Boot Guardとは？

Boot Guardは、boot trust、variable protection、measurement、firmware update policyに関係するUEFI firmware securityの概念である。

なぜ重要か

• 高度なfirmware security mechanismを説明する。
• trust anchor、measurement、update protectionを考える助けになる。
• security-focusedなBIOS/UEFI分析に役立つ。

実例

例：image authenticationをdebugするときは、signerがdbで信頼されているか、image hashやcertificateがdbxでblockされていないかを確認する。

クイックチェックリスト

• どのtrust anchorまたはmeasurement pathが関係しているか。
• policyはplatform stateと一致しているか。
• log、variable、TPM event dataから挙動を確認できるか。

覚えておくポイント

Boot Guardは小さな概念に見えても、logを読むときや実際のfirmware debugで重要になる。

デバッグ時の見方

Boot Guard は、単独の用語として暗記するよりも、firmware の流れの中に置くと理解しやすいです。誰が作り、誰が読み、値が間違ったときにどの症状として出るのかを意識すると、学習用のメモがそのまま debug のチェックポイントになります。

小さな具体例

security や SMM 関連では、Boot Guard を trust boundary として見るのが大事です。誰が呼べるのか、buffer はどこから来るのか、policy はいつ lock されるのか、攻撃者が input を制御した場合に何が起きるのかを考えます。

実際のデバッグで見るポイント

Boot Guard は単独の用語ではなく、boot chain の一部として見ると理解しやすいです。つまり Boot Manager が NVRAM を読む → Boot option を選ぶ → Device Path を parse する → .efi file を開く → loader に制御を渡す という流れです。意図しない device から boot する場合、boot loader そのものよりも、そこへ到達するための metadata が原因になることがあります。

実務では、boot variable を dump し、その値がどの option を指しているか、その option が active か、内部の device path が現在の disk/partition 構成と一致しているかを確認します。

関連ノート

• TPM Event Logとは？
• SRTMとは？
• Secure Boot User Modeとは？
• Secure Boot Setup Modeとは？
• Image Authenticationとは？

公開参考資料

• UEFI Specification 2.11 - Boot Manager
• UEFI Specification 2.11 - Security
• EDK II SecurityPkg

この記事は役に立ちましたか？

ファームウェア、BIOS/UEFI、組み込みシステムを学んでいる人に共有できます。

共有 リンクをコピー

Biến note thành bài viết hoàn chỉnh

Notes là nơi ghi nhanh khái niệm.

Đọc blog Xem notes khác