Linux嵌入式平台安全启动理解介绍

VIP文章 已于 2023-10-25 11:51:38 修改
阅读量1k 收藏
点赞数 1
分类专栏: Linux安全管理相关 文章标签: linux 安全 运维
于 2023-07-31 21:05:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a2591748032/article/details/132028754
版权

一、意义


        安全启动可以防止未授权的或是进行恶意篡改的软件在系统上运行,是系统安全的保护石,每一级的前一个镜像会对该镜像进行校验。

1.1 安全启动原理介绍

 
通过数字签名进行镜像完整性验证(使用到非对称加密算法和哈希算法)
签名过程:
raw_image--->use hash--->digest(摘要)
private_key--->digest--->signature
image+signature组合成为签名镜像
验签过程:
use hash--->raw_image--->digest1
public_key--->signature--->digest2
digest1 =? digest2
等于则验签成功,否则验签失败

代码实现过程如下:


#include <string.h>
#include <openssl/rsa.h>
#include <openssl/pem.h>
#include <openssl/err.h>
#include <openssl/sha.h> 
#include <openssl/crypto.h> 
 
#define PUBLIC_KEY_PATH ("/hd1/program/config/ca/client_sunell_public.pem")
#define PRIVATE_KEY_PATH ("/hd1/program/config/ca/client_sunell_private.pem")
 
 
void printHash(unsigned char *md, int len)
{
 
	int i = 0;
    for (i = 0; i < len; i++)
	{
		printf("%02x", md[i]);
	}
 
	printf("\n");
}
 
 
/*读取私钥*/
RSA* ReadPrivateKey(char* p_KeyPath)
{	
	FILE *fp = NULL; 
	char szKeyPath[1024];
	RSA  *priRsa = NULL, *pubRsa = NULL, *pOut = NULL;
	
	printf("PrivateKeyPath[%s] \n", p_KeyPath);
 
