Leckt UEFI möglicherweise Verschlüsselungsschlüssel?

7

Ich habe gerade meinen ersten Computer seit Jahren gebaut und zum ersten Mal habe ich jetzt ein UEFI-Mainboard. Ich habe Windows 7 im Legacy-Modus installiert und meine Systempartition mit Truecrypt verschlüsselt.

Kürzlich gab es einen Artikel über den Lighteater Proof of Concept, der besagte, dass Lighteater Verschlüsselungsschlüssel aus dem Speicher extrahieren konnte. Zu diesem Zweck müsste UEFI auf den Systemspeicher zugreifen und Daten irgendwo im unverschlüsselten Bereich speichern. Für jeden Benutzer der Verschlüsselung sollte dies alarmierend sein.

Soweit ich weiß, ist UEFI ein Betriebssystem für sich, auf dem dann Windows ausgeführt wird. Mein Problem ist, dass ich nicht weiß, inwieweit UEFI auf das laufende Windows-System und dessen Speicher zugreifen kann und ob Teile des Speichers im UEFI-Flash-Speicher gespeichert sind, wodurch meine Verschlüsselungsschlüssel an jemanden verloren gehen könnten, der Zugriff auf meinen Computer erhält. Mein Hauptanliegen ist, dass jemand diese Schlüssel aus dem UEFI-Speicher auf dem Mainboard extrahieren kann, selbst wenn der Computer heruntergefahren und vom Stromnetz getrennt wird. Kann jemand das klären?

windows-7 encryption truecrypt uefi RainerW
quelle
Das meiste davon geht weit über das hinaus, was ich verstehe, aber Ihre Erwähnung der Verwendung von TrueCrypt ist mir aufgefallen, weil AFAIK, die Unterstützung dafür vor einiger Zeit eingestellt wurde und nicht mehr als sicher gilt.
Joe

Antworten:

15

Soweit ich weiß, ist UEFI ein Betriebssystem für sich, auf dem dann Windows ausgeführt wird

UEFI ist so komplex wie ein Betriebssystem, aber es ist falsch zu sagen, dass UEFI das Betriebssystem nach dem Laden ausführt - obwohl es viele Online-Texte gibt, die diesen Eindruck erwecken würden.

Ein wenig vereinfacht: Der richtige Weg, um auszudrücken, wie UEFI und Windows nebeneinander existieren, ist "nebeneinander" - UEFI wird nach dem Start von Windows nicht im Hintergrund ausgeführt, aber es gibt UEFI-Code, der Dinge tun kann und Dinge tut, die einmal aufgerufen wurden. Windows initiiert alle Aufrufe der UEFI-Firmware.

UEFI hat dieselbe Berechtigungsstufe wie ein Betriebssystemkern und kann auf alle Speicher und Geräte zugreifen. Normalerweise werden ohne Anweisung des Betriebssystems keine Maßnahmen ergriffen.

UEFI wird also keine eigenen Schlüssel verlieren - aber einer der Laufzeitdienste, die UEFI bereitstellt, ist das Lesen und Schreiben in das UEFI-NVRAM - und ein böswilliger Prozess im Betriebssystem könnte das UEFI auffordern, Schlüssel in das UEFI-NVRAM zu schreiben.

Allerdings (setzen Sie Ihren Alufolienhut auf) ...

Seit der 80486-Serie von Intel-Prozessen (Generation vor dem Pentium) wurde eine Funktion namens System Management Interrupt eingeführt. SMIs sind so konzipiert, dass sie von Natur aus für ein zugrunde liegendes Betriebssystem nicht erkennbar sind. Moderne Plattformen verwenden sie für:

  • Lüftersteuerung.
  • Hardware emulieren - Zum Beispiel werden USB-Tastaturen / -Mäuse über SMIs so gestaltet, dass sie aus DOS-Kompatibilität wie PS / 2-Tastaturen / -Mäuse aussehen.
  • Emulieren anderer Hardware (möglicherweise finden Sie dies interessant).

Es ist also durchaus möglich, dass eine böswillige UEFI-Firmware ohne Wissen des Betriebssystems etwas im Hintergrund laufen lässt. (Es ist auch möglich, dass etwas, das vor dem Start eines Betriebssystems ausgeführt wird, den SMI-Handler vor dem Start eines Betriebssystems auf mindestens bestimmten Plattformen ändert.)

Wie bei jeder Software ist das UEFI etwas, dem Sie vertrauen, und da es sich um eine Closed-Source-Software handelt und nicht um etwas, das Sie selbst kompiliert / installiert haben, entscheiden Sie sich auch dafür, ihr bis zu einem gewissen Grad blind zu vertrauen, wie die meisten eingeschweißten und / oder vorinstallierte Software.

Wenn Sie Ihren Alufolienhut noch nicht abgenommen haben, stellen Sie fest, dass Dinge wie Intel vPro und Intel AMT viel mehr Zugriff auf Ihr System haben und viel mehr aus der Ferne als UEFI verfügbar machen.

LawrenceC
quelle
Vielen Dank für Ihre Ausarbeitung! Das sind weitere Informationen, die ich den ganzen Tag über Google finden konnte. vPro und AMT klingen wirklich störend. Ich denke, wir müssen entweder all diesen Dingen vertrauen oder uns für immer von Computern fernhalten. Eine Folgefrage: Gibt es eine Möglichkeit, das UEFI-NVRAM von Zeit zu Zeit zu löschen? Wie das Entfernen der Mainboard-Batterie?
RainerW
Ich habe gehört, dass die einzige Batterie, die in den meisten modernen Systemen unterstützt wird, die Uhr ist und dass CMOS und NVRAM jetzt normalerweise EEPROM / Flash-Speicher sind. Und Sie möchten es nicht löschen, da es auch Startinformationen speichert. Lesen Sie jedoch Folgendes : en.community.dell.com/support-forums/laptop/f/3518/t/19593860 - sieht es so aus, als könnten Sie bei diesem Modell den NVRAM löschen, indem Sie die Stromversorgung 30 Sekunden lang halten?
LawrenceC
@ultrasawblade: Ich habe ein interessantes Zitat in dem von Ihnen verlinkten Link gesehen: "Wenn eine Anwendung oder ein Nicht-Windows- Betriebssystem versucht, auf ein VGA-Register oder einen Speicherbereich zuzugreifen, erkennt der MediaGX-Prozessor den Zugriffsversuch und nimmt ihn intern entgegen a System Management Interrupt (SMI) " ... Ich habe mich gefragt, wissen Sie, warum sie" Nicht-Windows "sagen? Ist SMI nicht für jedes Betriebssystem unsichtbar?
user541686