Windows UEFI-Bootloader bootmgfw. Bootloader unter der GPL-Lizenz werden nicht signiert, da sie private Schlüssel zum Signieren benötigen. Eine Liste der kürzlich widerrufenen Bild-Hashes finden Sie in KB 2871690. In dieser Datenbank finden wir möglicherweise auch explizite SHA2-Hashes der Bootloader-Bilder. Ubuntu und Fedora Bootloader wurden mit diesem Prozess signiert. UEFI Firmware während der Herstellung. Enthält Timestamping-Zertifikate, die beim Signieren von Bootloader-Images verwendet werden. Beim sicheren Startvorgang wird nach dem POST-Test die UEFI-Firmware geladen. Der Einfachheit halber beziehen wir uns in diesem Artikel nur auf den Bootloader. Windows-Betriebssystem wird in Zukunft ausgeführt, es sei denn, Standardschlüssel werden wiederhergestellt.
Wenn der Bootloader von einem der Zertifikate signiert ist, die an das in dieser Datenbank vorhandene CA-Zertifikat angekettet sind, darf er ausgeführt werden. Rafal Sosnowski vom Microsoft Dubai Security PFE Team. KEK oder PK kann aber DB, DBX und DBT überall aktualisieren. Während des Startvorgangs werden verschiedene Komponenten überprüft, darunter UEFI-Treiber, UEFI-Shell-Anwendungen, Boot-Manager, UEFI-Bootloader usw. Heute werden wir in die Secure Boot-Technologie eintauchen. Wenn Sie Ihren PC nur im reinen UEFI-Modus booten, haben Sie die Möglichkeit, Secure Boot zu aktivieren. Wenn der Bootloader von einem in dieser Datenbank vorhandenen Zertifikat signiert ist oder sein Hash hier vorhanden ist, wird die Ausführung des Bootloaders verweigert. Dann generiere und füge UEFI dein eigenes KEK und Zertifikat hinzu, um den benutzerdefinierten Bootloader zu signieren. Dann wird die Hardware initialisiert und ihre Firmware in den Speicher geladen.
Neben der Malware-Validierung gibt es mehrere Validierungsphasen, auf die ich hier nicht eingehen werde. Danach wird der Bootloader aufgerufen. Das Problem besteht darin, dass Firmware, Bootloader und andere Komponenten, die zu diesem Zeitpunkt geladen wurden, nicht verifiziert sind. Der private Teil bleibt beim Verkäufer. Als UEFI - oder OSV-Anbieter müssen Sie zunächst Ihr Unternehmen auf diesem Portal registrieren, eine spezielle Vereinbarung mit Microsoft unterzeichnen, Ihre Identität bestätigen und dann Ihren benutzerdefinierten Bootloader auf die Website hochladen. Bei der Aktualisierung des PK muss das neue PK-Zertifikat mit dem alten signiert werden. Dies ist eine sichere Startzeitstempel-Signaturdatenbank.
Nachdem die Binärdateien die Microsoft-Version erreicht haben, werden sie gegen Malware und bösartigen Code geprüft. Diese Malware könnte ein Rootkit oder ein Bootkit sein, die mit herkömmlicher AV-Software kaum zu erkennen sind und für das Betriebssystem meist unsichtbar sind. Diese Überprüfung wird anhand vertrauenswürdiger Zertifikate oder Hashes in der UEFI-Firmware durchgeführt. Diese Firmware ist verantwortlich für die Überprüfung der Komponenten, bevor sie geladen werden. Sicherer Start stellt sicher, dass Ihr PC nur mit Software bootet, die dem PC-Hersteller oder dem Benutzer vertraut. Unterschreiben Sie Ihren Bootloader mit Ihrem eigenen Schlüssel. Wenn Sie den Bootloader mit Ihrem eigenen Schlüssel signieren, müssen Sie der UEFI-Datenbank den Hash des Bildes, den Zertifikatshash oder das CA-Zertifikat hinzufügen.
Ein Angreifer, der Zugriff auf unsere Maschine hat, könnte sich also mit diesen Komponenten abmühen und den Bootloader durch einen bösartigen ersetzen. OS Loader erkennt und verifiziert die Firmware. Microsoft stellt dies jedem zur Verfügung, der UEFI-Treiber signieren möchte. Zusätzlich zu seiner Kosteneffizienz kann es für jede Linux-Distribution verwendet werden. Diese Lösung wird nicht empfohlen. Was ist der Preis? PCs und werden verwendet, um diese Vorgänge zu überprüfen. Der PC mit dem PKpriv sollte nicht mit dem Netzwerk verbunden sein.
Je nach Ihren Anforderungen könnten diese Schlüssel auch an einem anderen geografischen Ort gespeichert oder an einem anderen Ort gesichert werden. Der Inhalt der EFI _IMAGE_SECURITY_DATABASE-db-Datei steuert, welche Images vertrauenswürdig sind, wenn geladene Images überprüft werden. Als Industriestandard definiert Secure Boot, wie Plattform-Firmware Zertifikate verwaltet, Firmware authentifiziert und wie das Betriebssystem mit diesem Prozess verbunden ist. Es ist nicht als verbindliche Anleitung gedacht und enthält keine neuen Anforderungen. UEFI-Treiber müssen, wie an anderer Stelle im Dokument beschrieben, von einer Zertifizierungsstelle oder einem Schlüssel in der Datenbank signiert werden, oder der Hash des Treiberimage muss in db enthalten sein. Das TPM kann Schlüssel generieren, speichern und schützen, die beim Ver - und Entschlüsselungsprozess verwendet werden. Diese Lösung würde für jede Hardware funktionieren, die Windows unterstützt, so dass es für eine breite Palette von Hardware nützlich ist.
Sichere Boot-Überprüfung in WinLoad. KEKDefault Der Plattformanbieter kann einen Standardsatz von Schlüsselaustauschschlüsseln in der KEKDefault-Variablen bereitstellen. Sie erfordern einen manuellen Eingriff und eignen sich möglicherweise nicht für die Automatisierung und Verwendung in der Produktionsumgebung, da die Leistung möglicherweise gering ist. Dies kann zu Boot-Kit-Angriffen führen und wird die Reputation der Entität beschädigen, die für die Sicherheit des privaten Schlüssels verantwortlich ist. Wenn Sie ein Firmware-Update durchführen, um den PK zu aktualisieren, sollten Sie darauf achten, dass KEK, db und dbx erhalten bleiben. Diese Stufe eignet sich für Fälle, in denen die Datenbedrohungen hoch sind oder die Folgen des Versagens von Sicherheitsdiensten hoch sind. Installieren und konfigurieren Sie die HSM-Software auf dem HSM-Server. Unterstützung für andere Standards, z. B. MS Crypto APIs.
Sie unterstützen optional Schlüsselsicherung und hohe Verfügbarkeit. HSM ist eine gute Möglichkeit, Schlüssel zu speichern. Die Nachteile von Smartcards ähneln TPMs. Wie hoch ist die FIPS-Konformität? Installieren Sie den Microsoft Windows Production PCA 2011 in db. Makecert ist ein Microsoft-Tool und kann wie folgt für die Schlüsselgenerierung verwendet werden. EV-Zertifikate sind Zertifikate mit hoher Sicherheit, deren private Schlüssel in Hardwaretoken gespeichert sind. Wenden Sie ein Windows-Abbild auf dem PC an. Sicherer Start ist aktiviert. Zertifikate können einige andere Arten von Daten enthalten. Sobald das Trusted Platform Module aktiviert ist, können vollständige Festplattenverschlüsselungsprodukte wie Microsoft BitLocker-Funktionen gesichert werden.
