署名されたLinuxカーネルイメージは何を取得しますか?
UbuntuおよびおそらくDebianシステムでは、UbuntuのEFIキーによって署名されたイメージを含むパッケージをインストールできます。例えば、 linux-signed-image-generic-lts-trustyはこれらのパッケージの1つです。
必要に応じて、完全に暗号化されたディスクと暗号化されていないブートパーティションがあるとします。 PGP暗号化キーファイルを使用してディスクを復号化します。これらの署名されたイメージを使用すると、正確にどのようにしてセキュリティが強化されますか?危険にさらされている「署名された」EFIカーネルイメージを生成するのは簡単ですか?
暗号化されていないブートパーティションを使用すると、マルウェアは理論的には署名のないカーネルを独自のカーネル(たとえば、元のカーネルを実行するハイパーバイザー)に置き換えることができます。このマルウェアは、システムに完全にアクセスしている間はシステムで検出されなくなります。
署名されたカーネルは、少なくとも理論的にはこの穴を閉じます。マルウェアハイパーバイザーは署名されていないため、署名されたOSを必要とするEFI BIOSは、それをロードすることを拒否します。
これに関する問題は、ランダムなマルウェアの作者がBIOSによって署名キーを認識される可能性は低いですが、州レベルのアクターであり、組織犯罪のために働いている作者がまともな可能性があることです。