暗号化のUEFIとセキュリティへの影響
古いPCがバケツを蹴った後、私は最初のUEFIボードを所有しましたが、信頼の問題がすでにあります。 Truecryptのシステム暗号化を何年も使用して、本当に慣れました。新しいボードにはレガシーブートオプションはありませんが、レガシーデバイスをサポートしているため、Windows 7をMBRパーティションにインストールして、Truecryptで暗号化できました。
しかし、UEFIは非常に洗練されているようで、利用可能なメモリがたくさんあると聞いているので、このコンピューターで使用されている暗号化が潜在的に危険にさらされているかどうかを知りたいと思います。私は潜在的なUEFIマルウェアを認識しており、それについては知りたくありません。
私が知りたいのは、UEFIがこのPCに物理的にアクセスできる潜在的な攻撃者がシステムまたはそれと共に使用される暗号化されたボリュームを解読できることを何でも行うかどうかです。 CPUのAES-NI拡張によって作成されたキーを格納し、メモリダンプを作成しますか?
ここで何かアドバイスをいただければ幸いです!
すでにUEFIの前に、感染したファームウェアは、あなたをスパイすることを含め、それが望んでいたことを実行できます。変更されたのは、UEFIにネットワークスタックが追加されたことで、ペイロードの書き込みがはるかに簡単になったことです。
また、物理的なアクセス権を持つ攻撃者がいる場合は、 あなたはすでに負けています です。
UEFIがTrueCryptに対して非UEFI BIOSに対して追加の攻撃ベクトルを追加するかどうか尋ねている場合、答えはおそらくノーです。 UEFIコード署名がオフになっているUEFI対応コンピューターでTrueCryptを実行することは、UEFIがないコンピューターよりも安全です。
UEFIがPCの物理アクセスを危険にさらすかどうか、またはそれが潜在的に危険な種類のログを作成するかどうかを尋ねる場合は、さらに説明が必要です。 Windows 8以降を搭載したすべてのPCは、ライセンス要件の一部としてUEFIを使用しています。 Win10のUEFIセキュアブートは、実行前にプログラムを検証します。Win10とLinuxをデュアルブートする必要がある場合、Linuxにはデジタル証明書が必要です。 Windows Defenderは、スパイウェア対策、ボット検出に加えて、証明書の有効性をチェックし、ルートキット対策ソフトウェアを使用してルートキットを防止します。暗号化を損なう可能性はありません。
まあ...攻撃者が物理的にアクセスできれば、BIOSよりもUEFIの方がハッキングしやすいでしょう。 UEFIは、BIOSよりも複雑なOSです。攻撃者は、あなたを監視して自宅に電話をかけるバックグラウンドランタイムサービスを追加する可能性があります。攻撃者はBIOSでもこれを行うことができ、割り込みをフックするだけで済みます。 IntelのCHIPSECとUEFItoolを使用して、ROMをダンプし、新しいマルウェアなどの変更がないかどうかを調べることができます。 http://firmwaresecurity.com/2015/07/27/ index-to-tool-review-blogs / おかげで、リー