Die Schlüssel müssen möglicherweise aus vielen Gründen abgerufen werden. Sobald Teammitglieder, die Teil des Sicherheitsteams sind, identifiziert und ihnen Tokens zugewiesen wurden. Testen von Secure Boot: Führen Sie alle proprietären Tests und Windows HCK-Tests gemäß den Anweisungen aus. Die Kryptographie mit öffentlichem Schlüssel verwendet ein Paar mathematisch verwandte kryptographische Schlüssel, die als öffentlicher und privater Schlüssel bezeichnet werden. UEFI-Treiber oder - Apps, aber diese Bilder dürfen die Sicherheit des PCs in keiner Weise beeinträchtigen. Wenn der PK vom Typ EFI_CERT_X509_GUID ist, muss dieser vom unmittelbaren PKpriv signiert sein, nicht ein privater Schlüssel eines unter dem PK ausgestellten Zertifikats. Es wird dringend empfohlen, dass die Produktion PKpriv niemals zum Signieren eines Pakets zum Zurücksetzen der Plattform verwendet wird, da dies die programmgesteuerte Deaktivierung von Secure Boot ermöglicht. Einige PCs unterstützen mehrere Authentifizierungsentitäten, die zum Abrufen von Schlüsseln zur Verfügung stehen.
DbDefault: Der Plattformanbieter kann einen Standardsatz von Einträgen für die Signaturdatenbank in der Variable dbDefault bereitstellen. Bitte berücksichtigen Sie basierend auf der Ressourcenverfügbarkeit, welche Methode für Sie geeignet ist. Linux Boot Loader wird von ihm signiert. KEKpri wird verwendet, um die db und dbx zu aktualisieren. Weitere Informationen finden Sie in Anhang B. Cert Hash von 58 0a 6f 4c c4 e4 b6 69 b9 eb db 1b 2b 3e 08 7b 80 d0 67 8d muss in db enthalten sein, damit der Windows OS Loader geladen werden kann. Mit diesem Schritt wird die Plattform vom Setup-Modus in den Benutzermodus versetzt. Windows-Startkomponenten: BootMgr, WinLoad, Windows-Kernelstart. Diese könnten später abgerufen und in der Fertigungslinie verwendet werden. Es gibt verschiedene kundenspezifische Lösungen, die von BIOS-Anbietern, HSM-Unternehmen und PKI-Beratungsunternehmen angeboten werden, damit Secure Boot PKI in der Fertigungsumgebung funktioniert.
Derselbe Schlüssel wird zum Signieren aller Firmware-Aktualisierungen verwendet, da sich die öffentliche Hälfte auf dem PC befindet. Konfigurieren Sie das HSM für die Konformität mit Level 2 oder Level 3. Der PC sollte nun für Secure Boot aktiviert sein. Aber mehr als ein Vermittler kann Teil der Kette sein, so dass die Zertifikatsketten beliebig lang sein können. Damit PKI funktioniert, muss der private Schlüssel sicher verwaltet werden. Erfüllt es die Anforderungen der Regierung und anderer Behörden? Geben Sie Ihre BIOS-Konfiguration ein und deaktivieren Sie Secure Boot. Möglicherweise müssen Sie die Firmware aus verschiedenen Gründen aktualisieren, z. B. wenn Sie eine UEFI-Komponente aktualisieren oder die Kompromittierung des sicheren Startschlüssels oder die regelmäßige Neuschlüsselung von sicheren Startschlüsseln beheben. Es sollte sich an einem sicheren Ort befinden und idealerweise sollte zumindest ein Chipkartenleser verwendet werden, wenn nicht ein echtes HSM. Schiffsplattform: Der PKpriv wird wahrscheinlich nie wieder benutzt, bewahren Sie ihn auf.
PCs für den Versand an Regierungen und andere Behörden und schließlich den Prozess des Erstellens, Bestückens und Verwaltens des Lebenszyklus verschiedener Secure Boot-Schlüssel. Wenn ein Schlüssel zum Verschlüsseln von Informationen verwendet wird, kann nur der entsprechende Schlüssel diese Informationen entschlüsseln. Muss RSA 2048 oder stärker sein. SignerInfo muss vorhanden sein. Windows aktualisiert DBX beim ersten Neustart automatisch über Windows Update auf den neuesten DBX. Die PK ist keine bekannte Test-PK. Führen Sie den Secure Boot Manual-Logo-Test aus. Durch das Signieren des Zertifikats mit einem privaten Schlüssel und das Platzieren der Signatur im Zertifikat wird der private Schlüssel mit dem öffentlichen Schlüssel verknüpft.
Secure Boot ist für Windows 8 und höher sowie für Windows Server 2016, wie in den Windows Hardware Compatibility Requirements definiert, erforderlich. Die Zertifizierungsstelle signiert das Zertifikat mit ihrem privaten Schlüssel. Wie viele Schlüssel kann es speichern? Update-Kapseln können im Speicher oder auf der Festplatte sein. Weitere Informationen finden Sie in Abschnitt 27. Die Plattform ist durch einen Plattformschlüssel gesichert, den der OEM während der Herstellung in Firmware installiert. Der physische Standort der PCs in der Fabrikhalle müsste ein geschützter Bereich mit eingeschränktem Benutzerzugang wie ein sicherer Käfig sein. Der Microsoft KEK muss die Sperrung fehlerhafter Bilder ermöglichen, indem er den dbx aktualisiert und möglicherweise db aktualisiert, um sich auf neuere Windows-signierte Bilder vorzubereiten. Sie unterstützen mehrere Arten der Schlüsselspeicherung. Um den Besitz der Plattform zu ändern, müssen Sie die Firmware in den UEFI-definierten Setup-Modus versetzen, der Secure Boot deaktiviert. Sie können Msinfo32 verwenden.
Kapitel 2 und 3 haben mehr Details. Einige HSM-Anbieter können möglicherweise benutzerdefinierte Beratung bieten. Dies kann den Zugriff auf private Informationen beinhalten, bei denen die Wahrscheinlichkeit eines böswilligen Zugriffs nicht hoch ist. Die Datenbank kann mehrere Zertifikate, Schlüssel und Hashes enthalten, um zulässige Bilder zu identifizieren. Authentifizierungsmethode für den Schlüsselabruf Diese Ebene bietet ein grundlegendes Maß an Sicherheit, das für Umgebungen relevant ist, in denen Risiken und Konsequenzen der Datenkompromisse bestehen, sie werden jedoch nicht als besonders wichtig erachtet. PKI ist das Herzstück des Sicherheitsmodells für Secure Boot. Der öffentliche CA-Schlüssel wird zum Überprüfen des Zertifikats verwendet.
EV-Zertifikate haben die gleichen Nachteile wie Smartcards. Diese könnten einmal pro Jahr durchgeführt werden. Weitere Informationen finden Sie unter Generierung von sicheren Startschlüsseln mithilfe von HSM. Registrieren Sie den PK mit der Secure Boot API. Befolgen Sie die Richtlinien des HSM-Anbieters zum Einrichten von HSM für Hochverfügbarkeit und Backup. Secure Boot auf Produktions-PCs. Diese Module können Firmware-Treiber, Options-ROMs, UEFI-Treiber auf der Festplatte, UEFI-Anwendungen oder UEFI-Bootloader enthalten.
Sie können das Firmwareupdate auch mit einem Schlüssel signieren, der den Firmware-Aktualisierungsschlüssel verschlüsselt. Windows-Anforderungen für UEFI und Secure Boot finden Sie in den Windows-Hardware-Zertifizierungsanforderungen. Ausführliche Informationen zum Implementieren der Unterstützung für die Windows UEFI Firmware Update Platform finden Sie in der folgenden Dokumentation: Windows UEFI Firmware Update Platform. Bei Desktop-PCs verwalten OEMs PK und die damit verbundene erforderliche PKI. Andere Schlüssel werden von Secure Boot verwendet, um den Zugriff auf Datenbanken zu schützen, die Schlüssel speichern, um die Ausführung der Firmware zu erlauben oder zu verbieten. Alle davon signierten Treiber werden auf allen PCs mit der Microsoft UEFI CA nahtlos ausgeführt. Dies kann davon abhängen, ob Sie spezielle Kundenanforderungen wie Regierungen oder andere Agenturen haben. Haben Sie einen Notfallplan, falls der Secure Boot Key kompromittiert ist. Bitte beachten Sie die UEFI-Spezifikation Abschnitt 27. Gemäß Abschnitt 27. Dies ist nur für Windows HCK-Testzwecke gedacht.
