SMM Lockとは？

SMM Lockは、boot trust、variable protection、measurement、firmware update policyに関係するUEFI firmware securityの概念である。

なぜ重要か

• firmwareのtrustとprotection mechanismを説明する。
• Secure Boot、measured boot、variable protectionのdebugに役立つ。
• boot security policyをreviewするときに役立つ。

実例

例：Secure Bootはimageを実行してよいかを決め、Measured Bootは実際に実行されたものを記録する。

クイックチェックリスト

• どのpolicyまたはkey databaseが関係しているか。
• image/variableは期待通りに署名または測定されているか。
• logにauthentication、measurement、access-denied系のerrorはないか。

覚えておくポイント

SMM Lockは小さな概念に見えても、logを読むときや実際のfirmware debugで重要になる。

自分ならこう読む

SMM Lock は、単独の用語として暗記するよりも、firmware の流れの中に置くと理解しやすいです。誰が作り、誰が読み、値が間違ったときにどの症状として出るのかを意識すると、学習用のメモがそのまま debug のチェックポイントになります。

実務で出てくる場面

security や SMM 関連では、SMM Lock を trust boundary として見るのが大事です。誰が呼べるのか、buffer はどこから来るのか、policy はいつ lock されるのか、攻撃者が input を制御した場合に何が起きるのかを考えます。

実際のデバッグで見るポイント

SMM Lock では、「何を守るか」だけでなく、いつ lock されるか、誰が変更できるか、現在の状態をどこで確認できるか が重要です。Firmware security は、policy 自体は正しくても、適用タイミングがずれると弱くなります。

Source を読むときは、phase transition、NVRAM variable、SMM policy、flash descriptor、image authentication の流れを特に確認します。Security bug は普通の制御フローの中に隠れていることがあります。

関連ノート

• SMIとは？
• SMRAMとは？
• SMM Handlerとは？
• TPM PCRとは？
• BIOS Lockとは？

公開参考資料

• UEFI PI Specification 1.9
• UEFI Specification 2.11 - Secure Boot / Security
• EDK II SecurityPkg

この記事は役に立ちましたか？

ファームウェア、BIOS/UEFI、組み込みシステムを学んでいる人に共有できます。

共有 リンクをコピー

Nội dung liên quan

Một số bài viết, ghi chú hoặc project có liên quan đến nội dung bạn vừa đọc.

Ghi chú/BIOS Terms

SMIとは？

BIOS/UEFIおよびembedded firmware学習者向けにSMIを説明するクイックノート。

2025年1月2日読む →

Ghi chú/BIOS Terms

SMMとは？

BIOS/UEFIおよびembedded firmware学習者向けにSMMを説明するクイックノート。

2024年10月2日読む →

Biến note thành bài viết hoàn chỉnh

Notes là nơi ghi nhanh khái niệm.

Đọc blog Xem notes khác