BIOS Lockとは？

BIOS Lockは、boot trust、variable protection、measurement、firmware update policyに関係するUEFI firmware securityの概念である。

なぜ重要か

• firmwareのtrustとprotection mechanismを説明する。
• Secure Boot、measured boot、variable protectionのdebugに役立つ。
• boot security policyをreviewするときに役立つ。

実例

例：Secure Bootはimageを実行してよいかを決め、Measured Bootは実際に実行されたものを記録する。

クイックチェックリスト

• どのpolicyまたはkey databaseが関係しているか。
• image/variableは期待通りに署名または測定されているか。
• logにauthentication、measurement、access-denied系のerrorはないか。

覚えておくポイント

BIOS Lockは小さな概念に見えても、logを読むときや実際のfirmware debugで重要になる。

デバッグ時の見方

BIOS Lock は、単独の用語として暗記するよりも、firmware の流れの中に置くと理解しやすいです。誰が作り、誰が読み、値が間違ったときにどの症状として出るのかを意識すると、学習用のメモがそのまま debug のチェックポイントになります。

小さな具体例

security や SMM 関連では、BIOS Lock を trust boundary として見るのが大事です。誰が呼べるのか、buffer はどこから来るのか、policy はいつ lock されるのか、攻撃者が input を制御した場合に何が起きるのかを考えます。

実際のデバッグで見るポイント

BIOS Lock では、「何を守るか」だけでなく、いつ lock されるか、誰が変更できるか、現在の状態をどこで確認できるか が重要です。Firmware security は、policy 自体は正しくても、適用タイミングがずれると弱くなります。

Source を読むときは、phase transition、NVRAM variable、SMM policy、flash descriptor、image authentication の流れを特に確認します。Security bug は普通の制御フローの中に隠れていることがあります。

関連ノート

• TPM PCRとは？
• SMM Lockとは？
• Secure Boot Keysとは？
• Measured Bootとは？
• Authenticated Variableとは？

公開参考資料

• UEFI Specification 2.11 - Secure Boot / Security
• EDK II SecurityPkg

この記事は役に立ちましたか？

ファームウェア、BIOS/UEFI、組み込みシステムを学んでいる人に共有できます。

共有 リンクをコピー

Biến note thành bài viết hoàn chỉnh

Notes là nơi ghi nhanh khái niệm.

Đọc blog Xem notes khác