Die Überprüfung, ob ein Benutzerzertifikat echt ist, beinhaltet die Überprüfung seiner Signatur, die den öffentlichen Schlüssel der Zertifizierungsstelle erfordert, anhand seines Zertifikats. Im Folgenden finden Sie einige der Metriken, die wir zum Vergleich verwendet haben. Es könnte vom privaten Schlüssel eines Vermittlers signiert sein, dessen Zertifikat vom privaten Schlüssel der CA signiert ist. Security Office und nur der öffentliche Schlüssel wird auf die Plattform geladen. Dies kann erforderlich sein, wenn der PK kompromittiert wird oder von einem Kunden verlangt wird, der sich aus Sicherheitsgründen dazu entschließen könnte, seinen eigenen PK zu registrieren. Diese HSMs sind in verschiedenen Formfaktoren erhältlich, die USB-, PCIe - und PCMCIA-Busse unterstützen. Zur Authentifizierung von Anforderungen an Serviceanforderungen gehören die Änderung von Secure Boot-Datenbanken und Aktualisierungen der Plattformfirmware. Während dies am einfachsten einzurichten ist, ist jeder PC, der hergestellt wird, anfällig, wenn der Schlüssel kompromittiert wird. Einfache Einrichtung, Bereitstellung, Wartung. Die Signaturdatenbank wird als authentifizierte UEFI-Variable gespeichert.
Wenn Sie einen der Schlüssel kennen, können Sie nicht schwer berechnen, was der andere ist. Platform Key und alle Schlüssel, die ein OEM oder ODM im Firmwarekern enthält. Beschaffen Sie Server und Hardware für die Schlüsselverwaltung. Füllen Sie die Firmware mit den entsprechenden Tasten auf. Windows RT PCs der OEM kann zusätzliche KEKs haben, um zusätzliche OEM oder eine vertrauenswürdige 3rd-Party-Kontrolle der db und dbx zu ermöglichen. Speichert es Schlüssel auf HSM oder einem angeschlossenen Server? Dies bedeutet, dass k Entitäten mit einem Token Zugriff auf das HSM gewährt wird, aber an einem bestimmten Punkt mindestens k von den m Token vorhanden sein muss, damit die Authentifizierung funktioniert, um Zugriff auf private Schlüssel von HSM zu erhalten. Die Datenbank kann mehrere Zertifikate, Schlüssel und Hashes enthalten, um verbotene Bilder zu identifizieren. Zum Beispiel bezeichnet PKpub die öffentliche Hälfte des PK. Secure Boot, Windows und Key Management enthält Informationen zur Boot-Sicherheit und zur PKI-Architektur, die für Windows und Secure Boot gelten.
PowerShell-Cmdlets zum Überprüfen des Status des variablen Status von Secure Boot. Installieren Sie ein leeres dbx, wenn Microsoft eines nicht bereitstellt. OEM und sind der Vollständigkeit halber erwähnt. Wenn es einen Schlüssel pro PC gibt, müssten Millionen einzigartiger Aktualisierungspakete generiert werden. Für Server verwalten OEMs standardmäßig PK und die erforderliche PKI. Windows-Startkomponenten überprüfen die Signatur für jede Komponente. Im Folgenden finden Sie weitere Informationen zu diesen Tasten. Dieses Whitepaper befasst sich mit der Schlüsselverwaltung als Ressource, um Partnern bei der Bereitstellung der von der Firmware verwendeten Schlüssel zu helfen. Bevor jedoch der öffentliche Schlüssel der CA verwendet werden kann, muss das umschließende CA-Zertifikat verifiziert werden.
Wichtige Anforderungen für Erzeugung und Verwaltung Es hält Festplatten gesperrt oder abgedichtet, bis der PC einen Systemverifizierungs - oder Authentifizierungsprozess abgeschlossen hat. Alle neueren PCs werden mit dem neu erstellten PK signiert. Überprüfen Sie Ihr HSM-Referenzhandbuch. Hinweis: Diese Schritte beziehen sich nicht auf PC-OEMs. Es ist auch möglich, dass ein OEM vertrauenswürdige Treiber signiert und die OEM-Zertifizierungsstelle in die Datenbank aufnimmt oder Hashes der Treiber in die Datenbank aufnimmt. Wenn ein Schlüssel kompromittiert wird, wäre eine ganze Produktlinie anfällig. UEFI CA Signierrichtlinien und Updates. DbxDefault: Der Plattformanbieter kann einen Standardsatz von Einträgen für die Signaturdatenbank in der Variablen dbxDefault bereitstellen.
Dieses Zertifikat ist Teil der Windows HCK Secure Boot Tests. Identifizieren Sie die Richtlinie, wie oft Sie die Schlüssel erneut eingeben. Als bewährte Methode verwenden Sie bitte eine Kombination aus Token - und Token-Passwort. Microsoft stellt einen UEFI-Treibersignierdienst zur Verfügung, der dem WHQL-Treibersignierdienst ähnelt, der die Microsoft Corporation UEFI CA 2011 verwendet. Nur auf SoC müssen Sie möglicherweise etwas anderes tun, zum Beispiel Secure Firmware Update Key: public oder dessen Hash. Die Kryptographie mit öffentlichem Schlüssel kann eine Herausforderung darstellen und ein Verständnis von kryptografischen Konzepten erfordern, die möglicherweise neu sind. Windows unterstützt im Speicher Updates. Eine der Hauptfunktionen dieser Ebene besteht darin, die Integrität der signierten Daten sicherzustellen.
Auf allen PCs wird empfohlen, den PK nicht als sicheren Firmware-Aktualisierungsschlüssel zu verwenden. In diesem Fall ist das Update zur Registrierung eines neuen PKpub möglicherweise nicht möglich, da der Aktualisierungsprozess ebenfalls beeinträchtigt wurde. Es sollte für einige sehr vertrauenswürdige Personen in einer Organisation zugänglich sein und sich an einem physisch sicheren Ort befinden, an dem strenge Zugangsrichtlinien gelten. Einen Schlüssel pro PC-Modell haben. Es gibt keine WMI-Schnittstelle. Diese Lösung ist die beste ihrer Klasse in Bezug auf Sicherheit, Einhaltung von Standards, Schlüsselgenerierung, Speicherung und Abruf. Benutzerzertifikate werden oft von einem anderen privaten Schlüssel wie einem privaten Schlüssel der Zertifizierungsstelle signiert. Das Firmware-Update-Paket wird vom sicheren Firmware-Update-Schlüssel signiert und von der Firmware verifiziert. Konfigurieren Sie HSM für Hochverfügbarkeit, Sicherung und Authentifizierung.
Die Zertifizierungsstellen generieren die Schlüsselpaare, die das Stammverzeichnis der Vertrauensstellung bilden, und verwenden dann die privaten Schlüssel, um zulässige Vorgänge zu signieren, z. B. zulässige EFI-Startmaut-Module und Firmware-Wartungsanfragen. Nur Windows RT-PCs: Installieren Sie den öffentlichen Schlüssel für das sichere Firmware-Update oder dessen Hash, um Speicherplatz zu sparen. Es gibt benutzerdefinierte Lösungsanbieter, die Ihnen dabei helfen können, dass Secure Boot in der Produktionsumgebung funktioniert. Dies basiert auf Kundenbasis, Schlüsselspeicherlösung und Sicherheit von PCs. Überlegen Sie, ob Sie ein oder mehrere HSMs für hohe Verfügbarkeit und Ihre Schlüsselsicherungsmethode benötigen. Die Kosten für diese Produkte können in Zehntausenden von Dollar liegen, basierend auf den zusätzlichen Dienstleistungen, die sie anbieten. Weitere Informationen zur Verwendung von CAs und Schlüsselaustauschsystemen sind im Internet verfügbar und beziehen sich auf das Secure Boot-Modell. GetFirmwareEnvironmentVariableEx: Ruft den Wert der angegebenen Firmware-Umgebungsvariablen ab. Antivirus - und Antimalware-Softwareinitialisierung: Diese Software wird auf eine spezielle Signatur überprüft, die von Microsoft ausgestellt wurde, um zu überprüfen, dass es sich um einen vertrauenswürdigen bootkritischen Treiber handelt, und wird früh im Startprozess gestartet.
Überprüfen Sie Ihr HSM-Referenzhandbuch auf Installationsanweisungen. Jede Aktualisierung des Firmware-Flash-Speichers muss vom Ersteller signiert sein. Dies kann bedeuten, dass ein Schlüssel in einem Schlüsselcontainer auf einer verschlüsselten Festplatte gespeichert wird und möglicherweise für ein zusätzliches Sandboxing und die Sicherheit eine virtuelle Maschine verwendet wird. Der PKpriv wird wahrscheinlich nie wieder verwendet werden, bewahren Sie ihn auf. Level 3 wird empfohlen. Diese Lösungen sind nicht so sicher wie die Verwendung eines HSM und setzen einen höheren Angriffsvektor frei. Der Plattformeigner kann den Typ EFI_CERT_RSA2048_GUID verwenden, wenn Speicherplatz ein Problem darstellt. Zum Beispiel gibt PKriv die private Hälfte des PK an. Sie haben möglicherweise keine schnellen Krypto-Prozessoren, um die Verarbeitung in der Fertigungsumgebung zu beschleunigen. Die Rekeying-Funktion kann entweder für ein Modell oder einen PC verwendet werden, basierend auf der gewählten Methode zur Erstellung von PK. Dies hilft, eine stärkere Schlüsselverwaltung zu etablieren. Die Konformität mit Level 3 hat strengere Anforderungen an Authentifizierung und Schlüsselzugriff und ist daher sicherer.
Es gibt ein paar verschiedene HSM-Lösungen, um eine große Anzahl von Schlüsseln basierend auf dem HSM-Anbieter zu verwalten. Wenn ein privater Schlüssel kompromittiert wird, sind Systeme mit entsprechenden öffentlichen Schlüsseln nicht mehr sicher. Dieses Dokument unterstützt OEMs und ODMs bei der Erstellung und Verwaltung der Secure Boot-Schlüssel und - Zertifikate in einer Produktionsumgebung. Microsoft beginnt mit der Bereitstellung von dbx-Updates. Diese Angriffsklasse war schwer zu bekämpfen, da Anti-Malware-Produkte durch bösartige Software deaktiviert werden können, die verhindert, dass sie vollständig geladen werden. Wenn sich die Plattform im Setup-Modus befindet, wird der neue PKpub mit seinem PKpriv-Gegenstück signiert. Bei Secure Boot wird der private Schlüssel zum digitalen Signieren von Code verwendet und der öffentliche Schlüssel wird verwendet, um die Signatur dieses Codes zu verifizieren, um seine Authentizität zu prüfen. Errata C ohne das Attribut EFI_VARIABLE_APPEND_WRITE. Registrieren Sie den Secure Boot Platform Key, um Secure Boot zu aktivieren.
Diese funktionieren hervorragend mit eigenständigen Servern. Klicken Sie hier, um die neueste UEFI-Sperrliste von Microsoft herunterzuladen. Unterstützt es RSA 2048 oder höher? Wenn sich die Plattform im Benutzermodus befindet, muss der neue PKpub mit dem aktuellen PKpriv signiert werden. Skillset und Training erforderlich? Die PKI etabliert Authentizität und Vertrauen in ein System. Die Firmware muss die Signatur des Updates überprüfen.
Sie können entweder lokal auf dem HSM selbst oder auf dem mit dem HSM verbundenen Server gespeichert werden. Deaktivieren Sie Secure Boot-Schutz. Microsoft stellt den Partnern das Zertifikat zur Verfügung und es kann entweder als EFI_CERT_X509_GUID - oder als EFI_CERT_RSA2048_GUID-Typ-Signatur hinzugefügt werden. Abbildung 3 zeigt die Signaturen und Schlüssel in einem PC mit Secure Boot. Außerdem haben Netzwerk-HSMs typischerweise mehrere Netzwerk-Ports, um den Verkehr zu trennen. Ermöglichen, dass ein Server mit Netzwerk-HSMs in einem Netzwerk kommuniziert, das vom normalen Produktionsnetzwerk getrennt ist. Es eignet sich nicht für Transaktionen, die eine Authentifizierung erfordern, und ist im Allgemeinen für Transaktionen, die Vertraulichkeit erfordern, nicht ausreichend, kann jedoch für Letzteres verwendet werden, wenn Zertifikate mit höherer Zuverlässigkeit nicht verfügbar sind.
Der Inhalt von EFI_IMAGE_SIGNATURE_DATABASE1 dbx muss überprüft werden, wenn Images überprüft werden, bevor db geprüft wird, und alle Übereinstimmungen müssen die Ausführung des Image verhindern. Einen Schlüssel pro Modell oder Produktlinie zu haben, ist ein guter Kompromiss. SecureBootUEFI, um den Inhalt der Secure Boot-Datenbanken zu bestätigen. Errata C, der Plattformschlüssel begründet eine Vertrauensbeziehung zwischen dem Plattformbesitzer und der Plattform-Firmware. Die OS Loader-Erkennung wird erfolgreich abgeschlossen. SecureBootUEFI-Cmdlet, um Secure Boot zu aktivieren. Durch die Nutzung dieser Windows-Firmware-Unterstützung kann sich ein OEM auf das gleiche gängige Format und den gleichen Prozess zum Aktualisieren der Firmware für die System - und PC-Firmware verlassen.
Microsoft setzt auf UEFI Secure Boot in Windows 8 und höher als Teil seiner Trusted Boot-Sicherheitsarchitektur, um die Plattformsicherheit für unsere Kunden zu verbessern. Dies liegt daran, dass der sichere Firmware-Aktualisierungsschlüssel permanent in Sicherungen auf PCs gebrannt wird, die die Windows-Hardwarezertifizierungsanforderungen erfüllen. Microsoft empfiehlt, dass der Plattformschlüssel vom Typ EFI_CERT_X509_GUID mit dem öffentlichen Schlüsselalgorithmus RSA, der öffentlichen Schlüssellänge von 2048 Bit und dem Signaturalgorithmus sha256RSA ist. Die primäre Verwendung für digitale Zertifikate besteht in der Überprüfung der Herkunft von signierten Daten, z. B. Binärdateien usw. Downloaden und installieren Sie den Firmware-Treiber. GetFirmwareType: Ruft den Firmwaretyp ab. Crypto-Prozessoren können die Erstellung und den Zugriff von Schlüsseln beschleunigen. Installieren Sie die HCK-Client-Software. Während des Starts, um festzustellen, ob frühe Startmodule für die Ausführung vertrauenswürdig sind. Dies kann Transaktionen mit erheblichem monetärem Wert oder Betrugsrisiko oder den Zugang zu privaten Informationen umfassen, wenn die Wahrscheinlichkeit eines böswilligen Zugriffs erheblich ist.
Erlaubt es Key Backup? Diese Ebene ist relevant für Umgebungen, in denen die Risiken und Konsequenzen von Datenkompromitierungen moderat sind. OS Loader übergibt ein binäres BLOB an UEFI. Dies erhöht die Komplexität der Zuordnung von Geräten mit ihrem entsprechenden PK, wenn Firmware-Aktualisierungen in Zukunft auf die Geräte übertragen werden. Unternehmen und Kunden können diese Schritte auch verwenden, um ihre Server für die Unterstützung von Secure Boot zu konfigurieren. Der tatsächliche Speicherort der Schlüssel hängt von der gewählten Lösung ab. Diese Stufe bietet das niedrigste Maß an Sicherheit hinsichtlich der Identität des Individuums. Errata C für Details. Zertifikat Hash von 46 de f6 3b 5c e6 1c f8 ba 0d e2 e6 63 9c 10 19 d0 ed 14 f3. Dadurch wird der PC in den Setup-Modus zurückgesetzt, indem PK und andere Schlüssel gelöscht werden. Errata C und deine Bedürfnisse. Installieren Sie Microsoft db und dbx.
