Предзагрузочная аутентификация (pre-boot authentication, PBA), или аутентификация перед загрузкой, — механизм защиты данных, при котором аутентификация происходит после включения устройства, но до загрузки операционной системы, а также реализующая его технология.
Чаще всего PBA используется при полном шифровании диска: чтобы загрузить систему и восстановить данные, пользователю нужно пройти аутентификацию. Это защищает устройство от расшифровки третьими лицами, получившими к нему физический доступ.
Реализация PBA
Предзагрузочная аутентификация работает на уровне BIOS/UEFI — набора микропрограмм, запускающихся до операционной системы и подготавливающих компьютер к ее загрузке. Она может быть частью загрузочной функциональности устройства или решения для полнодискового шифрования. Кроме того, существует специализированное ПО для PBA, позволяющее, например, использовать расширенные возможности аутентификации с решением для полнодискового шифрования, в котором эта функциональность ограничена. В частности, существуют различные PBA-решения, работающие с BitLocker (штатным средством полнодискового шифрования в Windows).
Разное ПО может поддерживать разные методы аутентификации. К наиболее распространенным относятся:
- что-то, что пользователь знает (например, пароль или PIN-код);
- что-то, что есть у пользователя (USB—токен, смарт-карта или иное аппаратное средство идентификации пользователя);
- что-то, что однозначно характеризует пользователя (биометрические данные, такие как лицо или отпечаток пальца).
Также предзагрузочная аутентификация может быть двухфакторной или многофакторной: состоять из нескольких этапов и включать комбинацию идентификаторов из различных источников.
Предзагрузочная аутентификация устройства при помощи Trusted Platform Module
Если компьютер поддерживает защищенный чип Trusted Platform Module, на нем можно настроить полнодисковое шифрование с предзагрузочной аутентификацией устройства при помощи хранящегося в TPM-ключа, но без аутентификации пользователя. Такая конфигурация защищает данные в сценариях, когда диск вынимают из устройства пользователя и устанавливают в устройство злоумышленников или, например, когда атакующие модифицируют загрузочные компоненты системы, но не защищает от попытки несанкционированного доступа к устройству без нарушения его целостности.
Расшифровка диска без PBA в доверенной сети
Некоторые решения для полного шифрования диска предусматривают опцию упрощенной загрузки без предзагрузочной аутентификации при подключении устройства к доверенной сети, например к проводной сети в офисе организации, которой принадлежит устройство.