Tekniikka

Lähteet: Microsoft, GitHub

Secure Boot linkkejä

• Rekisteriavainten tarjoama informaatio
• Varmenteiden tarkistamistyökalu
• CA 2023 varmenteen lisääminen
• Ohje edistyneille käyttäjille
• Rekisteripäivitysten ennakkotestaus

Secure Boot

Secure Bootin ja uudistuvan varmenneketjun tarkoituksena on parantaa suojausta haitallisilta ohjelmilta ja ajureilta. Tässä yhteydessä ongelman ydin on, että haitat käynnistyvät ennen käyttöjärjestelmää - siksi käyttöjärjestelmän suojaukset eivät havaitse niitä.

Black Lotus oli ensimmäinen tällainen uhka, mutta myös muokatut ja varmentamattomat käyttöjärjestelmät voivat muodostaa vastaavan uhan.

Secure Boot -valinta BIOS-asetuksissa löytyy jo varsin vanhoista laitteista (vuodelta 2008), mutta vaaditut ominaisuudet ovat käytettävissä vasta huomattavasti uudemmissa laitteissa

Secure Boot edellyttää UEFI-laiteohjelmistoa, GPT-muotoon alustettua järjestelmälevyä sekä EFI-osiota. BIOSissa tulee olla hallintamahdollisuus: vähintään päälle/pois-kytkin sekä avainten nollaus ja palautus oletusarvoihin.

Varmenteet

Varmenteiden suunniteltu käyttöikä on 15 vuotta. Poistuvat CA 2011 -varmenteet korvautuvat uusilla CA 2023 -varmenteilla vuoden 2026 aikana. Sekä vanhat että uudet varmenteet toimivat tällä hetkellä rinnan, mutta parempi tietoturva saavutetaan vasta, kun vanhat varmenteet poistetaan käytöstä.

Alkuperäiset varmenteet on sijoitettu BIOSin pysyvään ROM-muistiin ja ne palautuvat käyttöön, kun BIOS-asetukset resetoidaan. Uudet, päivitetyt varmenteet tallentuvat nvRAM-muistiin, mutta ne katoavat BIOS-resetoinnin yhteydessä. Vahinkoresettien vuoksi kunnolliset BIOS-päivitykset, jotka sisältävät uudet varmenteet, ovat oikeastaan välttämättömiä.

Sopivilla välineillä varmenteiden tarkastelu on turvallista, koska muuttujia ainoastaan luetaan. Toistaiseksi paras varmenteiden tarkasteluun sopiva työkalu "Check UEFI KEK, DB and DBX.ps1" löytyy GitHubista. Työkalulle luodaan D-asemalle oma hakemisto, johon työkalu tuodaan:

• D:
• cd \
• md CheckUEFI
• Varmenteiden tarkistustyökalu

Vaihdetaan vielä työkalun tiedostonimi muotoon "check.ps1", jotta ajo PowerShell päätteessä toimii muodossa ".\check".

Kyseessä on PowerShell-skripti. Skriptien ajaminen on oletuksena estetty, joten nykyiselle käyttäjälle annetaan oikeudet.

• Set-ExecutionPolicy RemoteSigned -Scope CurrentUser # annetaan oikeudet
• Set-ExecutionPolicy Restricted -Scope CurrentUser # poistetaan oikeudet

Varmenneketju

Varmenteet muodostavat ketjun - hierarkiassa ylempänä olevat sallivat tai estävät alempana olevien käsittelyn. Ketjuun kuuluvat tietokannat:

• PK (Platform Key) # avain, jolla varmennetaan KEK.
• KEK (Key Exchange Key) # mahdollistaa varmenteiden hallinnan ja päivityksen.
• DBX (Disallowed Signature Database) # hylättyjen sovellusten tiivisteet ja avaimet.
• DB (Authorized Signature Database) # luotettujen sovellusten tiivisteet ja avaimet.

PK-avainta hallitsevat Microsoft ja laitevalmistaja. KEK-avaimia hallitsevat monet osapuolet, kuten Microsoft ja OEM-ohjelmistotuottajat.

DBX- ja DB-muutokset onnistuvat ainoastaan silloin, kun muutokseen oikeuttava avain on PK- tai KEK-tietokannassa.

Secure Boot -varmenneketju.

Eri-ikäisten laitteiden varmenneketjuja lokakuussa 2025

Uusissa, elo-syyskuussa 2025 tai myöhemmin hankituissa laitteissa varmenteet, myös pysyvät, ovat usein jo paikallaan. Ainoastaan kiellettyjen DBX -ryhmä on vielä tyhjä, mikä on muutosvaihessa hyvä asia.

Esimerkkilaitteisiin on tarkoituksella tehty myöhemmin esitelty 0x5944-rekisteri­muutos ja ajastus, millä on joudutettu varmenteiden asentumista.

Hiukan vanhemmista, vuosien 2023–2021 laitteista puuttuu vielä Microsoft Corporation 2K KEK CA 2023 -varmenne, vaikka laitteissa olisi tuoreet BIOS-päivitykset. Toiveissa on, että laitevalmistaja/Microsoft saattavat myös pysyvät KEK -varmenteet ajantasalle.

Kaksi vuotta vanhan pöytäkoneen varmenneketju.

Pöytäkoneen BIOS- ja Secure Boot-asetukset ovat erittäin monipuoliset verrattuna kannettavan niukkaan asetusvalikoimaan. Asetusten määrä ei kuitenkaan ratkaise pysyvien varmenteiden päivittymistä, vaan päivitykset vaativat valmistajien aktiivista panosta.

Neljä vuotta vanhan kannettavan varmenneketju.

Vanhin kokeiltu laite on selvästi vanhentunut kannettava. Suorituskyky riittää mainiosti kaikkeen tavanomaiseen (4 ydintä, 8 säiettä, 3.4 GHz, SSD ja muut). Laitteessa on myös UEFI-levyjärjestelmä. BIOSissa on Secure Boot -kytkin, mutta SB-järjestelmä on vanhentunut eikä käynnisty lainkaan. Varmenneketju on täysin tyhjä.

13 vuotta vanhan kannettavan Secure Boot -järjestelmä on vanhentunut eikä käynnisty lainkaan.

Testikoneen varmennenäkymä

Testikone on Windows 11 -yhteensopiva, i5-8250U -suorittimella varustettu kannettava vuodelta 2018. Kannettavien Secure Boot -asetukset ovat niukat, mutta ne voidaan silti käyttöjärjestelmän tukemana päivittää uusilla varmenteilla.

Testikone täyttää Windows 11 vaatimukset.

Käyttöjärjestelmän koontikäännös oli 26200.6901 ja suojattu käynnistys käytössä. Työkalu esittelee varmenteet kahdessa ryhmässä:

• Current - Nykyiset varmenteet
• Default - Oletusvarmenteet

Oletusvarmenteet (Default) on kovakoodattu BIOSiin ja resetointi palauttaa ne käyttöön. Sen sijaan nykyiset varmenteet (Current) katoavat, jos varmenteet resetoidaan.

Testikoneessa ainoastaan CA 2011 -varmenteet on kovakoodattu BIOSiin. Muutosvaiheessa on eduksi, että yhtään varmennetta ei ole siirretty hylättyjen DBX-listalle.

CA 2023 varmenteen lisääminen

Aluksi tarkistetaan, että ylläpitopäivitys 08.07.2025 tai sitä uudempi on asennettu. BitLokcer -avaimet joko varmuuskopioidaan tai vaihtoehtoisesti poistetaan Bitlocker käytöstä. Perinteinen, ajantasainen järjestelmän levykopio on syytä tehdä.

Lisätään rekisteriin ensin arvo 0x40 ja käynnistetään sen jälkeen päivitysautomaatti:

• reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
• Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Laite käynnistetään ja tarkistetaan tulos:

• [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Jos tulos on 'True', on CA 2023 varmenne otettu käyttöön.

Lisätty CA 2023 varmenne on nyt nykyisten, sallittujen (Current UEFI DB) varmenteiden ryhmässä.

Edistyneen käyttäjän testi

Varmennemuutoksia testataan laitteella, jonka toimintahäiriöt tai vauriot eivät aiheuta ongelmia. Jos testitulos on ongelmaton, menetelmää voi harkiten soveltaa muihin samanlaisiin laitteisiin. Edistyneet harrastajat, jotka tunnistavat riskit, testaavat varmenneuudistusten vaikutuksia omiin laitteisiinsa.

