web-dev-qa-db-ja.com

ブートローダーの保護

フルディスク暗号化を使用する場合、ブートローダーは暗号化されないため、 Evil Maid のような攻撃が可能になります。

私の質問は、どうすればこれから身を守ることができるのですか?ドライブを暗号化したり、USBに保存したりできますか?

ところで:NSA HDDバックドアについてのニュースはもうありません。ハードウェアバックドアから保護する方法はありますか?

4
Mark

EFI Secure Boot は、暗号で署名された実行可能ファイルを要求することにより、このタイプの攻撃からの保護を提供します。
一般的に言えば、ブートローダーを検証する改ざん防止ハードウェアモジュール(TPMチップなど)が必要です。

ハードウェアバックドアから身を守るにはIntel Trusted Execution Technology のようなものが必要です。基本的に、すべてのハードウェアモジュール(HDD、キーボードなど)には、CPUに対して自分自身を識別する方法が必要です。つまり、マザーボード上のチップall接続するすべての周辺機器には、改ざんに強いキーストア(スマートなど)が含まれている必要があります。カードまたはTPMチップ)。そして、現在市販されているハードウェアにはそのようなコンポーネントが含まれていないため、多くのことはできません。

1
KovBal

ほとんどのTPMベースのソリューションは、手遅れになる可能性が最も高いときに警告を表示します。まずEvil Maidの悪意のあるソフトウェアによってハードディスクパスワードを入力するように求められ、次にOSブートプロセスがシステムを検出します(TPMのおかげで)。整合性の失敗と警告...しかし、このステップでは、悪意のあるソフトウェアにパスワードをすでに与えています。

セキュリティに重点を置いたQubes OS Linuxディストリビューションの創設者であるJoanna Rutkowskaが Anti-Evil-Maid ソフトウェアを作成しました。このソフトウェアは、コンピューターを認証する前に、コンピューターを認証する方法を提供します。

ハードディスクのパスワードを直接尋ねる代わりに、Anti-Evil-MaidソフトウェアはまずTPMを使用して、メッセージまたは画像を復号化して表示します。ブートプロセスが悪意のあるソフトウェアを含むように変更されている場合、TPMはこのイメージの復号化を許可するための正しい値を提示せず、悪意のあるソフトウェアは、事前に正確なメッセージまたはイメージを知らないはずです秘密の)。

画像またはメッセージが実際に予期したものであることを確認したら、現在パスワードを要求しているソフトウェアが正しいものであり、ハードディスクのパスワードを安全に入力できることを確信できます。

これらすべてのソリューションでは、マシンにTPMチップが存在する必要があることに注意してください。 TPMチップがないと、このような攻撃からユーザーを保護する実際の方法はありません(一部のソフトウェアは、システムの起動後にブートファイルの整合性をチェックする可能性がありますが、これでは遅すぎる可能性があります。このステップでは、パスワードがすでに送信されている可能性がありますネットワークまたは暗号化されたシステムファイル、あるいはその両方がバックドアに感染しています。

1
WhiteWinterWolf