セキュアブート
【英】Secure Boot
セキュアブートとは、UEFIが策定したPCの起動(ブート)に関する技術のうち、起動時にあらかじめデジタル署名のあるソフトウェアしか実行できないようにする技術のことである。
セキュアブートを導入することで、ルートキットなどがOSよりも早く実行されて、OSによるマルウェア検出を回避してしまう、といったことを防ぐことができる。これによってコンピュータをより安全な起動が可能になる。
2011年12月にMicrosoftが発表した、Windows 8のハードウェア仕様に関する文書(Hardware Design and Development for Windows 8)では、Windows 8の起動時の技術にセキュアブートが導入されることが記されている。
参照リンク
Hardware Design and Development for Windows 8 - (英語)
セキュアブート
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2019/10/30 05:47 UTC 版)
「ハードウェアDRM」の記事における「セキュアブート」の解説
セキュアブート(英: secure boot)は、ブートローダーがオペレーティングシステムもしくは二次ブートローダーを起動する際に、ブートローダーが起動対象のソフトウェアの電子署名やチェックサムを評価することでソフトウェアの正当性を確認するアーキテクチャである。 UEFI Secure Bootは代表的なセキュアブートの仕組みの1つである。OSベンダーの秘密鍵で電子署名がなされ、署名検証が成功した場合に限りブート処理を継続する。署名検証が失敗した場合にはブート処理を停止してエラー画面等を利用者に表示する。WindowsマークのついたMicrosoft公認マシンのブートローダーはMicrosoftのセキュアブート電子署名に対応しており、ブートローダーから起動するオペレーティングシステムであるWindows 8・RHEL・openSUSE・Ubuntuなどはセキュアブート電子署名が付与されている。 Android Verified BootはAndroidデバイスにおけるセキュアブートの仕組みである。AndroidブートローダーはVerified Bootのブート処理シーケンスで電子署名鍵を用いてbootおよびrecoveryパーティションの正当性を評価する。Verified Bootは、デバイスはロック状態にあるか、電子署名鍵に対してパーティションは正当か、電子署名鍵は正当なOEM Keyであるか、の3点を評価する。評価結果が不正である場合、ブート処理を停止し電源を落とす、警告画面を表示するなどのエラー処理を実行する。 Solaris Verified BootはSolarisマシンにおけるセキュアブートの仕組みである。Verified BootはSolarisの起動の前、SPARC OpenBootによってSolarisのカーネルモジュールをロードする前にモジュールの障害・改ざんを検知する。モジュールの正当性が疑われる場合、モジュールのロードを取り止める、警告ログを出力するなどのエラー処理を実行する。 TPM Trusted BootはTrusted Platform Moduleの機能を用いた物理・仮想プラットフォームでのセキュアブートの仕組みである。Trusted Platform Moduleはその在り方から演算処理そのものがThompson hackなどのクラッキングを受ける可能性が低く、ブートローダーが起動対象のソフトウェアを検証するツールとして有効である。
※この「セキュアブート」の解説は、「ハードウェアDRM」の解説の一部です。
「セキュアブート」を含む「ハードウェアDRM」の記事については、「ハードウェアDRM」の概要を参照ください。
セキュアブート
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/03/03 01:22 UTC 版)
「Unified Extensible Firmware Interface」の記事における「セキュアブート」の解説
UEFIセキュアブートは、起動対象のオペレーティングシステムの電子署名を検証して正当なソフトウェアであることが確認できた場合にのみブート処理を継続する。 WindowsマークのあるマシンではセキュアブートにMicrosoftの電子署名が使われており、Windows 8以降はセキュアブート電子署名が付与されている。一方で、Windows 7以前のオペレーティングシステムやほとんどのLinuxディストリビューションは電子署名が付与されていないため、セキュアブートが有効なUEFIブートローダーでは起動できない。 マイクロソフトがリリースしたWindows 8 OEM製品のハードウェア認定に関する文書によれば、x86およびx86-64を採用した全デバイスはセキュアなUEFIを有効にしなければならないが、カスタム・セキュアブート・モードでユーザーがシグネチャを追加できる手段を提供すると記述されている。一方、Windowsの動作するARMデバイスでは、セキュアブートを無効にできる実装を禁止しているため、カスタム・セキュアブート・モードへの移行もセキュアブートの無効化も不可能である。Windows 10のハードウェア認定要件ではセキュアブートの無効化手段の提供はオプションとなった。 マイクロソフトは、実費でマイクロソフトの鍵によって署名を行うサービスを提供している。Fedora、openSUSE、Ubuntu、RHEL(RHEL 7から)、CentOS(CentOS 7から)、Debian(Debian 10から)などのLinuxディストリビューションは、この署名サービスによって署名された軽量ブートローダを用いることでセキュアブート(の鍵配布と鍵インストールに纏わる問題)に対応している。セキュアブートへの対応を計画しているFreeBSDもマイクロソフトの署名サービスを利用する計画である。
※この「セキュアブート」の解説は、「Unified Extensible Firmware Interface」の解説の一部です。
「セキュアブート」を含む「Unified Extensible Firmware Interface」の記事については、「Unified Extensible Firmware Interface」の概要を参照ください。
セキュアブート
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/06/09 07:24 UTC 版)
「Microsoft Windows 8」の記事における「セキュアブート」の解説
許可されていない(デジタル署名がない)ファームウェアやOSなどの起動ファイルを起動時に実行しないようにし、起動時の安全性を高める機能で、Windows 8では推奨事項となっている。これは後述のシステム要件にもあるように、BIOSに替る新しいファームウェアシステムであるUEFI v2.3.1以降が必携条件になる。Windows 8がプレインストールされているメーカー製PCではこれが有効化されているが、それ以前のPCや自作PC用マザーボードではサポートされていないものもあり、アップグレードアシスタントではインストール不可能の判定が出るが、実際にはセキュアブートは必須ではなく、後述の最小システム要件を満たしていればセキュアブートが有効にならないだけであり、Windows 8の動作には問題は発生しない。
※この「セキュアブート」の解説は、「Microsoft Windows 8」の解説の一部です。
「セキュアブート」を含む「Microsoft Windows 8」の記事については、「Microsoft Windows 8」の概要を参照ください。
- セキュアブートのページへのリンク