008 г. Архивировано из оригинала 2012-03-04 . Получено 2008-02-22 .
^ Dansimp. "Контрмеры BitLocker (Windows 10) - Безопасность Microsoft 365". docs.microsoft.com . Получено 2020-01-30 .

[autogenerated2-1] "Sophos приносит шифрование корпоративного уровня на Mac". Network World . 2 августа 2010 г. Архивировано из оригинала 12 октября 2012 г. Получено 2010-08-03 .

[autogenerated1-2] "Pre-Boot Authentication". SECUDE. 21 февраля 2008 г. Архивировано из оригинала 2012-03-04 . Получено 2008-02-22 .

[3] Dansimp. "Контрмеры BitLocker (Windows 10) - Безопасность Microsoft 365". docs.microsoft.com . Получено 2020-01-30 .