ALTELL UEFI BIOS
В настоящее время компания «АльтЭль» является единственным российским разработчиком UEFI BIOS. UEFI (Unified Extensible Firmware Interface) — спецификация, пришедшая на смену традиционному BIOS, и активно вытесняющая его в ПК последних поколений. Первая спецификация UEFI была разработана компанией Intel. В настоящее время разработкой UEFI занимается Unified EFI Forum, действующим участником которого является компания «АльтЭль».
По сравнению с UEFI BIOS традиционный BIOS имеет ряд существенных недостатков:
- не предусматривает современного разнообразия аппаратного обеспечения;
- по-прежнему ограничен 16-битным интерфейсом и программными прерываниями;
- поддерживает лишь ограниченное число инициализируемых устройств (что критично для серверов);
- не может быть расширен из-за отсутствия модульности;
- не подчиняется единой отраслевой спецификации.
UEFI BIOS изначально лишен всех этих недостатков. В то время как BIOS по сути своей является весьма жестким и фактически неизменным по содержанию кодом прошивки чипа EEPROM, UEFI BIOS — скорее гибко программируемый интерфейс, который расположен поверх всех аппаратных компонентов компьютера с их собственными прошивками-микрокодами. В результате столь гибкого подхода система UEFI становится чем-то вроде сильно облегченной, но вполне самостоятельной операционной системы. Т. е. в компьютере сначала загружается система UEFI, под ее управлением выполняется произвольный набор нужных действий, а уже затем инициализируется загрузка операционной системы.
Еще более усиливая сходство с ОС, спецификации UEFI включают в себя не только загрузочные, тестовые и рабочие сервисы, но также протоколы коммуникаций, драйверы устройств (UEFI изначально разрабатывалась для работы вне зависимости от операционных систем), функциональные расширения и даже собственную EFI-оболочку, из-под которой можно запускать собственные EFI-приложения. А уже поверх всего этого расположен собственно загрузчик, отвечающий за запуск на компьютере основной операционной системы (или нескольких систем). UEFI способна сама получать доступ ко всему аппаратному обеспечению компьютера, то есть уже на уровне UEFI вполне возможно, к примеру, выходить в Интернет или организовывать резервное копирование жестких дисков, причем делать это с помощью полноценного графического интерфейса используя клавиатуру и мышь.
Помимо внушительного количества расширяемых возможностей, реализуемых благодаря гибкому и продвинутому интерфейсу, система UEFI также определяет несколько стандартных особенностей, которые должны быть реализованы в работающем под ней компьютере. В частности, среди них имеется режим безопасной загрузки, низкоуровневая криптография, сетевая аутентификация, универсальные графические драйверы и пр.
Полностью построенная на основе программного кода, UEFI действительно стала объединенной кросс-платформенной системой. Уже сегодня спецификации UEFI предусмотрены в работе почти любой комбинации чипов с 32- и 64-битной архитектурой, выпускаемых AMD, Intel и многочисленными лицензиатами ARM. Единственное, что требуется для обеспечения этой универсальности — скомпилировать исходный код под требования каждой конкретной платформы.
Схематично, отличия в архитектуре и процессе загрузки BIOS и UEFI можно представить следующим образом:
BIOS инициализирует все компоненты и проверяет их работоспособность (процессор, оперативная память, графический адаптер). При этом проверка происходит последовательно. Потом идет поиск главной загрузочной записи (MBR), и только после этого начинается загрузка операционной системы и драйверов.
UEFI BIOS также сначала инициализирует все компоненты, но параллельно, значительно сокращая затрачиваемое на этот процесс время. Затем происходит загрузка драйверов и поиск места, где находится загрузчик ОС, после чего начинается загрузка операционной системы.
Проведем сравнение BIOS и UEFI, перечислив основные преимущества UEFI:
- Модульная архитектура UEFI позволяет значительно расширить функционал системы, интегрировав необходимые модули в соответствии с пожеланиями заказчика — например, удаленную авторизацию пользователей, биометрическую аутентификацию пользователей до загрузки операционной системы, проверку цифровой подписи и т. д.
- Поддержка режима безопасной загрузки, исключающего возможность компрометации системы на уровне UEFI BIOS с помощью руткитов.
- Уменьшение времени, затрачиваемого на загрузку, за счет параллельной инициализации устройств и отсутствия необходимости в поиске загрузчика системы на всех загрузочных устройствах.
- UEFI предоставляет возможность загрузки с жестких дисков объемом более 2 ТБ.
- Поддержка графического пользовательского интерфейса в среде UEFI.
ALTELL BIOS разработан в полном соответствии со стандартом UEFI и заменяет стандартный BIOS, находящийся в чипе EEPROM. Таким образом, ALTELL BIOS является одним из немногих отечественных решений в сфере системного ПО и единственной полноценной альтернативой иностранным BIOS от компаний AMI, Phoenix Award и Insyde при построении защищенных систем на основе архитектуры x86.
Для постоянного развития своего продукта мы поддерживаем тесные связи с ключевыми производителями процессоров — компаниями AMD и Intel, что подтверждается статусом IBV (Independent BIOS Vendor, независимый разработчик BIOS) у этих вендоров.
Так как одним из наиболее уязвимых мест современных информационных систем является процесс загрузки операционной системы, особенно важным является контроль параметров процесса загрузки и защита специальных областей кода и данных от модификаций. Для решения этой задачи в ALTELL BIOS может быть встроен модуль доверенной загрузки. Получившееся решение носит название ALTELL TRUST, сертифицировано ФСТЭК и уже применяется рядом крупных коммерческих и государственных заказчиков.
Основные преимущества ALTELL BIOS:
- наличие исходных кодов, что позволяет гарантировать отсутствие недекларированных возможностей (в том числе проходить инспекционный контроль в регулирующих органах);
- минимальная инициализация оборудования для дальнейшей загрузки операционной системы;
- работа в защищенном 32-битном режиме процессора;
- возможность отключения определенных аппаратных компонентов для обеспечения безопасности (сетевые устройства, PCI-слоты, дисковые контроллеры и т. д.);
- быстрая загрузка (менее 3-х секунд);
- небольшой размер (около 2 МБ со всеми необходимыми модулями);
- возможность использовать дополнительные модули, например, гипервизор, стек сетевых протоколов или модуль доверенной загрузки;
- невозможно прервать загрузку BIOS и произвести изменения в его конфигурации;
- возможность использовать статические конфигурации, разрешающие загрузку ПО только с определённых носителей, или только при наличии определенных подключенных устройств и накопителей (например, с целью аутентификации пользователя при реализации защиты от НСД);
- эмуляция функций PC BIOS для загрузки определенных ОС: Windows (XP/Vista/7), Linux, Solaris, MCBC, Atlix и т. д.;
- возможность доработки в соответствии с индивидуальными требованиями заказчика.
Тестирование
Если вы заинтересовались возможностями нашего UEFI BIOS, мы можем продемонстировать его вместе с встроенным модулем доверенной загрузки ALTELL TRUST.