Предзагрузочная аутентификация ( PBA ) или аутентификация при включении ( POA ) [1] служит расширением BIOS , UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, в качестве надежного уровня аутентификации. PBA предотвращает чтение с жесткого диска чего-либо, например операционной системы, до тех пор, пока пользователь не подтвердит, что у него правильный пароль или другие учетные данные, включая многофакторную аутентификацию . [2]
Использование предзагрузочной аутентификации
- Полное шифрование диска вне уровня операционной системы [2]
- Шифрование временных файлов
- Защита данных в состоянии покоя
- Шифрование облачных серверов или экземпляров
Процесс предзагрузочной аутентификации
Среда PBA служит расширением BIOS, UEFI или загрузочной прошивки и гарантирует безопасную, защищенную от несанкционированного доступа среду, внешнюю по отношению к операционной системе, в качестве надежного уровня аутентификации. [2] PBA предотвращает загрузку Windows или любой другой операционной системы до тех пор, пока пользователь не подтвердит, что у него / нее есть правильный пароль для разблокировки компьютера. [2] Этот доверенный уровень исключает возможность того, что одна из миллионов строк кода ОС может поставить под угрозу конфиденциальность личных данных или данных компании. [2]
Общая последовательность загрузки
в режиме BIOS:
- Базовая система ввода / вывода (BIOS)
- Таблица разделов основной загрузочной записи (MBR)
- Предзагрузочная аутентификация (PBA)
- Операционная система (ОС) загружается
в режиме UEFI:
- UEFI ( унифицированный расширяемый интерфейс микропрограмм )
- Таблица разделов GUID (GPT)
- Предзагрузочная аутентификация (PBA)
- Операционная система (ОС) загружается
Технологии предзагрузочной аутентификации
Комбинации с полным шифрованием диска
Предзагрузочная аутентификация может выполняться надстройкой операционной системы, такой как Linux Initial ramdisk или загрузочным программным обеспечением Microsoft системного раздела (или загрузочного раздела), или различными поставщиками полного шифрования диска (FDE), которые могут быть установлены отдельно к операционной системе. Унаследованные системы FDE, как правило, полагались на PBA в качестве основного элемента управления. Эти системы были заменены системами, использующими аппаратные двухфакторные системы, такие как микросхемы TPM, или другие проверенные криптографические подходы. Однако без какой-либо формы аутентификации (например, полностью прозрачная аутентификация с загрузкой скрытых ключей) шифрование обеспечивает слабую защиту от продвинутых злоумышленников, поскольку это шифрование без аутентификации полностью полагается на аутентификацию после загрузки, исходящую от аутентификации Active Directory на этапе GINA в Windows. .
Проблемы безопасности
Microsoft выпустила BitLocker Countermeasures [3], определяющие схемы защиты для Windows. Для мобильных устройств, которые могут быть украдены и злоумышленники получают постоянный физический доступ (пункт «Злоумышленник, обладающий навыками и длительным физическим доступом»), Microsoft рекомендует использовать предзагрузочную аутентификацию и отключить управление питанием в режиме ожидания. Предзагрузочная аутентификация может выполняться с помощью TPM с защитой PIN-кода или любого стороннего поставщика FDA.
Наилучшая безопасность обеспечивается за счет разгрузки ключей криптографического шифрования с защищенного клиента и передачи ключевого материала извне в процессе аутентификации пользователя. Этот метод устраняет атаки на любой встроенный метод проверки подлинности, которые слабее, чем атака методом перебора симметричных ключей AES, используемых для полного шифрования диска.
Без криптографической защиты защищенной среды загрузки, поддерживаемой оборудованием (TPM), PBA легко победить с помощью атак в стиле Evil Maid . Однако с современным оборудованием (включая TPM или криптографическую многофакторную аутентификацию) большинство решений FDE могут гарантировать, что удаление оборудования для атак методом грубой силы больше невозможно.
Методы аутентификации
Стандартный набор методов аутентификации существует для предзагрузочной аутентификации, включая:
- Что-то, что вы знаете (например, имя пользователя / пароль, такие как учетные данные Active Directory или PIN-код TPM)
- Что-то, что у вас есть (например, смарт-карта или другой токен)
- Что-то, что вы есть (например, биометрические атрибуты, такие как отпечаток пальца, распознавание лица, сканирование радужной оболочки глаза)
- Автоматическая аутентификация в доверенных зонах (например, загрузочный ключ, предоставляемый корпоративным устройствам для устройств компании)
Рекомендации
- ^ «Sophos обеспечивает шифрование корпоративного уровня для Mac» . Сетевой мир . 2 августа 2010 года Архивировано из оригинального 12 октября 2012 года . Проверено 3 августа 2010 .
- ^ а б в г д «Предзагрузочная аутентификация» . ВТОРОЙ . 21 февраля 2008. Архивировано из оригинала на 2012-03-04 . Проверено 22 февраля 2008 .
- ^ Dansimp. «Контрмеры BitLocker (Windows 10) - Безопасность Microsoft 365» . docs.microsoft.com . Проверено 30 января 2020 .