Autenticación previa al arranque

Ampliación del BIOS o firmware de arranque

La autenticación previa al arranque ( PBA ) o autenticación de encendido ( POA ) ^[1] funciona como una extensión del BIOS , UEFI o firmware de arranque y garantiza un entorno seguro y a prueba de manipulaciones externo al sistema operativo como una capa de autenticación confiable. La PBA evita que se lea nada del disco duro, como el sistema operativo, hasta que el usuario haya confirmado que tiene la contraseña correcta u otras credenciales, incluida la autenticación multifactor . ^[2]

Usos de la autenticación previa al arranque

• Cifrado completo del disco fuera del nivel del sistema operativo ^[2]
• Cifrado de archivos temporales
• Protección de datos en reposo
• Cifrado de servidores o instancias en la nube

Proceso de autenticación previo al arranque

Un entorno PBA funciona como una extensión del BIOS, UEFI o firmware de arranque y garantiza un entorno seguro y a prueba de manipulaciones externo al sistema operativo como una capa de autenticación confiable. ^[2] El PBA evita que se cargue cualquier sistema operativo hasta que el usuario haya confirmado que tiene la contraseña correcta para desbloquear el equipo. ^[2] Esa capa confiable elimina la posibilidad de que una de las millones de líneas de código del sistema operativo pueda comprometer la privacidad de los datos personales o de la empresa. ^[2]

Secuencia de arranque genérica

en modo BIOS:

1. Sistema básico de entrada y salida (BIOS)
2. Tabla de particiones del registro de arranque maestro (MBR)
3. Autenticación previa al arranque (PBA)
4. El sistema operativo (OS) arranca

en modo UEFI:

1. UEFI ( Interfaz de firmware extensible unificada )
2. Tabla de particiones GUID (GPT)
3. Autenticación previa al arranque (PBA)
4. El sistema operativo (OS) arranca

Tecnologías de autenticación previa al arranque

Combinaciones con cifrado de disco completo

La autenticación previa al arranque se puede realizar mediante un complemento del sistema operativo, como Linux Initial ramdisk o el software de arranque de Microsoft de la partición del sistema (o partición de arranque), o mediante una variedad de proveedores de cifrado de disco completo (FDE) que se pueden instalar por separado del sistema operativo. Los sistemas FDE heredados tendían a depender de PBA como su control principal. Estos sistemas han sido reemplazados por sistemas que utilizan sistemas de doble factor basados ​​en hardware, como chips TPM u otros enfoques criptográficos probados. Sin embargo, sin ninguna forma de autenticación (por ejemplo, una autenticación completamente transparente que cargue claves ocultas), el cifrado proporciona poca protección contra atacantes avanzados, ya que este cifrado sin autenticación depende completamente de la autenticación posterior al arranque que proviene de la autenticación de Active Directory en el paso GINA de Windows.

Preocupaciones de seguridad

Microsoft publicó BitLocker Countermeasures ^[3], que define esquemas de protección para Windows. En el caso de los dispositivos móviles que pueden ser robados y a los que los atacantes pueden acceder físicamente de forma permanente (párrafo Atacantes con habilidad y acceso físico prolongado), Microsoft recomienda el uso de la autenticación previa al arranque y la desactivación de la administración de energía en modo de espera. La autenticación previa al arranque se puede realizar con TPM con protector de PIN o con cualquier proveedor de FDA externo.

La mejor seguridad se consigue descargando las claves de cifrado criptográfico del cliente protegido y suministrando material de claves de forma externa dentro del proceso de autenticación del usuario. Este método elimina los ataques a cualquier método de autenticación integrado que sean más débiles que un ataque de fuerza bruta a las claves AES simétricas utilizadas para el cifrado de disco completo.

Sin la protección criptográfica de un entorno de arranque seguro compatible con hardware (TPM), PBA se puede derrotar fácilmente con ataques del tipo Evil Maid . Sin embargo, con hardware moderno (incluido TPM o autenticación multifactor criptográfica) la mayoría de las soluciones FDE pueden garantizar que la eliminación de hardware para ataques de fuerza bruta ya no sea posible.

Métodos de autenticación

Existe un complemento estándar de métodos de autenticación para la autenticación previa al arranque, que incluye:

1. Algo que sepas (por ejemplo, nombre de usuario/contraseña como credenciales de Active Directory o PIN de TPM)
2. Algo que tienes (por ejemplo, una tarjeta inteligente u otro token)
3. Algo que eres (por ejemplo, atributos biométricos como huellas dactilares, reconocimiento facial, escaneo del iris)
4. Autenticación automática en zonas de confianza (por ejemplo, clave de arranque proporcionada a los dispositivos de la empresa por la red empresarial)

Referencias

1. "Sophos lleva el cifrado de nivel empresarial a Mac". Network World . 2 de agosto de 2010. Archivado desde el original el 12 de octubre de 2012 . Consultado el 3 de agosto de 2010 .
2. "Autenticación previa al arranque". SECUDE. 21 de febrero de 2008. Archivado desde el original el 4 de marzo de 2012. Consultado el 22 de febrero de 2008 .
3. Dansimp. "Contramedidas de BitLocker (Windows 10) - Seguridad de Microsoft 365". docs.microsoft.com . Consultado el 30 de enero de 2020 .