	/*	打开密钥文件 */
	if(NULL == (fp = fopen(p_KeyPath, "r")))
	{
		printf( "fopen[%s] failed \n", p_KeyPath);
		return NULL;
	}
	/*	获取私密钥 */
	priRsa = PEM_read_RSAPrivateKey(fp, NULL, NULL,NULL);
	if(NULL == priRsa)
	{
		ERR_print_errors_fp(stdout);
		printf( "PEM_read_RSAPrivateKey\n");
		fclose(
最低0.47元/天 解锁文章
a2591748032-随心所记
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
嵌入系统实现安全启动
09-19
随着物联网(IoT)装置的广泛普及——从智慧城市到无线珠宝,物联网几乎渗透到日常生活的每一步,对于物联网类型的嵌入系统划定安全优先顺序的需求日益迫切。确保安全启动过程是保护任何嵌入系统的首要步骤,也是在应用中预防恶意软体壁垒的必要部份。
linux secure boot(安全启动)下为内核模块签名
西京刀客
02-02 5966
从 UEFI 到 OS,再从 OS 到 driver,这是一条信任链,只有被已经在 UEFI 里注册过的 key 签名的驱动,才是可信的。除了 UEFI 出厂时由 vendor 设置的 key,我们还可以在后续的使用过程中自行添加(称为 “enroll”),其依据的原理大致是:既然都能够操作 UEFI 了,那该用户添加的 key 应该是可被信赖的。
官宣: deepin 成为国内首个获取安全启动证书认证的 Linux 发行版
JavaMBa的博客
07-02 256
IT之家 7 月 2 日消息 深度操作系统官方今天表示,为了更全面的保障电脑设备使用安全,深度操作系统(deepin)获取了安全启动证书认证,成为国内首个获得该认证的 Linux 发行版。 什么是安全启动安全启动是 UEFI 扩展协议定义的安全标准,旨在帮助确保设备仅使用原始设备制造商(OEM)信任的软件启动。当电脑启动时,固件会检查每个引导软件的签名,如果签名有效,则电脑启动,固件将控制权交给操作系统。 安全启动对于 Linux 安装的帮助 由于电脑的品牌型号和硬件主板有所差异,很...
Linux 安全之系统引导与登录安全
wang_chuan_hao的博客
04-13 1177
root密码丢失 centos7启动菜单 第一位为正常启动 第二个为修复模 这个界面按E键进入引导模块的配置文件 进入编辑模后,找到linux16开头的地方,按end键到最后,输入 rd.break 按ctrl+x 进入启动 输入 mount -o remount,rw /sysroot/ 命令 重新挂载系统分区 再输入 chroot /sysroot/ 命令,改变根,将/sysroot/变为根目录 修改root密码 如果之前系统启用了selinux,必须执行 touch /.autorel
嵌入Linux启动注释
01-09
我们在这里讨论的是对嵌入linux系统的启动过程的输出信息的注释,通过我们的讨论,大家会对嵌入linux启动过程中出现的、以前感觉熟悉的、但却又似是而非的东西有一个确切的了解,并且能了解到这些输出信息的来龙去脉。 嵌入linux启动信息是一个很值得我们去好好研究的东西,它能将一幅缩影图呈现在我们面前,来指导我们更加深入地理解linux内核。
Hyper-v 2016 Linux安全启动
weixin_33909059的博客
12-21 154
Hyper-v 2016 Linux安全启动Windows Server 2016中的安全启动是一个很好的系统设计,用以确保操作系统的加载工具没有被篡改。对于防止计算机启动进入操作系统之前被恶意代码被注入,安全启动可以是一个很好的防御措施。安全的引导结合UEFI的加密功能增强引导和处理能力。加密密钥存储在固件。当UEFI要求启动一个操作系统加载程序时,它可以检查操作系统加载程序的加密签名,如果有的...
Linux shutdown命令教程:如何安全地关闭或重新启动你的系统(附案例详解和注意事项)
最新发布
u012964600的博客
05-03 867
shutdown命令是Linux系统中用于关闭系统的命令,它可以安全地将系统关闭或重新启动。这个命令会向所有登录的用户发送消息,告知他们系统将要关闭,并且阻止新的登录请求。
Linux开启进程安全
Samurai77的博客
09-30 912
修改启动类 .sh文件 ```java #!/bin/bash echo "starting······" nohup java -jar yzyp-rest-0.0.1.jar > /root/logs/yzyp-rest.log 2>&1 & tail -f -n 500 /root/logs/yzyp-rest.log echo "end ······" #!...
嵌入平台安全启动介绍
德玛西亚万岁~的博客
07-28 1718
嵌入平台安全启动介绍嵌入中的安全启动,第一要素是需要对镜像进行保护,保证镜像的安全性,防止镜像被破解和篡改。为了保护这些镜像,需要对启动镜像做加密或者签名操作,如果镜像被第三方修改或者遭到破坏,镜像则无法启动,只有通过身份校验的镜像才可被执行,达到安全启动的作用。 加解密秘钥介绍 术语 明文:原始的消息 密文:加密后的明文 加密:将明文变为密文的变换过程 解密:将密文变为明文的变换过程 密码编码学:研究各种加密方案的领域 密码分析学:在不知道任何加密信息的条件下去解密 SHA 安全散列算法(Secu
嵌入Linux开发板下实现开机WIFI自动连接
01-06
说明 目前本人使用的是韦老师IMX6ULL,其他的我没试过,不过我相信一通百通,都可以试试。 解决 关键: /etc/init.d/rcS 初级理解就是相当于是开机自启动文件,可以把你想要执行的一些挂载、环境变量等任务等放到这里,这次也是要用到它。 具体代码 先连接WIFI:(SSID:WIFI名称,Password:WIFI密码) wpa_passphrase SSID Password >> /etc/wpa_supplicant.conf 输入下面指令重启开发板即可完成 echo -e wpa_supplicant -B -c /etc/wpa_supplicant.conf -i
详解嵌入linux启动信息.pdf
07-30
摘要 我们在这里讨论的是对嵌入 linux 系统的启动过程的输出信息的注释,...嵌入 linux启动信息是一个很值得我们去好好研究的东西,它能将一幅缩影图呈现在我们面前,来指导我们更加深入地理解 linux 内核。
嵌入系统/ARM技术中的嵌入linux启动信息完全注释
12-08
 嵌入linux启动信息是一个很值得我们去好好研究的东西,它能将一幅缩影图呈现在我们面前,来指导我们更加深入地理解linux内核。 关键字:linux嵌入启动,bootloader 正文 作为一名嵌入系统开发者,你...
韦东山嵌入Linux第一期视频
06-08
深入理解ARM体系统架构,可以写出具备中断功能的裸板程序,对程序现场的保存、恢复有所了解,这些原理适用于任何架构CPU,适用于内核及应用程序;熟悉裸板程序的结构,给你一个Bootloader就能分析它的初始化部分、...
Linux系统开机启动流程(超详细)
qq_51010919的博客
06-29 7425
BIOS(Basic Input/Output System)是一种位于计算机系统中的固件程序,它提供了计算机系统的基本输入输出功能。BIOS位于计算机主板上的一个芯片中,负责初始化和配置硬件设备,以及提供底层的系统管理和控制功能。BIOS是电脑启动时加载的第一个软件。它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,它可从CMOS中读写系统设置的具体信息。其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。
Linux内核模块在安全启动下的签名和安装
weixin_30908103的博客
08-03 864
安全启动下,是不能加载未签名或由未注册的密钥签名的内核模块的,所以本文介绍了如何签名内核模块,并安装到Linux内核中。 本文参考了itpropmn07的回答的第一步和第二步。 以RTL8821CE驱动为例,在得到8821ce.ko后,按照下面的命令生成私钥和公钥。wifi.key是私钥文件的名称,wifi.der是公钥文件的名称,wifi drivers是证书一般名称(CN)。 ...
CentOS8基础篇7:Linux系统启动配置
weixin_41687096的博客
02-28 969
CntOS8服务与进程。
浅析安全启动(Secure Boot) —写得很好
热门推荐
04-01 1万+
前言 安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。本文是通过我自己对市面上的一些基于 ARM TrustZone 的 Sec...
linux安全启动过程
09-08
Linux安全启动过程主要包括以下几个步骤: 1. 配置硬件平台密钥:通过为内核和initrd安装受硬件保护的平台密钥,确保只有授权的代码可以启动系统。这样可以防止未经授权的操作系统或恶意软件加载并运行。 2. 启动验证:在启动过程中,固件会验证加载的引导程序的数字签名是否有效和受信任。这样可以确保引导程序的完整性和来源的可信度。 3. 内核签名验证:一旦引导程序验证通过,它将加载操作系统的内核。在加载内核之前,固件会验证内核的数字签名。只有经过授权和签名的内核才能被加载和运行。 4. 初始化RAM文件系统(initrd):一旦内核被加载和验证通过,它将解压缩和加载initrd文件系统。initrd包含了用于启动系统的临时文件和驱动程序。 5. 加载根文件系统:在初始化RAM文件系统之后,内核将加载并挂载真正的根文件系统。这是操作系统的核心文件系统,包含了所有的文件和目录。 通过以上步骤,Linux安全启动确保了启动过程的完整性和可信度,防止了未经授权的代码或恶意软件的加载和运行。这提供了额外的安全层级,保护系统免受潜在的攻击和威胁。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [linux secure boot(安全启动)下为内核模块签名](https://blog.csdn.net/inthat/article/details/128844657)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [safeboot:带有UEFI安全启动和TPM支持的脚本可略微改善Linux启动过程的安全性](https://download.csdn.net/download/weixin_42129797/16659297)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a2591748032-随心所记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值