Ich habe gerade meinen ersten Computer seit Jahren gebaut und zum ersten Mal habe ich jetzt ein UEFI-Mainboard. Ich habe Windows 7 im Legacy-Modus installiert und meine Systempartition mit Truecrypt verschlüsselt.
Kürzlich gab es einen Artikel über den Lighteater Proof of Concept, der besagte, dass Lighteater Verschlüsselungsschlüssel aus dem Speicher extrahieren konnte. Zu diesem Zweck müsste UEFI auf den Systemspeicher zugreifen und Daten irgendwo im unverschlüsselten Bereich speichern. Für jeden Benutzer der Verschlüsselung sollte dies alarmierend sein.
Soweit ich weiß, ist UEFI ein Betriebssystem für sich, auf dem dann Windows ausgeführt wird. Mein Problem ist, dass ich nicht weiß, inwieweit UEFI auf das laufende Windows-System und dessen Speicher zugreifen kann und ob Teile des Speichers im UEFI-Flash-Speicher gespeichert sind, wodurch meine Verschlüsselungsschlüssel an jemanden verloren gehen könnten, der Zugriff auf meinen Computer erhält. Mein Hauptanliegen ist, dass jemand diese Schlüssel aus dem UEFI-Speicher auf dem Mainboard extrahieren kann, selbst wenn der Computer heruntergefahren und vom Stromnetz getrennt wird. Kann jemand das klären?
quelle
Antworten:
UEFI ist so komplex wie ein Betriebssystem, aber es ist falsch zu sagen, dass UEFI das Betriebssystem nach dem Laden ausführt - obwohl es viele Online-Texte gibt, die diesen Eindruck erwecken würden.
Ein wenig vereinfacht: Der richtige Weg, um auszudrücken, wie UEFI und Windows nebeneinander existieren, ist "nebeneinander" - UEFI wird nach dem Start von Windows nicht im Hintergrund ausgeführt, aber es gibt UEFI-Code, der Dinge tun kann und Dinge tut, die einmal aufgerufen wurden. Windows initiiert alle Aufrufe der UEFI-Firmware.
UEFI hat dieselbe Berechtigungsstufe wie ein Betriebssystemkern und kann auf alle Speicher und Geräte zugreifen. Normalerweise werden ohne Anweisung des Betriebssystems keine Maßnahmen ergriffen.
UEFI wird also keine eigenen Schlüssel verlieren - aber einer der Laufzeitdienste, die UEFI bereitstellt, ist das Lesen und Schreiben in das UEFI-NVRAM - und ein böswilliger Prozess im Betriebssystem könnte das UEFI auffordern, Schlüssel in das UEFI-NVRAM zu schreiben.
Allerdings (setzen Sie Ihren Alufolienhut auf) ...
Seit der 80486-Serie von Intel-Prozessen (Generation vor dem Pentium) wurde eine Funktion namens System Management Interrupt eingeführt. SMIs sind so konzipiert, dass sie von Natur aus für ein zugrunde liegendes Betriebssystem nicht erkennbar sind. Moderne Plattformen verwenden sie für:
Es ist also durchaus möglich, dass eine böswillige UEFI-Firmware ohne Wissen des Betriebssystems etwas im Hintergrund laufen lässt. (Es ist auch möglich, dass etwas, das vor dem Start eines Betriebssystems ausgeführt wird, den SMI-Handler vor dem Start eines Betriebssystems auf mindestens bestimmten Plattformen ändert.)
Wie bei jeder Software ist das UEFI etwas, dem Sie vertrauen, und da es sich um eine Closed-Source-Software handelt und nicht um etwas, das Sie selbst kompiliert / installiert haben, entscheiden Sie sich auch dafür, ihr bis zu einem gewissen Grad blind zu vertrauen, wie die meisten eingeschweißten und / oder vorinstallierte Software.
Wenn Sie Ihren Alufolienhut noch nicht abgenommen haben, stellen Sie fest, dass Dinge wie Intel vPro und Intel AMT viel mehr Zugriff auf Ihr System haben und viel mehr aus der Ferne als UEFI verfügbar machen.
quelle