Предзагрузочная аутентификация

Аутентификация перед загрузкой ( PBA ) или аутентификация при включении питания ( POA ) ^[1] служит расширением BIOS , UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, в качестве доверенного уровня аутентификации. PBA предотвращает чтение чего-либо с жесткого диска, например операционной системы, до тех пор, пока пользователь не подтвердит, что у него правильный пароль или другие учетные данные, включая многофакторную аутентификацию . ^[2]

Использование предзагрузочной аутентификации

• Полное шифрование диска за пределами уровня операционной системы ^[2]
• Шифрование временных файлов
• Защита данных в состоянии покоя
• Шифрование облачных серверов или экземпляров

Процесс аутентификации перед загрузкой

Среда PBA служит расширением BIOS, UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, в качестве доверенного уровня аутентификации. ^[2] PBA предотвращает загрузку любой операционной системы до тех пор, пока пользователь не подтвердит, что у него правильный пароль для разблокировки компьютера. ^[2] Этот доверенный уровень исключает возможность того, что одна из миллионов строк кода ОС может поставить под угрозу конфиденциальность личных или корпоративных данных. ^[2]

Общая последовательность загрузки

в режиме БИОС:

1. Базовая система ввода/вывода (BIOS)
2. Таблица разделов главной загрузочной записи (MBR)
3. Аутентификация перед загрузкой (PBA)
4. Загрузка операционной системы (ОС)

в режиме UEFI:

1. UEFI ( унифицированный расширяемый интерфейс прошивки )
2. Таблица разделов GUID (GPT)
3. Аутентификация перед загрузкой (PBA)
4. Загрузка операционной системы (ОС)

Технологии предзагрузочной аутентификации

Комбинации с полным шифрованием диска

Аутентификация перед загрузкой может выполняться с помощью надстройки операционной системы, такой как Linux Initial ramdisk или загрузочное программное обеспечение Microsoft системного раздела (или загрузочного раздела), или с помощью различных поставщиков средств полного шифрования диска (FDE), которые можно установить отдельно. в операционную систему. Устаревшие системы FDE обычно полагались на PBA в качестве основного элемента управления. Эти системы были заменены системами, использующими аппаратные двухфакторные системы, такие как чипы TPM или другие проверенные криптографические подходы. Однако без какой-либо формы аутентификации (например, полностью прозрачной аутентификации с загрузкой скрытых ключей) шифрование обеспечивает слабую защиту от продвинутых злоумышленников, поскольку это шифрование без аутентификации полностью полагается на аутентификацию после загрузки, происходящую от аутентификации Active Directory на этапе GINA Windows. .

Проблемы безопасности

Microsoft выпустила «Контрмеры BitLocker» ^[3] , определяющие схемы защиты для Windows. Для мобильных устройств, которые могут быть украдены и злоумышленники получают постоянный физический доступ (пункт «Квалифицированный злоумышленник и длительный физический доступ»), Microsoft рекомендует использовать предзагрузочную аутентификацию и отключить управление питанием в режиме ожидания. Аутентификацию перед загрузкой можно выполнить с помощью TPM с защитой PIN-кода или любого стороннего поставщика FDA.

Наилучшая безопасность обеспечивается за счет выгрузки ключей криптографического шифрования из защищенного клиента и предоставления ключевого материала извне в процессе аутентификации пользователя. Этот метод исключает атаки на любой встроенный метод аутентификации, которые более слабы, чем атака методом перебора на симметричные ключи AES, используемые для полного шифрования диска.

Без криптографической защиты защищенной среды загрузки, поддерживаемой аппаратным обеспечением (TPM), PBA легко победить с помощью атак в стиле Evil Maid . Однако при использовании современного оборудования (включая TPM или криптографическую многофакторную аутентификацию) большинство решений FDE могут гарантировать, что удаление оборудования для атак методом перебора больше не возможно.

Методы аутентификации

Для предзагрузочной аутентификации существует стандартный набор методов аутентификации, включающий:

1. Что-то, что вы знаете (например, имя пользователя/пароль, например учетные данные Active Directory или PIN-код TPM)
2. Что-то, что у вас есть (например, смарт-карта или другой токен)
3. Что-то, чем вы являетесь (например, биометрические атрибуты, такие как отпечатки пальцев, распознавание лиц, сканирование радужной оболочки глаза)
4. Автоматическая аутентификация в доверенных зонах (например, ключ загрузки, предоставляемый устройствам компании из корпоративной сети)

Рекомендации

1. «Sophos обеспечивает шифрование корпоративного уровня на Mac» . Сетевой мир . 2 августа 2010 года. Архивировано из оригинала 12 октября 2012 года . Проверено 3 августа 2010 г.
2. «Аутентификация перед загрузкой». БЕЗОПАСНОСТЬ. 21 февраля 2008 г. Архивировано из оригинала 4 марта 2012 г. Проверено 22 февраля 2008 г.
3. Дансимп. «Меры противодействия BitLocker (Windows 10) — безопасность Microsoft 365». docs.microsoft.com . Проверено 30 января 2020 г.