La autenticación previa al arranque ( PBA ) o autenticación de encendido ( POA ) [1] funciona como una extensión del BIOS , UEFI o firmware de arranque y garantiza un entorno seguro y a prueba de manipulaciones externo al sistema operativo como una capa de autenticación confiable. La PBA evita que se lea nada del disco duro, como el sistema operativo, hasta que el usuario haya confirmado que tiene la contraseña correcta u otras credenciales, incluida la autenticación multifactor . [2]
Un entorno PBA funciona como una extensión del BIOS, UEFI o firmware de arranque y garantiza un entorno seguro y a prueba de manipulaciones externo al sistema operativo como una capa de autenticación confiable. [2] El PBA evita que se cargue cualquier sistema operativo hasta que el usuario haya confirmado que tiene la contraseña correcta para desbloquear el equipo. [2] Esa capa confiable elimina la posibilidad de que una de las millones de líneas de código del sistema operativo pueda comprometer la privacidad de los datos personales o de la empresa. [2]
en modo BIOS:
en modo UEFI:
La autenticación previa al arranque se puede realizar mediante un complemento del sistema operativo, como Linux Initial ramdisk o el software de arranque de Microsoft de la partición del sistema (o partición de arranque), o mediante una variedad de proveedores de cifrado de disco completo (FDE) que se pueden instalar por separado del sistema operativo. Los sistemas FDE heredados tendían a depender de PBA como su control principal. Estos sistemas han sido reemplazados por sistemas que utilizan sistemas de doble factor basados en hardware, como chips TPM u otros enfoques criptográficos probados. Sin embargo, sin ninguna forma de autenticación (por ejemplo, una autenticación completamente transparente que cargue claves ocultas), el cifrado proporciona poca protección contra atacantes avanzados, ya que este cifrado sin autenticación depende completamente de la autenticación posterior al arranque que proviene de la autenticación de Active Directory en el paso GINA de Windows.
Microsoft publicó BitLocker Countermeasures [3], que define esquemas de protección para Windows. En el caso de los dispositivos móviles que pueden ser robados y a los que los atacantes pueden acceder físicamente de forma permanente (párrafo Atacantes con habilidad y acceso físico prolongado), Microsoft recomienda el uso de la autenticación previa al arranque y la desactivación de la administración de energía en modo de espera. La autenticación previa al arranque se puede realizar con TPM con protector de PIN o con cualquier proveedor de FDA externo.
La mejor seguridad se consigue descargando las claves de cifrado criptográfico del cliente protegido y suministrando material de claves de forma externa dentro del proceso de autenticación del usuario. Este método elimina los ataques a cualquier método de autenticación integrado que sean más débiles que un ataque de fuerza bruta a las claves AES simétricas utilizadas para el cifrado de disco completo.
Sin la protección criptográfica de un entorno de arranque seguro compatible con hardware (TPM), PBA se puede derrotar fácilmente con ataques del tipo Evil Maid . Sin embargo, con hardware moderno (incluido TPM o autenticación multifactor criptográfica) la mayoría de las soluciones FDE pueden garantizar que la eliminación de hardware para ataques de fuerza bruta ya no sea posible.
Existe un complemento estándar de métodos de autenticación para la autenticación previa al arranque, que incluye: