04-安全启动介绍

于 2024-05-23 15:15:43 发布
阅读量99 收藏
点赞数
分类专栏: 信息安全 文章标签: 安全
原文链接:https://blog.csdn.net/initiallizer/article/details/136356617
版权

本文框架
1. 基本概念
1.1 基本概念回顾
1.2 数字签名及验签流程
2. 安全启动实施
2.1 信任根选择
2.1.1 使用HSM作为信任根
2.1.2 使用最底层Bootloader作为信任根
2.2 校验方法确认
2.2.1 基于非对称加密算法(数字签名)
2.2.2 基于对称加密算法
2.3 安全启动方案
2.3.1 HSM+对称加密/非对称加密
2.3.2 最底层Bootloader+对称加密/非对称加密

安全启动(Secure Boot)是软件启动前,通过层层校验对软件完整性(Integrity)及可信度(Authentication)两项指标验证的过程,属于信息安全部分非常重要的一部分内容,本文对基本概念及常见的方案进行介绍,大纲如下:


1. 基本概念
1.1 基本概念回顾
在系列文章《信息安全系列02-基本概念介绍》中已对信息安全中的常见名词进行介绍,在安全启动中会涉及到的名词如下:

哈希函数:哈希函数加密是将数据通过哈希算法将任意长度的数据作为输入转换成固定长度的字符串;
对称及非对称加密算法;
数字签名:一种基于哈希函数及非对称加密算法,利用公钥加密技术为数据提供一个独特的签名来验证数据完整可信的技术;
信任根:是安全启动过程的基础,它是系统中最先被信任的元素,可以是一个硬件设备或者一段固化在只读存储器中的程序。这个元素必须具有高度的安全性,以确保整个系统的启动过程可以信赖。
信任链:基于信任根,系统会通过一系列的校验和认证步骤来构建信任链。信任链是指一系列经过验证的软件组件,它们相互认证,形成一个从信任根开始的受信任的软件链条。这个过程确保了系统启动时所加载的每一个软件组件都是可信的。

1.2 数字签名及验签流程

数字签名的生成过程:
1)生成消息摘要:使用哈希函数对原始信息进行运算,生成固定长度的消息摘要(或称为信息摘要)。
2)生成签名:发送者使用自己的私钥通过非对称加密算法对消息摘要进行加密,形成数字签名。

数字签名解密过程
1)接收者使用发送者的公钥对收到的数字签名解密,获得消息摘要(哈希值);
2)接收者也对收到的原始信息采用同样的哈希函数生成一个新的消息摘要(哈希值);
3)如果两个摘要相同,就说明信息在传输过程中没有被篡改,且确实来自于声称的发送者。

2. 安全启动实施
安全启动(secure boot)主要检查启动后程序的完整性(Integrity)及可信度(Authentication)两项指标。通过启动时对软件进行验证来保证启动时的软件是合法且未经篡改的。

2.1 信任根选择
目前很多车规级MCU都继承了硬件安全模块,如ST的SPC58,英飞凌Tc3xx,瑞萨的RH850等,提供了集成的HSM模块,这些模块利用独立的核来保证可信,属于硬件上的信任根。另外也可以使用软件的最底层BootLoader作为信任根,这是一种成本较低的软件解决方案。

2.1.1 使用HSM作为信任根
在安全启动过程中,HSM Bootloader作为整个系统的信任根(RoT)。HSM Bootloader在启动时首先校验HSM Application的状态,确保其完整性后,HSM Application再校验其他软件模块,如BM(Bootloader Manager)的完整性。这种层级的校验确保了系统的可信启动。

2.1.2 使用最底层Bootloader作为信任根
基于软件的信任根方案虽然不如硬件信任根那样在物理层面上安全,但通过合理的设计和严格的流程控制,也能够提供一定程度的安全保障。然而,这需要得到OEM的认可,并且在整个系统的设计和维护过程中要非常小心,以防止潜在的安全风险。

2.2 校验方法确认
安全启动有两种不同类型的加密方法:基于对称密钥和非对称密钥加密的解决方案。

2.2.1 基于非对称加密算法(数字签名)
非对称加密的签名及验签流程如下:


2.2.2 基于对称加密算法
对称加密算法流程如下:


2.3 安全启动方案
可以有HSM/无HSM参与来进行划分,同时可以根据使用的加密算法是对称加密/非对称加密进一步划分:

2.3.1 HSM+对称加密/非对称加密
相对于对称密钥方案,对称加密方案校验时只需要重新计算一次MAC值并与原来存储的MAC对比即可。但需要特别注意MAC值存储在一个安全区域(HSM)
非对称加密方案只需要保证公钥存储在OTP区域不被修改即可。

2.3.2 最底层Bootloader+对称加密/非对称加密
使用最底层Bootloader作为信任根,对于无HSM参与时,由于MCU算例有限,加密时间可能会比较长,此时可以通过并行校验的方式即程序可以不等待校验完成就跳转,但当校验出程序被篡改后程序则停止执行,并对相关信息进行记录。
Bootloader+对称加密(适用于高性能MCU)及Bootloader+非对称加密除信任根选择与2.3.1章节不同外,其余基本一致,在此不再赘述。
————————————————

                            版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
                        
原文链接:https://blog.csdn.net/initiallizer/article/details/136356617

汽车软件工程师001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【功能安全】:安全启动
03-01 431
【AOTOSAR】:安全启动
Secure Boot方案介绍及实施流程
07-17
详细阐述了手机的secure boot方案原理及实施办法
bootloader启动流程
09-10
bootloader启动流程
Secure Boot安全启动
最新发布
u013434525的博客
03-01 1896
如果在这个模式下清除了密钥,那么原有的密钥通常无法恢复,因为它们是存储在UEFI固件的非易失性存储区域中的,一旦清除,就无法通过正常的UEFI界面恢复。Secure Boot安全启动)的原理基于链式验证,这是一种确保计算机在启动过程中只加载和执行经过认证的软件的机制。:在启动过程中,UEFI固件会使用存储的私钥来验证启动文件(如启动加载程序)的签名。:一旦验证通过,UEFI固件会将控制权交给启动加载程序,启动加载程序接着会验证操作系统内核和其他关键组件的签名,确保整个启动过程的安全性。
【UEFI实战】Secure Boot
jiangwei0512的博客
03-29 1万+
【UEFI实战】Secure Boot
secure boot 是什么
void的博客
11-29 7418
一、secure boot 是什么 secure boot,中文叫安全启动。是电脑行业成员共同开发的一种安全机制。 用于确保电脑只能启动原装系统。如果电脑重装了其他系统,那么这个系统是启动不了的。说白了,就是垄断。 所以安装完其他系统,必须关闭 secure boot,新系统才能启动 二、如何关闭 secure boot
Security Boot secure Boot介绍
Big_Body
12-22 1237
secure Boot介绍安全启动流程检测
浅析安全启动Secure Boot
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
11-03 1210
安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。
Secureboot概念
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
12-04 3355
最近在微信公众号接触到了一个Secureboot这个概念。什么是Secureboot?借用一句广告词:业务安全的基石是APP安全,APP安全的基石是操作系统安全,操作系统安全的基石是SecureBoot安全Secure Boot是验证应用域内的一个/多个应用CPU子系统执行的一个/多个应用程序映像的完整性和真实性(多应用核和多内存段),验证策略由用户定义,包括:被验证的内容、验证方式、验证结果分析处理。是不是有点绕?来先看看背景: 手机厂商建立了手机内部处理器与手机操作系统的绑定关系(也就是说**开启 S
一文搞懂Secure Boot (安全启动)
yuchengjie1988的博客
01-28 4641
如果SBL被黑客替换,黑客可以在自己的SBL中不去校验FBL,从而替换掉FBL,在非法的FBL中不对APP进行校验,从而替换掉APP,由此可见信任根(上面例子中的SBL)在安全启动过程中的重要性。TDA4的软件系统包含的软件组件不止上面提到的SBL、FBL及APP,还有主域A72运行的软件(Linux或QNX),主域R5F核运行的软件,以及DSP核(C66, C71等),这些软件镜像的校验过程和上面描述的是一样的。如果对文中的任何内容有任何建议请不吝赐教,如果想看到更多相关的感兴趣的内容,也欢迎私信联系。
rockchip secureboot原理及实施流程介绍
11-24
rockchip secureboot原理及实施流程介绍,关于防刷机的实现
什么是SecureBoot呢?
weixin_43632300的博客
03-06 1万+
从Windows8操作系统时代开始,安装操作系统的方法也有了很大的改变,Windows8采用了SecureBoot引导启动的方式,而不是过去WinXP和Win7的Legacy启动方式,从而导致的问题是所有预装Windows8/8.1系统的笔记本要安装Win7的话必须修改BIOS,给很多想更换操作系统的用户增加了一点小难度。 那么什么是SecureBoot呢?它和Windows8还有UEFI启动有什...
浅析安全启动Secure Boot) —写得很好
热门推荐
04-01 1万+
前言 安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。本文是通过我自己对市面上的一些基于 ARM TrustZone 的 Sec...
Secure Boot什么意思?BIOS中Secure Boot灰色无法更改解决方法详解
jh035的博客
11-26 5991
在主板Bios设置中,Secure Boot是UEFI BIOS的一个子规则,位于传统(Legacy)BIOS的BOOT选项下,微软规定所有预装Win8操作系统的厂商(即OEM厂商)都必须打开Secure Boot(在主板里面内置Win8的公钥)。另外,有时候这个Secure Boot是灰色的无法更改,这又要如何解决呢?总之,BIOS下Secure Boot灰色无法更改时,你会发现选项修改的位置有所不同,这是跟主板的设置有关系,大家可以查看自己的主板,有选项就设置,没有则略过。
关于Secureboot的简单介绍[结合rk平台]
技术交流
03-11 1万+
secure boot目的 secure boot方案对系统软件采用签名认证的方式,在设备出厂前对设备操作系统的Image文件进行签名认证,并将公钥的Hash值写入芯片的一次性可编程模块。由于不同文件计算得到的Hash值不同,采用secure boot方案的设备每次启动时都会先校验系统的Hash值,即和芯片内的Hash值进行比较,然后对签名images的一级一级校验,实现从设备芯片到系统软件的链式...
mbr,gpt,uefi,secureboot装机实战
yazhouren的专栏
06-24 967
mbr最古老的分区方式,后来有了gpt 最近bios的方式改了,有了uefi还有uefi的一个feature secureboot Windows8要求必须开启secureboot,所有的驱动要经过这个的签名认证! 但我奇怪的是ubuntu系统下的驱动也要须要签名吗?起码nvidia的驱动貌似需要!难道不是进入系统后,os完全接管硬件了吗?secure boot还在起作用吗? 2017.6
secure boot (二)基本概念和框架
嵌入式与Linux那些事的博客
09-21 6439
secure boot是指确保在一个平台上运行的程序的完整性的过程或机制。secure boot会在固件和应用程序之间建立一种信任关系。在启用secure boot功能后,未经签名的固件或程序将不能运行在该设备上。通过这种方式,可以保护操作系统免受恶意攻击。secure boot一般使用公钥/私钥来验证固件和应用程序的签名是否合法。消息摘要又称为数字摘要。它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值