La autenticación previa al arranque ( PBA ) o la autenticación de encendido ( POA ) [1] sirve como una extensión del BIOS , UEFI o firmware de arranque y garantiza un entorno seguro y a prueba de manipulaciones externo al sistema operativo como una capa de autenticación confiable. La PBA evita que se lea cualquier cosa del disco duro, como el sistema operativo, hasta que el usuario haya confirmado que tiene la contraseña correcta u otras credenciales, incluida la autenticación multifactor . [2]
Usos de la autenticación previa al arranque
- Cifrado de disco completo fuera del nivel del sistema operativo [2]
- Cifrado de archivos temporales
- Protección de datos en reposo
- Cifrado de instancias o servidores en la nube
Proceso de autenticación previo al arranque
Un entorno PBA sirve como una extensión del BIOS, UEFI o firmware de arranque y garantiza un entorno seguro y a prueba de manipulaciones externo al sistema operativo como una capa de autenticación confiable. [2] La PBA evita que Windows o cualquier otro sistema operativo se cargue hasta que el usuario haya confirmado que tiene la contraseña correcta para desbloquear la computadora. [2] Esa capa de confianza elimina la posibilidad de que una de las millones de líneas de código del sistema operativo pueda comprometer la privacidad de los datos personales o de la empresa. [2]
Secuencia de arranque genérica
en modo BIOS:
- Sistema básico de entrada / salida (BIOS)
- Tabla de particiones del registro de arranque maestro (MBR)
- Autenticación previa al arranque (PBA)
- Arranques del sistema operativo (SO)
en modo UEFI:
- UEFI ( interfaz de firmware extensible unificada )
- Tabla de particiones GUID (GPT)
- Autenticación previa al arranque (PBA)
- Arranques del sistema operativo (SO)
Tecnologías de autenticación previas al arranque
Combinaciones con cifrado de disco completo
La autenticación previa al arranque se puede realizar mediante un complemento del sistema operativo como Linux Initial ramdisk o el software de arranque de Microsoft de la partición del sistema (o partición de arranque) o mediante una variedad de proveedores de cifrado de disco completo (FDE) que se pueden instalar por separado al sistema operativo. Los sistemas FDE heredados tendían a depender de PBA como su control principal. Estos sistemas han sido reemplazados por sistemas que utilizan sistemas de doble factor basados en hardware como chips TPM u otros enfoques criptográficos probados. Sin embargo, sin ningún tipo de autenticación (por ejemplo, una autenticación totalmente transparente que carga claves ocultas), el cifrado proporciona poca protección contra atacantes avanzados, ya que este cifrado sin autenticación depende completamente de la autenticación posterior al arranque que proviene de la autenticación de Active Directory en el paso GINA de Windows. .
Preocupaciones de seguridad
Microsoft lanzó BitLocker contramedidas [3] que definen esquemas de protección para Windows. Para los dispositivos móviles que pueden ser robados y los atacantes obtienen acceso físico permanente (párrafo Atacante con habilidad y acceso físico prolongado), Microsoft recomienda el uso de autenticación previa al arranque y deshabilitar la administración de energía en espera. La autenticación previa al arranque se puede realizar con TPM con protector de PIN o con cualquier proveedor de la FDA de terceros.
La mejor seguridad se ofrece descargando las claves de cifrado criptográfico del cliente protegido y proporcionando material de claves externamente dentro del proceso de autenticación del usuario. Este método elimina los ataques a cualquier método de autenticación integrado que sea más débil que un ataque de fuerza bruta a las claves AES simétricas utilizadas para el cifrado de disco completo.
Sin la protección criptográfica de un entorno de arranque seguro compatible con hardware (TPM), PBA se vence fácilmente con el estilo de ataques Evil Maid . Sin embargo, con hardware moderno (incluido TPM o autenticación multifactor criptográfica), la mayoría de las soluciones FDE pueden garantizar que ya no sea posible eliminar el hardware para ataques de fuerza bruta.
Métodos de autenticación
El complemento estándar de métodos de autenticación existe para la autenticación previa al arranque, que incluye:
- Algo que sepa (por ejemplo, nombre de usuario / contraseña como credenciales de Active Directory o PIN de TPM)
- Algo que tenga (por ejemplo, tarjeta inteligente u otro token)
- Algo que eres (por ejemplo, atributos biométricos como huellas dactilares, reconocimiento facial, escaneo de iris)
- Autenticación automática en zonas de confianza (por ejemplo, clave de arranque proporcionada a los dispositivos de la empresa por la red empresarial)
Referencias
- ^ "Sophos lleva el cifrado de nivel empresarial a Mac" . Mundo de la red . 2 de agosto de 2010. Archivado desde el original el 12 de octubre de 2012 . Consultado el 3 de agosto de 2010 .
- ^ a b c d e "Autenticación previa al arranque" . SECUDE . 21 de febrero de 2008. Archivado desde el original el 4 de marzo de 2012 . Consultado el 22 de febrero de 2008 .
- ^ Dansimp. "Contramedidas de BitLocker (Windows 10) - Seguridad de Microsoft 365" . docs.microsoft.com . Consultado el 30 de enero de 2020 .