Es verwendet Schlüssel, die auf der Festplatte gespeichert sind, was sehr unsicher ist und nicht empfohlen wird. Durch das Signieren von UEFI-Treibern und - Anwendungen mit diesem Zertifikat können UEFI-Treiber und - Anwendungen von Drittanbietern auf dem PC ausgeführt werden, ohne dass zusätzliche Schritte für den Benutzer erforderlich sind. KEK, db und dbx. Auf SOCs-PCs gibt es einen weiteren Grund, den PK nicht als sicheren Firmware-Aktualisierungsschlüssel zu verwenden. Diese HCK-Ressourcen behandeln jedoch nicht die Erstellung und Verwaltung von Schlüsseln für Windows-Bereitstellungen. Basierend auf den oben genannten Kriterien ist dies wahrscheinlich die am besten geeignete und sicherste Lösung. Man kann Microsoft CAPI und CNG oder jede andere von HSM unterstützte sichere API verwenden. Die meisten dieser PCs unterstützen eine hohe Verfügbarkeit und sind in der Lage, Schlüssel zu sichern. Microsoft Corporation UEFI CA 2011 in UEFI db. Zusammenfassung und Ressourcen enthält Anhänge, Checklisten, APIs und andere Referenzen. PK und Firmware Update Key und Zertifikate.
Erlauben Hochverfügbarkeit für Disaster Recovery? Wenn Sie ein Teil des gesamten Systemabbilds sind, können Sie sicher sein, dass der Treiber auf dem PC vertrauenswürdig ist. Auf dem Server werden die Schlüssel verschlüsselt und gespeichert und sind für Lösungen vorzuziehen, bei denen viele Schlüssel gespeichert werden müssen. Die UEFI-System-Firmware kann diesen Prozess verwenden, um die System - und PC-Firmware zu aktualisieren. Diese Stufe ist relevant für Umgebungen, in denen das Risiko böswilliger Aktivitäten als gering eingeschätzt wird. Wir empfehlen, nur dann in den Setup-Modus zurückzukehren, wenn dies während der Herstellung erforderlich ist. Es dient als Anleitung, die über die Zertifizierungsanforderungen hinausgeht, um beim Aufbau effizienter und sicherer Prozesse für die Erstellung und Verwaltung von sicheren Bootschlüsseln behilflich zu sein. Sie sind auch nicht zum Speichern einer großen Anzahl von Schlüsseln geeignet.
Windows oder ein anderes vertrauenswürdiges Betriebssystem. Verwenden Sie PowerShell-Cmdlets, die Teil der Windows HCK-Tests sind, oder verwenden Sie Methoden, die vom BIOS-Anbieter bereitgestellt werden. Ist es manipulationssicher? Dieses Dokument dient als Ausgangspunkt für die Entwicklung von kundenfertigen PCs, werksseitigen Bereitstellungstools und bewährten Best Practices für die Sicherheit. PowerShell, die nur die PK ändert. Mit öffentlichen Schlüsseln werden Signaturen überprüft, wie zuvor in diesem Dokument beschrieben. PK und andere Metadaten. Mithilfe von Kapseln kann das Betriebssystem während eines Neustarts Daten an die UEFI-Umgebung weitergeben. Dies ist eine Abkürzung. Auf dieser Sicherheitsstufe wird angenommen, dass Benutzer wahrscheinlich nicht böswillig sind.
Arbeitsgeschwindigkeit in der Fabrik. Wenn die signierten Daten mit einem Zertifikat verifiziert werden, kann der Empfänger den Ursprung der Daten erkennen und wenn er während der Übertragung geändert wurde. Wenn sich die Plattform im Setup-Modus befindet, muss die leere Variable nicht authentifiziert werden. Führen Sie alle proprietären Tests und HCK Secure Boot Tests gemäß den Anweisungen aus. Mit einem eindeutigen Schlüssel für jedes Gerät. Es kann zusätzliche Speicher - und Kryptoverarbeitungsleistung erfordern, um private und öffentliche Schlüssel für eine große Anzahl von PCs zu erzeugen. Nachdem Ihr Code den PK festgelegt hat, wird die Systemerzwingung für Secure Boot erst beim nächsten Neustart wirksam. Es gibt einige BIOS-Anbieter, die möglicherweise benutzerdefinierte Lösungen anbieten können.
Geben Sie Ihre BIOS-Konfiguration ein, aktivieren Sie Secure Boot und stellen Sie Secure Boot auf die Standardkonfiguration wieder her. Es könnte einen Schlüssel pro PC wie PK oder einen pro Modell oder einen pro Produktlinie geben. Das Microsoft UEFI-Treibersignaturzertifikat kann zum Signieren anderer Betriebssysteme verwendet werden. Der Server wird entweder mit einem eigenständigen oder einem Netzwerk-HSM verbunden. KEK db, dbx und andere Schlüssel, die in OEM Db gehen würden. SetFirmwareEnvironmentVariableEx: Legt den Wert der angegebenen Firmware-Umgebungsvariablen fest. Dies ist wichtig, da UEFI Secure Boot auf der Verwendung von Public Key Infrastructure basiert, um Code zu authentifizieren, bevor er ausgeführt werden darf. Der Kompromiss hier ist, dass, wenn ein Schlüssel kompromittiert wird, alle Maschinen innerhalb desselben Modells anfällig sind. Dies kann sehr hochwertige Transaktionen oder ein hohes Betrugsrisiko beinhalten.
PK, um die Vertrauenswürdigkeit der UEFI Secure Boot-Firmware für sich selbst zu sperren. Hat es die Fähigkeit, Schlüssel zu generieren und zu signieren? KEK enthält die Produktion Microsoft KEK. Mit Key Management Solutions können Partner eine wichtige Management - und Designlösung entwickeln, die ihren Anforderungen entspricht. Secure Boot Firmware Update Key Der Secure Firmware Update Key wird verwendet, um die Firmware zu signieren, wenn sie aktualisiert werden muss. Dies wird von Microsoft für Desktop-PCs empfohlen. Geben Sie die BIOS-Konfiguration ein und löschen Sie die Secure Boot-Konfiguration. Das Aktualisieren der PK auf einem Produktions-PC würde entweder eine Aktualisierung der Variablen erfordern, die mit der vorhandenen PK signiert ist, die die PK ersetzt, oder ein Firmware-Aktualisierungspaket.
Dies ist nicht für den Einsatz in einer Produktionsumgebung gedacht. Die Nachteile von TPMs bestehen darin, dass sie keine schnellen Krypto-Prozessoren haben, um die Verarbeitung in der Fertigungsumgebung zu beschleunigen. Zum Beispiel könnten Sie 3 von 5 Tokens für den Zugriff auf HSM authentifizieren. Verwenden Sie Crypto-APIs für die Schlüsselverwaltung. Dieses Papier führt keine neuen Anforderungen ein oder stellt ein offizielles Windows-Programm dar. Eine pro Produktlinie. Schlüsselaustauschschlüssel stellen eine Vertrauensbeziehung zwischen dem Betriebssystem und der Plattformfirmware her. Unterzeichnen Sie ein DB-Update mit Ihrem KEK. Da Microsoft niemals einen Bootloader signiert, der automatisch eine nicht signierte Binärdatei startet, verwenden PreLoader und Shim eine Whitelist namens Machine Owner Key list. Wählen Sie dann Beenden, um zum Startgeräteauswahlmenü zurückzukehren.
Wählen Sie im MokManager die Option Schlüssel von Diskette registrieren, MOK suchen. Um die Firmware in den Setup-Modus zu versetzen, rufen Sie das Dienstprogramm zur Firmware-Einrichtung auf und suchen Sie nach einer Option zum Löschen oder Löschen von Zertifikaten. Sie können auf die Firmware-Konfiguration zugreifen, indem Sie während des Startvorgangs eine spezielle Taste drücken. Grund: Ist es möglich, Windows zu booten, indem Sie seinen Bootloader mit einem benutzerdefinierten Schlüssel signieren? Informationen zu den KeyTool-Menüoptionen finden Sie unter Ersetzen von Schlüsseln mit KeyTool. Dies sorgt auch dafür, dass die ansonsten ungeschützte Initramfs - und Kernel-Befehlszeile in das signierte UEFI-Image eingebettet wird. Ersetzen Sie X durch den Laufwerkbuchstaben und ersetzen Sie Y durch die Partitionsnummer der EFI-Systempartition. Weitere Informationen finden Sie unter Die Bedeutung aller UEFI-Schlüssel.
MokList führen sie es aus, wenn nicht, starten sie ein Schlüsselverwaltungsprogramm, das die Registrierung des Hashs oder Schlüssels erlaubt. Der zu verwendende Schlüssel hängt von der Firmware ab. Machine Owner Schlüssel oder Hash in MokList gespeichert. PEM-Format-Zertifikat für sbsign. KEK, db und dbx müssen mit einem höheren Schlüssel signiert sein. AUR oder lade sie manuell herunter. Die mit XXXX gekennzeichneten Zeichen unterscheiden sich von Maschine zu Maschine. Kopieren Sie Shim und MokManager in Ihr Boot-Loader-Verzeichnis auf ESP; Verwenden Sie den vorherigen Dateinamen Ihres Bootloaders und den Dateinamen für shimx64. SHA256-Hash einer EFI-Binärdatei.
Die Secure Boot-Funktion kann über die UEFI-Firmware-Schnittstelle deaktiviert werden. AUR, entferne die kopierten Shim - und MokManager-Dateien und benenne deinen Bootloader um. Starten Sie Secure Boot neu und aktivieren Sie es. Sie können auch Ihren eigenen PacMan Hook erstellen, um den Kernel bei der Installation und Updates zu signieren. PEM-Format-Zertifikate für sbsign. MokList es startet mmx64. DER-Format-Zertifikat für MokManager. Registrieren Sie die signierte Zertifikatsaktualisierungsdatei. Wenn Sie fertig sind, wählen Sie Continue Boot und Ihr Bootloader wird gestartet und kann den Kernel starten. UEFI Shell und Schlüssel registrieren. UEFI-Treiber, Options-ROMs usw.
AUR-Paket zum vereinfachten Erstellen von Schlüsseln, Registrieren von Schlüsseln, Signieren des Bootloaders und Überprüfen von Signaturen. Erstellen Sie schließlich einen neuen NVRAM-Eintrag zum Starten von PreLoader. Um dies zu erleichtern, können Sie die Tabulatorvervollständigung verwenden oder die EFI-Variablen auflisten. Für besonders unnachgiebige UEFI-Implementierungen kopieren Sie PreLoader. Wenn Sie fertig sind, wählen Sie Boot fortsetzen und Ihr Bootloader wird gestartet. Er kann alle mit Ihrem Maschineneignerschlüssel signierten Binärdateien starten. Schlüssel zum Signieren von Signaturen Datenbank und verbotenen Signaturen Datenbank-Updates.
AUR und kopiere PreLoader. Verwenden von HashTool zum Registrieren des Hashs von Loader. DER-Formatzertifikate für Firmware. Um es nach der Registrierung von Schlüsseln zu verwenden, signieren Sie es mit sbsign. Das Booten des Archiso mit aktiviertem Secure Boot ist seit den EFI-Anwendungen PreLoader möglich. Wenn shim den SHA256-Hash von grubx64 nicht findet. Mit MOK müssen Sie den Schlüssel nur einmal hinzufügen, aber Sie müssen den Bootloader und den Kernel bei jeder Aktualisierung signieren.
Um Secure Boot zu verwenden, benötigen Sie mindestens PK-, KEK - und db-Schlüssel. Während Sie mehrere KEK-, db - und dbx-Zertifikate hinzufügen können, ist nur ein Plattformschlüssel zulässig. Benennen Sie Ihren aktuellen Bootloader in grubx64 um. Fehler beim Starten von loader. MokList, PreLoader startet HashTool. Sie können einen signierten PreLoader erhalten. Registrieren Sie Schlüssel in der Firmware, um add_MS_db hinzuzufügen. Wählen Sie im MokManager die Option Hash von der Festplatte registrieren, suchen Sie nach grubx64. Private Schlüssel im PEM-Format für die Unterzeichnung von EFI-Binär - und EFI-Signaturlisten. Wenn shim das Zertifikat grubx64 nicht findet. Setup Utility zum Beispiel, wie man Schlüssel einträgt.
Bei der Ausführung versucht PreLoader, Loader zu starten. Der Plattformschlüssel kann selbst unterschrieben werden. AUR, um Ihre Kernel beim Update automatisch zu signieren. Privater Schlüssel im PEM-Format für EFI-Binärsignaturen. Um Schlüssel zu generieren, installiere efitools. Starten Sie das Firmware-Setup-Dienstprogramm oder KeyTool und registrieren Sie db-, KEK - und PK-Zertifikate. Sicherer Start befindet sich im Setup-Modus, wenn der Plattformschlüssel entfernt wird. Sie müssen dies jedes Mal tun, wenn sie aktualisiert werden.
Wenn beim Booten des benutzerdefinierten NVRAM-Eintrags Probleme auftreten, kopieren Sie HashTool. Es ist normalerweise einer von Esc, F2, Del oder möglicherweise einer anderen Fn-Taste. Die Verwendung von Hash ist einfacher, aber jedes Mal, wenn Sie Ihren Bootloader oder Kernel aktualisieren, müssen Sie deren Hashes im MokManager hinzufügen. Kopieren Sie nun die Bootloader-Binärdatei und benennen Sie sie in loader um. Wählen Sie erneut "Hash und Archiso registrieren", um das Verzeichnis archiso aufzurufen, und wählen Sie dann vmlinuz. Der Archiso startet, und Sie erhalten eine Shell-Eingabeaufforderung, die automatisch als root angemeldet ist. FAT-Dateisystem, falls Probleme auftreten. EFI-Binärdateien können auf Ihrem System ausgeführt werden. UEFI-Firmware-Umgebung zum Speichern von Einstellungen und Konfigurationsdaten. Linux-Distributionen enthalten dies.
Jetzt können Sie den gleichen Prozess sowohl für den KEK - als auch für den db-Schlüssel ausführen. Die UEFI-Spezifikationen erlauben nur zwei Arten von Signaturschlüsseln: X509 und RSA2048. Der Schlüsselaustauschschlüssel wird zum Aktualisieren der Signaturdatenbank verwendet und in der KEK-Variablen gespeichert. Der Plattformschlüssel ist der Schlüssel zur Plattform und wird in der PK-Variablen gespeichert. Wie Sie oben sehen können, ist der Inhaber des Plattformschlüssels im Wesentlichen der Eigentümer der Plattform. Die Spezifikationen erlauben zwei Arten von Authentifizierungsdeskriptoren: zeitbasierte und monotone Zählung. Die KEK-Variable kann nur durch einen Authentifizierungsdeskriptor aktualisiert werden, der mit dem Plattformschlüssel signiert ist. Die PK-Variable kann nur durch einen Authentifizierungsdeskriptor aktualisiert werden, der mit dem Plattformschlüssel signiert ist. Die Variable dbx kann entweder Schlüssel, Signaturen oder Hashes enthalten. Im Benutzermodus überprüft die Plattform, ob bei einem Versuch, auf eine sichere Variable zu schreiben, ein gültiger signierter Authentifizierungsdeskriptor vorhanden ist.
Sobald das Update akzeptiert wurde, wird die Zeit oder der Zählerstand auf den Wert im Authentifizierungsdeskriptor aktualisiert. Die db-Variable kann eine gemischte Gruppe von Schlüsseln, Signaturen oder Hashes enthalten. Hinweis: Der Plattformschlüssel darf nicht zum Signieren von Binärdateien zur Ausführung verwendet werden. Dies war sehr hilfreich, um mehr über Secure Boot zu erfahren. Es gibt Anleitungen, die erklären, wie Sie Ihre eigene PK in Ihre Firmware einbauen und Ihre eigene KEK haben. Es kann entweder zum Aktualisieren der aktuellen Signaturdatenbanken oder zum Signieren von Binärdateien für eine gültige Ausführung verwendet werden. Es ist in der Variablen db gespeichert. Aber ich frage mich, ob alle Mainboards den PK löschen können? KEK oder ein Schlüssel in db und weder der Schlüssel noch die Unterschrift erscheint in dbx. In den meisten aktuellen Implementierungen kann die KEK-Variable mehrere Schlüssel enthalten, die vom Typ X509 oder RSA2048 sein können, von denen jeder die Funktion des Schlüsselaustauschschlüssels ausführen kann.
