Questão Autenticação multi-fator UEFI na senha de administrador?


Muitos fornecedores de UEFI oferecem senhas de inicialização e de administrador para uma máquina local.

Para uma reinicialização ou reinicialização a frio normal, gostaria que o sistema UEFI simplesmente escolhesse o carregador de inicialização devidamente assinado e prosseguisse.

Ter uma senha de administrador "bem conhecida" para entrar na UEFI é algo que eu preferiria NÃO seguir em frente com.

No entanto, no caso ideal, se alguém obtém o controle físico de um dispositivo (e usou a engenharia social para obter a senha 'bem conhecida' para o acesso de administrador da UEFI), eu preferiria tornar mais difícil para o equipamento ser reaproveitado. Seria computacionalmente desafiador (mas não teoricamente impossível :-() um sistema comprometido ser útil para adquirir dados armazenados no sistema (unidades criptografadas) .Mas é possível que ter a senha de administrador UEFI permitiria que um "impostor" carregar um gerenciador de inicialização recém-provisionado e assinado.

Uma ideia é usar algo como RSA SecureID ou ter o UEFI cuspindo um código de tempo único que precisa ser verificado em outro servidor.

Eu só vi ofertas de fornecedor de UEFI que têm essencialmente uma senha de "texto simples" para acesso ao firmware IF na máquina. Alguém encontrou um fornecedor de firmware UEFI que foi além do normal "digitar a senha?"


1


origem


Seria um acesso físico sem sentido significa que você pode redefinir o firmware puxando a bateria e substituir o HDD. Você não pode interromper o uso do hardware, mas pode impedir que os dados sejam acessados - Ramhound
Sim, o objetivo era apenas "tornar mais difícil" adaptar o hardware. Se o firmware pode (e pode) ser reexibido via JTAG que vai ignorar a maior parte da proteção. Os dados estão protegidos contra tentativas "conhecidas" de acesso, mas o hardware ainda é "utilizável" (incluindo o HDD). Além disso, ter a autenticação de segundo fator impede que os "criminosos honestos" tentem adicionar outra chave UEFI e alterar a ordem de inicialização ou até mesmo desabilitar o UEFI. A segurança física, neste caso, é importante, mas um sistema comprometido pode fazer muitas "sniffing" por aí. - ErnieE
Não há firmware UEFI no mercado que use autenticação de dois fatores. Eu nem acredito que a especificação UEFI ainda suporta isso. - Ramhound
Do UEFI 2.4 Spec Section 32.1 "Isso é chamado de autenticação multi-fator." <snip> "O gerenciador de identidade do usuário é o driver UEFI opcional que gerencia o processo de determinar a identidade do usuário e armazenar informações sobre o usuário." <snip> Na teoria, o que estou procurando PODE ser produzido. Eu estava esperando que isso já existisse. ligação - ErnieE


Respostas: