8 votes

RainerW avatar

L'UEFI est-elle susceptible de laisser échapper des clés de chiffrement ?

Demandé el 22 de Juin, 2015
Quand la question a-t-elle été
1016 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je viens de construire mon premier ordinateur depuis des années et pour la première fois j'ai une carte mère UEFI. J'ai installé Windows 7 en mode legacy et j'ai crypté ma partition système avec Truecrypt.

Récemment, un article a été publié sur la preuve de concept de Lighteater, selon lequel Lighteater était capable d'extraire des clés de chiffrement de la mémoire. Pour ce faire, l'UEFI doit avoir accès à la mémoire du système et stocker les données quelque part dans un espace non chiffré. Tous les utilisateurs de systèmes de cryptage devraient s'en inquiéter.

D'après ce que je sais, l'UEFI est un système d'exploitation en soi qui exécute ensuite Windows. Mon problème est que je ne sais pas dans quelle mesure l'UEFI peut accéder au système Windows en cours d'exécution et à sa mémoire et si des parties de la mémoire sont progressives dans la mémoire flash de l'UEFI, ce qui pourrait entraîner une fuite de mes clés de cryptage pour quelqu'un qui aurait accès à mon ordinateur. Ma principale préoccupation est que quelqu'un puisse extraire ces clés de la mémoire UEFI sur la carte mère même si l'ordinateur est éteint et déconnecté de l'alimentation. Quelqu'un peut-il m'éclairer sur ce point ?

Demandé el 22 de Juin, 2015 par RainerW

Réponse

Trop de publicités?

16voto

LawrenceC avatar
LawrenceC Points 70381

D'après ce que je sais, l'UEFI est un système d'exploitation en soi qui exécute ensuite Windows.

L'UEFI est aussi complexe qu'un système d'exploitation, mais il est faux de dire que l'UEFI exécute le système d'exploitation après son chargement - même si de nombreux textes en ligne donnent cette impression.

En simplifiant un peu, la bonne façon d'exprimer la coexistence de l'UEFI et de Windows est "côte à côte" - l'UEFI ne tourne pas en arrière-plan une fois que Windows est démarré, mais il y a du code UEFI qui peut faire des choses, et qui fera des choses une fois appelé. C'est Windows qui lance les appels au micrologiciel UEFI.

L'UEFI a le même niveau de privilège que le noyau d'un système d'exploitation et peut accéder à toute la mémoire et à tous les périphériques. Normalement, il n'entreprend aucune action sans les instructions du système d'exploitation.

L'UEFI ne va donc pas divulguer de clés de son propre chef, mais l'un des services d'exécution fournis par l'UEFI est la lecture et l'écriture dans la NVRAM de l'UEFI, et un processus malveillant dans le système d'exploitation pourrait demander à l'UEFI d'écrire des clés dans la NVRAM de l'UEFI.

Cependant (mettez votre chapeau d'aluminium) ...

Depuis la série 80486 des processus Intel (génération précédant le Pentium), une fonction appelée System Management Interrupt a été introduite. Les SMI sont conçues pour être indétectables par le système d'exploitation sous-jacent. Les plates-formes modernes les utilisent pour :

  • contrôle du ventilateur.
  • émulation de matériel - par exemple, grâce aux SMI, les claviers/souris USB ressemblent aux claviers/souris PS/2 pour la compatibilité DOS.
  • émuler d'autres matériels (vous pouvez trouver este intéressant).

Il est donc tout à fait possible qu'un micrologiciel UEFI malveillant fasse tourner quelque chose en arrière-plan à l'insu du système d'exploitation. (Il est également possible que quelque chose s'exécutant avant le démarrage du système d'exploitation modifie le gestionnaire SMI avant le démarrage du système d'exploitation, au moins sur certaines plates-formes).

Comme tout logiciel, vous choisissez de faire confiance à l'UEFI, et comme il s'agit d'un logiciel fermé et non d'un logiciel que vous avez compilé/installé vous-même, vous choisissez également de lui faire confiance aveuglément, dans une certaine mesure, comme la plupart des logiciels emballés et/ou préinstallés.

Si vous n'avez pas encore enlevé votre chapeau en fer-blanc, sachez que des choses comme Intel vPro y Intel AMT ont beaucoup plus d'accès à votre système et s'exposent beaucoup plus à distance que l'UEFI.

Répondu el 22 de Juin, 2015 par LawrenceC (70381 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X