In den meisten Implementierungen kann nur ein Schlüssel auf einmal in PK gespeichert werden, und der PK darf nur ein X509-Schlüssel sein. Die EUFI-Optionen sind am meisten gesperrt. Kannst du dein eigenes PK und KEK in die Firmware von der UEFI-Shell einfügen, wenn es kein GUI-Menü in der UEFI gibt? Der Grund dafür besteht darin, die Wiederholung früherer Aktualisierungen zu verhindern, sodass ein neueres Update entweder eine spätere Zeit oder eine höhere monotone Anzahl haben muss. Dieser Beitrag wurde am 11. Juli 2012 von jejb in UEFI Secure Boot veröffentlicht. Die Variable dbx kann nur durch einen Authentifizierungsdeskriptor aktualisiert werden, der mit dem Schlüsselaustauschschlüssel signiert ist. Vielen Dank für diese klare und kurze Erklärung aller UEFI Secure Boot-Sachen! KEK oder db, damit Sie Binärdateien damit signieren können und sie ausführen lassen. Die Datenbank für verbotene Signaturen wird verwendet, um Efi-Binärdateien und ladbare ROMs ungültig zu machen, wenn die Plattform im sicheren Modus betrieben wird. Es ist in der Variablen dbx gespeichert.
In diesem Modus ist der sichere Start deaktiviert. Seine Aufgabe besteht darin, den Zugriff auf die PK-Variable und die KEK-Variable zu steuern. Die Datenbankvariable kann nur durch einen Authentifizierungsdeskriptor aktualisiert werden, der mit dem Schlüsselaustauschschlüssel signiert ist. Die Signaturdatenbank wird verwendet, um signierte Efi-Binärdateien und ladbare ROMs zu überprüfen, wenn die Plattform im sicheren Modus betrieben wird. Asrock AMD-System kann ich den sicheren Start aktivieren und deaktivieren, und ich kann die Schlüssel auf einige Standardeinstellungen zurücksetzen, und ich kann sehen, dass es sich im Setup-Modus befindet. Das Bild ist signiert und der zum Erstellen der Signatur verwendete Schlüssel entspricht einem Eintrag in dbx. Dies bedeutet, dass nicht alles möglich ist, da Tianocore die Windows 8-Hardware-Zertifizierungsanforderungen genau befolgt.
Bevorzugen Sie einen Anbieter, der Ihnen bei der Entwicklung Ihrer Website behilflich ist, um Ihnen Zeit und Geld zu sparen. SpotOption vereinfacht diesen Prozess für Sie, indem es Ihnen ermöglicht, unter seiner Market-Maker-Lizenz in der gesamten EU zu arbeiten. Da der Betrieb stark von Affiliates abhängig ist, um den Traffic zu erhöhen, benötigen Sie ein System, das Kampagnen und deren entsprechende Kosten und Ergebnisse verfolgen kann. Wenn Sie eine Region targetieren möchten, die binäre Optionen reguliert, müssen Sie lizenziert sein. SpotOption zeichnet sich durch die Einfachheit der Benutzeroberfläche aus. Stellen Sie sicher, dass Sie Schulungen für Sie und Ihr Team sowie Schulungsprogramme für Ihre Kunden erhalten. Das SpotOption-Team bietet Ihnen umfassende Unterstützung während Ihrer gesamten Geschäftstätigkeit und bietet Ihnen eine schnelle Reaktion, Anleitung und Beratung auf der Grundlage von Best Practices und führt Sie zum Erfolg, indem es Ihnen wertvolle Verbindungen innerhalb der Branche vorstellt. SpotOption hat ein Managementsystem entwickelt, um diesen Vorgang klar und effizient zu organisieren. SpotOption hat die Erfahrung, Websites schnell und effizient zu entwickeln und Ihnen in nur 6 Wochen eine maßgeschneiderte Website zu liefern, die SEO-kompatibel ist.
Sie werden die Ruhe haben, wenn Sie wissen, dass sowohl die Website als auch die Handelsprodukte dem Gesetz entsprechen. Mit einem Business-Intelligence-System können Sie Ihre Analyse mit großen und kleinen Daten vertiefen, um Entscheidungen zu vereinfachen. Seine automatisierten Prozesse ermöglichen einen effizienten Arbeitsmechanismus, während gleichzeitig die Leistungsfähigkeit der Männer reduziert wird, und die Berichte bieten eine klare Sicht auf das Geschäft. Die Backend-Systeme sind diejenigen, die Ihren täglichen Betrieb unterstützen. Jetzt, wo Sie einen Überblick über die Elemente haben, die Sie in Ihrer binären Operation unterstützen müssen, recherchieren Sie und sehen Sie, wer alles anbietet. Die Website wird in verschiedene Sprachen übersetzt, um sie an Ihre Geschäftsmethode anzupassen und Sie können den Inhalt selbst verwalten. Jetzt müssen Sie einen zuverlässigen Plattformanbieter finden, der Ihnen die beste Technologie für den Erfolg bietet. SpotOption setzt fort, zu innovieren und neue Drehungen zum binären Handel einzuführen, um Ihre Händler für mehr zurückzukommen zu halten. Die Website dient lediglich als das Paket Ihrer Brokerage, die Basis für eine gewinnbringende Operation liegt tatsächlich in der Handelsplattform, die Sie verwenden möchten. Sparen Sie Ressourcen und finden Sie einen Anbieter, der sich um das sichere Hosting Ihrer Daten auf ihren Servern kümmert und eine vollständige API für die problemlose Integration mit Drittanbietersystemen bietet.
Hier eine starke Grundlage zu haben, wird es dir ermöglichen, zu gedeihen. SpotOption bietet ein CRM, das den Betreibern hilft, ihre tägliche Arbeit mit Leichtigkeit zu verwalten. Stellen Sie sicher, dass der Anbieter einen Live - und stabilen Marktdatenstrom anbietet. SpotOption arbeitet mit Bloomberg und anderen bekannten Feed-Anbietern zusammen. Suchen Sie nach dem Lieferanten der größten und erfolgreichsten Broker der Branche und machen Sie Ihren Anruf. Da dieser Erfolg bei der Auswahl des Rechteinhabers liegt, stellen Sie sicher, dass Sie ein Paket erhalten, das alle Aspekte abdeckt, die für einen reibungslosen Betrieb erforderlich sind. Vielfalt ist der Schlüssel zur Anziehung und Bindung von Kunden. Das Know-how, Risikomanagement im volatilen Binärmarkt zu betreiben, ist der Schlüssel zur Minimierung Ihres Engagements. BIOS-GUI zum Laden von PK. Linux Ihre Maschine, und Sie sollten jetzt zum nächsten Abschnitt springen. Diese Variable enthält eine Signaturdatenbank ähnlichen Formats wie db. Dell Inspiron 5567 15 Laptop, der ein benutzerdefiniertes Dell BIOS hat.
Da der Boot-USB-Schlüssel nicht eingelegt ist, sollte Windows automatisch gestartet werden. Der Computer sollte neu gestartet werden. Nach wie vor sehen Sie den Bildschirm für die Plymouth-Passphrase. Dies zeigt den Hauptmenübildschirm mit einer Anzeige an, dass sich der PC im Setup-Modus befindet und dass der sichere Start deaktiviert ist. Der resultierende verschlüsselte Text ist eine digitale Signatur, die an die Originaldaten angehängt werden kann, um eine digital signierte Datei zu erzeugen. Sie müssen experimentieren, um zu sehen, welche dieser Methoden für Sie funktioniert. Im Setup-Modus kann jede der vier speziellen Variablen ohne Authentifizierungsprüfungen aktualisiert werden. KEK, um die Signatur auf old_dbx zu überprüfen.
Führen Sie die Befehle in Methode 3 nicht aus; Ihre Konfiguration ist bereits abgeschlossen. Sobald Ihr Ziel-PC wieder hochfährt, rufen Sie den BIOS-Setup-Bildschirm auf. EFI-Boot-Eintrag dafür. Ersetzen Sie die frühere IP-Adresse von ifconfig für 192. Gehen Sie den gleichen Prozess für die Variable db durch, wählen Sie diesmal nur die compound_db. USB-Stick in den Ziel-PC. Deaktivieren Sie in diesem Fall den sicheren Start, wenn Sie Gentoo verwenden. Siehe diese frühere Anmerkung für eine Lösung. Dies ist jedoch derzeit nicht Gegenstand dieses Tutorials. Schreiben Sie dieses Passwort an einen sicheren Ort!
Windows um die Uhrzeit zu aktualisieren. PK wird nicht konsultiert, wenn ausführbare Dateien überprüft werden. RealTimeIsUniversal dann drücken Sie die Eingabetaste. GUI-Aktionen erforderlich, um das oben genannte zu erreichen, da sie von BIOS zu BIOS variieren. Legen Sie die entsprechenden Werte für Ihr Gebietsschema fest und schließen Sie das Dialogfeld, wenn Sie fertig sind. Nachdem wir unsere Änderungen vorgenommen haben, können wir nun unseren eigenen Plattformschlüssel in PK schreiben, indem wir die zuvor erstellte Signaturliste verwenden. Windows wird gestartet. Gentoo-Kernel sollten im abgesicherten Modus starten können. Wählen Sie dann das old_dbx. Der PC sollte in Gentoo neu starten.
Führen Sie die Befehle in Methode 2 oder Methode 3 nicht aus; Ihre Konfiguration ist bereits abgeschlossen. Sie erhalten ein offenes Befehlsfenster. Wir werden dann den Rechner neu starten und unterwegs die BIOS-GUI verwenden, um die sicheren Variablen zu löschen und damit in den Setup-Modus zu gelangen. Als nächstes machen Sie dasselbe mit der Variablen db, wählen Sie diesmal nur compound_db. Sie erhalten dann eine Liste der sicheren Boot-Schlüssel, die KeyTool manipulieren kann. Wählen Sie in der nachfolgenden Dateiauswahlliste old_dbx. Windows-Zeit, Datum und Zeitzone sind korrekt. Schließen Sie den Dialog nach Abschluss. Der USB-Stick ist noch eingelegt und Sie drücken die Eingabetaste, um das KeyTool zu beenden, wodurch automatisch ein Neustart ausgelöst wird. Es funktioniert im Wesentlichen wie eine Boot-ausführbare Blacklist.
Um die neuen Schlüssel anzufügen. Sie müssen nur die hier beschriebene Vorgehensweise ausprobieren, wenn weder Methode 1 noch Methode 2 auf Ihrer Maschine funktioniert haben; Wenn Methode 1 oder Methode 2 funktioniert haben, lesen Sie stattdessen hier fort. Im Benutzermodus müssen Aktualisierungen für eine der vier Variablen mit einem akzeptablen Schlüssel digital signiert werden. Es ist ein ausführbares EFI-Programm. Auch dieser Ansatz wird kurz mit Screenshots beschrieben. Dies führt Sie in das Windows-Startoptionen-Menü. Stellen Sie zunächst sicher, dass Sie über einen sauberen Keystore verfügen, und wiederholen Sie gegebenenfalls die oben genannten Anweisungen.
BIOS-GUI, lassen Sie das BIOS in KeyTool neu starten, und verwenden Sie dann dieses Programm, um unsere gewünschten dbx, db, KEK und PK zu setzen. BIOS, und Sie sollten jetzt zu Methode 2 springen und das stattdessen versuchen. KeyTool EFI-Dienstprogramm zum Einfügen der Schlüssel. Geben Sie ein, um es auszuwählen. Als nächstes wird dieser Auszug asymmetrisch unter Verwendung eines privaten Schlüssels verschlüsselt, der nur dem Zertifizierer bekannt ist. BIOS früher im Tutorial. Hoffentlich sollte dies ERFOLG berichten. KEK, db und dbx, und fügen Sie dann die neuen öffentlichen Schlüssel als zweiten Schritt hinzu.
Die meisten Computer unterstützen irgendeine Form von BIOS-Passwort, aber die Mittel zur Einstellung variieren stark. Der Computer sollte neu gestartet werden, und wenn alles gut geht, sollten Sie in Kürze den vertrauten Bildschirm für die Plymouth-Passphrase eingeben. Wie zuvor sehen Sie den Plymouth-Passphrasen-Bildschirm. BIOS GUI zum Laden von old_dbx. Leider ist es unmöglich, präskriptiv zu sein, da UEFI-BIOS sehr unterschiedlich ist, was sie akzeptieren werden. Sie müssen nur den hier beschriebenen Ansatz ausprobieren, wenn Methode 1 auf Ihrem Computer nicht funktioniert hat; Wenn Methode 1 funktioniert, lesen Sie stattdessen von hier weiter. Als nächstes werden wir wieder in Gentoo neu starten. Stellen Sie zunächst sicher, dass der Boot-USB-Schlüssel immer noch in den Ziel-PC eingelegt ist.
KEK, und wo weder dieser Schlüssel noch die Signatur selbst in dbx erscheint. BIOS-Prozess vor der Verwendung Ihres USB-Schlüssels, um erneut in Linux zu booten, da Windows sich bei der Ausführung normalerweise an die Spitze der Liste stellt. Aufgrund unserer früheren Änderung des BootNext-Werts sollte die Maschine dann direkt in KeyTool neu gestartet werden. Dies ist am schwierigsten über die Windows-Befehlszeile möglich. So weit, so gut, da diese Arbeitsweise vermeidet, das BIOS zu durchlaufen. Testen von Secure Boot mit einem Signed Kernel, unten. PCs ermöglichen die direkte Manipulation der Keystore-Variablen über die UEFI-BIOS-GUI. Beachten Sie, dass bei einigen UEFI-Implementierungen ein Supervisor-Kennwort festgelegt werden muss, damit die Option zum Deaktivieren der Secure Boot-Schlüssel verfügbar ist.
Jetzt haben wir die alten Schlüssel archiviert und unsere neuen Schlüssel erzeugt, wir werden eine Vielzahl von Dateien erstellen, die verwendet werden können, um den Schlüsselspeicher zu aktualisieren. Während das sichere Booten von der Linux-Community gemischte Bewertungen erhalten hat, ist es eine nützliche Einrichtung. Die IP-Adresse hat sich während des Neustarts geändert. Es gibt ein alternatives Verfahren, aber es bringt einige Komplikationen mit sich. Unser nächster Schritt besteht darin, einen entsprechend signierten Kernel zu erstellen. EFI-Stub: UEFI Secure Boot ist aktiviert. Testen von Secure Boot mit einem signierten Kernel, direkt darunter.
Die IP-Adresse hat sich während des Neustarts für den Plymouth-Test geändert. Wenn alle oben genannten Schritte ohne Fehler durchgeführt wurden, herzlichen Glückwunsch, Ihr erweiterter Keystore wurde jetzt eingerichtet. Lesen Sie weiter unter Testen des sicheren Starts mit einem signierten Kernel weiter unten. Die KEK-Variable wird mit einem öffentlichen Schlüssel von Microsoft geladen. Die 30 in diesem Band vorgestellten vollständigen Artikel wurden sorgfältig geprüft und aus 148 Einreichungen ausgewählt. Dieses Buch ist der Tagungsband der 18. Internationalen Konferenz über kryptografische Hardware und eingebettete Systeme, CHES 2016, die im August 2016 in Santa Barbara, CA, USA, stattfand.
Kommentare
Kommentar veröffentlichen