Аутентификация перед загрузкой ( PBA ) или аутентификация при включении питания ( POA ) [1] служит расширением BIOS , UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, в качестве доверенного уровня аутентификации. PBA предотвращает чтение чего-либо с жесткого диска, например операционной системы, до тех пор, пока пользователь не подтвердит, что у него правильный пароль или другие учетные данные, включая многофакторную аутентификацию . [2]
Среда PBA служит расширением BIOS, UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, в качестве доверенного уровня аутентификации. [2] PBA предотвращает загрузку любой операционной системы до тех пор, пока пользователь не подтвердит, что у него правильный пароль для разблокировки компьютера. [2] Этот доверенный уровень исключает возможность того, что одна из миллионов строк кода ОС может поставить под угрозу конфиденциальность личных или корпоративных данных. [2]
в режиме БИОС:
в режиме UEFI:
Аутентификация перед загрузкой может выполняться с помощью надстройки операционной системы, такой как Linux Initial ramdisk или загрузочное программное обеспечение Microsoft системного раздела (или загрузочного раздела), или с помощью различных поставщиков средств полного шифрования диска (FDE), которые можно установить отдельно. в операционную систему. Устаревшие системы FDE обычно полагались на PBA в качестве основного элемента управления. Эти системы были заменены системами, использующими аппаратные двухфакторные системы, такие как чипы TPM или другие проверенные криптографические подходы. Однако без какой-либо формы аутентификации (например, полностью прозрачной аутентификации с загрузкой скрытых ключей) шифрование обеспечивает слабую защиту от продвинутых злоумышленников, поскольку это шифрование без аутентификации полностью полагается на аутентификацию после загрузки, происходящую от аутентификации Active Directory на этапе GINA Windows. .
Microsoft выпустила «Контрмеры BitLocker» [3] , определяющие схемы защиты для Windows. Для мобильных устройств, которые могут быть украдены и злоумышленники получают постоянный физический доступ (пункт «Квалифицированный злоумышленник и длительный физический доступ»), Microsoft рекомендует использовать предзагрузочную аутентификацию и отключить управление питанием в режиме ожидания. Аутентификацию перед загрузкой можно выполнить с помощью TPM с защитой PIN-кода или любого стороннего поставщика FDA.
Наилучшая безопасность обеспечивается за счет выгрузки ключей криптографического шифрования из защищенного клиента и предоставления ключевого материала извне в процессе аутентификации пользователя. Этот метод исключает атаки на любой встроенный метод аутентификации, которые более слабы, чем атака методом перебора на симметричные ключи AES, используемые для полного шифрования диска.
Без криптографической защиты защищенной среды загрузки, поддерживаемой аппаратным обеспечением (TPM), PBA легко победить с помощью атак в стиле Evil Maid . Однако при использовании современного оборудования (включая TPM или криптографическую многофакторную аутентификацию) большинство решений FDE могут гарантировать, что удаление оборудования для атак методом перебора больше не возможно.
Для предзагрузочной аутентификации существует стандартный набор методов аутентификации, включающий: