사전 부트 인증

PBA(사전 부트 인증) 또는 POA(^[1]전원 켜기 인증)는 BIOS, UEFI 또는 부팅 펌웨어의 확장 역할을 하며, 신뢰할 수 있는 인증 계층으로서 운영 체제 외부의 안전하고 변조 방지가 가능한 환경을 보장한다. PBA는 사용자가 올바른 암호나 다중 요소 인증을 포함한 기타 자격 증명을 가지고 있음을 확인할 때까지 운영 체제와 같은 하드 디스크에서 읽히는 것을 방지한다.^[2]

사전 부트 인증 사용

운영 체제 수준을^[2] 벗어나는 전체 디스크 암호화
임시 파일 암호화
유휴 데이터 보호
클라우드 서버 또는 인스턴스 암호화

사전 부트 인증 프로세스

PBA 환경은 BIOS, UEFI 또는 부팅 펌웨어의 확장 역할을 하며 신뢰할 수 있는 인증 계층으로서 운영 체제 외부에 있는 안전하고 변조 방지 환경을 보장한다.^[2] PBA는 사용자가 컴퓨터 잠금을 해제할 수 있는 올바른 암호를 가지고 있음을 확인할 때까지 어떤 운영 체제도 로딩되지 않도록 한다.^[2] 그 신뢰할 수 있는 계층은 수백만의 OS 코드 라인 중 하나가 개인 또는 회사 데이터의 프라이버시를 손상시킬 가능성을 없앤다.^[2]

일반 부팅 순서

BIOS 모드에서:

기본 입출력 시스템(BIOS)
MBR(마스터 부트 레코드) 파티션 테이블
사전 부트 인증(PBA)
운영 체제(OS) 부트

UEFI 모드에서:

UEFI(Unified Extensible Firmware Interface)
GPT(GUID 파티션 테이블)
사전 부트 인증(PBA)
운영 체제(OS) 부트

사전 부트 인증 기술

전체 디스크 암호화를 사용한 조합

사전 부트 인증은 리눅스 Initial ramdisk와 같은 운영 체제의 추가 기능이나 시스템 파티션(또는 부트 파티션)의 마이크로소프트 부트 소프트웨어 또는 운영 체제에 별도로 설치할 수 있는 다양한 전체 Disk 암호화(FDE) 벤더가 수행할 수 있다. 레거시 FDE 시스템은 PBA를 1차 제어로 의존하는 경향이 있었다. 이들 시스템은 TPM 칩과 같은 하드웨어 기반의 이중 팩터 시스템이나 다른 검증된 암호 접근법을 사용하는 시스템으로 대체되었다. 그러나 어떤 형태의 인증(예: 완전히 투명한 인증 키 로드)도 없이 암호화는 부팅 후 인증에 전적으로 의존하는 이 인증 없는 암호화는 윈도우즈의 GINA 단계에서 Active Directory 인증에서 나오므로 고급 공격자로부터 거의 보호를 제공하지 않는다.

보안 문제

Microsoft는 Windows에 대한 보호 체계를 정의하는 BitLocker 대응책을^[3] 릴리스했다. 도난당할 수 있고 공격자가 영구적인 물리적 액세스(기술과 오랜 물리적 액세스 권한을 가진 문단 Attacker)를 얻을 수 있는 모바일 장치의 경우 Microsoft는 사전 부트 인증의 사용과 대기 전원 관리를 비활성화할 것을 권고한다. 사전 부트 인증은 PIN 보호기와 함께 TPM 또는 제3자 FDA 벤더와 함께 수행할 수 있다.

암호 암호화 키를 보호 클라이언트에서 오프로드하고, 사용자 인증 프로세스 내에서 키 자료를 외부에 공급함으로써 최상의 보안이 제공된다. 이 방법은 전체 디스크 암호화에 사용되는 대칭 AES 키에 대한 Brute-force 공격보다 약한 내장 인증 방법에 대한 공격을 없앤다.

PBA는 하드웨어(TPM)가 지원하는 안전한 부팅 환경으로 암호화 보호가 없으면 Evil Maid 방식의 공격으로 쉽게 패배한다. 그러나 최신 하드웨어(TPM 또는 암호화 다요소 인증 포함)를 사용하면 대부분의 FDE 솔루션이 더 이상 무차별 공격용 하드웨어를 제거할 수 없도록 보장할 수 있다.

인증 방법

다음과 같은 사전 부트 인증을 위한 인증 방법의 표준 보완이 존재한다.

알고 있는 정보(예: Active Directory 자격 증명 또는 TPM 핀과 같은 사용자 이름/암호)
가지고 있는 것(예: 스마트 카드 또는 기타 토큰)
당신이 있는 것(예: 지문, 얼굴 인식, 홍채 스캔과 같은 생체 인식 속성)
신뢰할 수 있는 영역의 자동 인증(예: 기업 네트워크에서 회사 기기에 제공되는 부팅 키)

참조

^ "Sophos brings enterprise-level encryption to the Mac". Network World. August 2, 2010. Archived from the original on October 12, 2012. Retrieved 2010-08-03.
^ ^a ^b ^c ^d ^e "Pre-Boot Authentication". SECUDE. February 21, 2008. Archived from the original on 2012-03-04. Retrieved 2008-02-22.
^ Dansimp. "BitLocker Countermeasures (Windows 10) - Microsoft 365 Security". docs.microsoft.com. Retrieved 2020-01-30.

[autogenerated2-1] "Sophos brings enterprise-level encryption to the Mac". Network World. August 2, 2010. Archived from the original on October 12, 2012. Retrieved 2010-08-03.

[autogenerated1-2] "Pre-Boot Authentication". SECUDE. February 21, 2008. Archived from the original on 2012-03-04. Retrieved 2008-02-22.

[3] Dansimp. "BitLocker Countermeasures (Windows 10) - Microsoft 365 Security". docs.microsoft.com. Retrieved 2020-01-30.

[1]

[2]

[3]

Search