Testatessa lisätään rekisteriin arvo 0x5944 ja käynnistetään sen jälkeen päivitysautomaatti:

• reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
• Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Rekisterimuokkauksen jälkeen laite käynnistetään kaksi kertaa. Nyt järjestelmä:

• Lisää Secure Boot DB:hen uudet 2023 CA -varmenteet
• Päivittää KEK (Key Exchange Key) -avaimen
• Asentaa uuden Boot Managerin, joka on allekirjoitettu 2023-varmenteella
• Valmistelee DBX-päivitystä, mutta ei vielä mitätöi vanhoja varmenteita, kuten CA 2011

Tässä laitteessa huomataan, että käynnistyslataaja on nyt allekirjoitettu uudella CA 2023 varmenteella, mutta BIOSissa ei ole vastaavaa kovakoodattua varmennetta. Laite ei käynnisty, jos varmenteet resetoidaan.

Varmenteissa on runsaasti eroja lähtötilanteeseen verrattuna. Default -ryhmien puutteet voivat muodostua ongelmaksi ja BIOS-päivityksia odotellaan.

Varmenneristiriita ja sen elvyttäminen

Jos päivittämätön BIOS ja varmenteet resetoidaan CA 2023 varmennepäivitysten jälkeen, muodostuu ristiriita:

• Käynnistyslataaja on ehditty allekirjoittaa CA 2023 varmenteella
• nvRAM on tyhjä varmenteista
• Resetoitu BIOS tarjoaa ainoastaan CA 2011 varmenteita

Varmenteet on resetoitu. Vain oletusvarmenteet ovat käytettävissä. Myös Secure Boot pysähtynyt.

Kun Secure Boot on otettu käyttöön, Windowsin käynnistysyritys epäonnistuu ja järjestelmä ilmoittaa:

Varmenneketju on katkennut, eikä Windowsin käynnistystä sallita.

EFI-käynnistystiedostot täytyy korjata vastaamaan varmenteita.

Windows käyttöjärjestelmä tai systeemiosio eivät hallinnoi tai tarkista UEFI Secure Boot -varmenteita – tarkistaminen on täysin UEFI:n vastuulla. Windowsin käynnistyminen riippuu vain siitä, salliiko UEFI käynnistyslataajan toimia.

Korjausmenettely: palautetaan vanha EFI-osio varmuuskopiosta. Näin saadaan käynnistyslataaja (CA 2011) vastaamaan CA 2011 oletusvarmenteita. Osoittautui, että EFI-osion palautus piti käynnistää ulkoiselta muistivälineeltä.

Kun palautetut varmenteet ja käynnistyslataajan varmenneketju vastaavat toisiaan, käyttöjärjestelmä käynnistyy Secure Boot päällä. Elvyttämistä jatketaan aiemman mukaan siten, että tuodaan uudet CA 2023 varmenteet ja luodaan uudelleen niitä vastaava käynnistyslataaja.

Muita ratkaisuja

Osa käyttäjistä on jäänyt odottamaan automaattisten päivitysten ratkaisevan varmenneketjujen ja käynnistyslataajien ongelmat. Odotukset kohdistuvat toisaalta laitevalmistajien uudistamiin BIOS-versioihin ja toisaalta Windows-päivityksiin. Aika näyttää, miten asiat lopulta ratkeavat.

Hätätilanteessa, kun tietokoneessa olevaan aineistoon on pakko päästä käsiksi, voi suojatun käynnistyksen laittaa pois päältä, mutta se ei ole kovinkaan viisas pysyvä ratkaisu.

Todettua

• Secure Bootin käyttöönotto ja ajantasaisuus parantavat tietoturvaa.
• Secure Bootin ohittaminen on teknisesti mahdollista, mutta harvoin perusteltua.
• Laajasti toivotaan, että päivitysautomatiikka pitää järjestelmät turvallisina ilman manuaalisia toimenpiteitä.
• Valmistajalta kaivataan täsmällistä ja tiivistä ohjeistusta varmennepäivitysten hallintaan.
• Siirtymävaiheessa eniten tukea tarvitsevat muutaman vuoden ikäiset laitteet, joiden BIOS ei ole ajan tasalla.