A UEFI potencialmente vaza chaves de criptografia?

Navegue suas respostas
7

Acabei de criar meu primeiro computador em anos e pela primeira vez agora tenho uma placa-mãe UEFI. Instalei o Windows 7 no modo herdado e criptografei a partição do meu sistema com o Truecrypt.

Recentemente, houve um artigo sobre a prova de conceito do Lighteater, que dizia que o Lighteater era capaz de extrair chaves de criptografia da memória. Para fazer isso, o UEFI precisaria acessar a memória do sistema e armazenar dados em algum lugar no espaço não criptografado. Para cada usuário de criptografia, isso deve ser alarmante.

Pelo que sei, o UEFI é um sistema operacional que executa o Windows. Meu problema é que eu não sei até que ponto a UEFI pode acessar o sistema Windows em execução e sua memória e se partes da memória progridem na memória flash UEFI, o que pode vazar minhas chaves de criptografia para alguém que obtenha acesso ao meu computador. Minha principal preocupação é que alguém possa extrair essas chaves da memória UEFI na placa-mãe, mesmo que o computador seja desligado e desconectado da energia. Alguém pode esclarecer isso?

    
por RainerW 22.06.2015 / 21:10

1 resposta

15

From what I know UEFI is an operating system in itself which then runs Windows

O UEFI é tão complexo quanto um sistema operacional, mas é incorreto dizer que o UEFI executa o sistema operacional após ser carregado - embora haja muitos textos on-line que criariam essa impressão.

Simplificando um pouco, o modo certo de expressar como o UEFI e o Windows coexistem é "lado a lado" - o UEFI não está sendo executado em segundo plano depois que o Windows é inicializado, mas existe um código UEFI que pode fazer as coisas uma vez chamado. O Windows inicia todas as chamadas para o firmware UEFI.

O UEFI tem o mesmo nível de privilégio que um kernel do sistema operacional e pode acessar toda a memória e os dispositivos. Normalmente, não está tomando nenhuma ação sem a direção do SO.

Portanto, a UEFI não vazará nenhuma tecla por si só - mas um dos serviços de tempo de execução fornecidos pela UEFI é leitura e gravação para UEFI NVRAM - e um processo mal-intencionado no sistema operacional pode solicitar que a UEFI grave chaves para a UERA NVRAM .

No entanto (coloque o seu chapéu de folha de estanho) ...

Desde a série 80486 de processos da Intel (geração anterior ao Pentium), um recurso chamado System Management Interrupt foi introduzido. Os SMIs são projetados para serem indetectáveis para um SO subjacente por design. Plataformas modernas usam-nas para:

  • controle de fãs.
  • emulando hardware - por exemplo, através de SMIs Os teclados / mouses USB são feitos para se parecerem com teclados / mouses PS / 2 para compatibilidade com o DOS.
  • emulando outro hardware (você pode achar interessante este ).

Portanto, é completamente possível que um firmware UEFI mal-intencionado tenha algo sendo executado em segundo plano sem o conhecimento do sistema operacional. (Também é possível que algo seja executado antes que um SO seja inicializado para modificar o manipulador SMI antes que um SO seja inicializado, pelo menos em algumas plataformas.)

Assim como qualquer software, o UEFI é algo em que você está escolhendo confiar, e como ele é de código fechado e não é algo que você compilou / instalou, você também está escolhendo confiar cegamente nele até certo ponto software embalado e / ou pré-instalado.

Se você ainda não tirou seu chapéu de papel alumínio, saiba que coisas como Intel vPro e Intel AMT tem muito mais acesso ao seu sistema e expõe muito mais remotamente do que o UEFI.

    
por 22.06.2015 / 22:11

Tags

Plano de fundo da célula padrão no Calc RAID5 com controlador on-board, é possível mover os HDDs para um novo servidor?