BIOS实战之secure boot功能的实现方法

已于 2022-03-02 20:08:18 修改
阅读量1.2w 收藏 35
点赞数 6
分类专栏: BIOS学习实战 文章标签: UEFI
于 2022-02-25 11:06:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011397314/article/details/123128657
版权

什么是Secure boot

Secure boot,顾名思义,就是安全启动,安全启动是由 PC 行业成员开发的安全标准,旨在帮助确保设备仅使用原始设备制造商 (OEM) 信任的软件启动。当 PC 启动时,固件会检查每个启动软件的签名,包括 UEFI 固件驱动程序(也称为 Option ROM)、EFI 应用程序和操作系统。如果签名有效,则 PC 将启动,固件将控制权交给操作系统。‎

‎OEM 可以使用固件制造商的说明创建安全启动密钥并将其存储在电脑固件中。添加 UEFI 驱动程序时,还需要确保这些驱动程序已签名并包含在安全启动数据库中。

首先我们看下证书有哪些:

以及他们放置的地方,这些放置在fdf文件中,通过guid进行索引:

 

Key都是成对的,即公钥与私钥,公钥放置在了BIOS中,私钥用来给需要在主板上运行的bootloader、驱动以及程序进行签名使用。

怎么验证安全启动是有效的

使用U盘,制作一个shell盘,在安全启动开启安装key的前提下,是不可以进入shell的,而经过签名的shell程序,是能正常进入的。

安全引导的密钥类型

数据库密钥(db)——它用于对运行的二进制文件(引导加载程序、引导管理器、shell、驱动程序等)进行签名或验证。db可以保存多个KEY值——对于某些目的来说,这是一个重要的事实。注意,db可以包含公钥(与可用于对多个二进制文件签名的私钥相匹配)和hash值(用于描述单个二进制文件)。

数据库黑名单(dbx)——dbx是一种反数据库;它包含与已知恶意软件或其他不受欢迎的软件相对应的键和hash值。可以像安装db一样安装键或hash值。如果二进制文件匹配同时存在于db和dbx中的键或hash值,则dbx应该优先。

密钥交换密钥(KEK)——KEK用于对密钥(公钥)进行签名,以便固件在将它们输入数据库(db或dbx)时将它们视为有效的。如果没有KEK,固件将无法知道新密钥是有效的还是由恶意软件提供的。因此,在没有KEK的情况下,安全引导将是一个笑话,或者要求数据库保持静态(更新db数据库时验证)。由于安全启动的临界点是dbx,因此静态数据库将不可用。电脑通常有两个kek,一个来自系统厂商,一个来自主板制造商。这使得任何一方都可以发布更新。

平台密钥(PK)——PK是安全启动中的顶级密钥,它与KEK相关的功能类似于KEK与db和dbx的功能。UEFI安全启动支持单个PK,通常由主板制造商提供。因此,只有主板制造商可以完全控制计算机。自己控制安全启动过程的一个重要部分是用自己生成的PK放在主板flash中,递级验证来保证安全启动的可靠性。

代码梳理

安全启动前的准备:

主要准备条件在dsc、fdf文件中,也就是我们需要哪些文件去进行支持

1、需要支持的库

  IntrinsicLib|CryptoPkg/Library/IntrinsicLib/IntrinsicLib.inf
  AuthVariableLib|SecurityPkg/Security/Library/AuthVariableLib26/AuthVariableLib.inf
  BaseCryptLib|CryptoPkg/Library/BaseCryptLib/BaseCryptLib.inf
  PlatformSecureLib|SecurityPkg/Library/PlatformSecureLib/PlatformSecureLib.inf

 2、Policy的定义选择,也就是哪些文件需要什么样的验证方式

  gEfiSecurityPkgTokenSpaceGuid.PcdOptionRomImageVerificationPolicy|0x04
  gEfiSecurityPkgTokenSpaceGuid.PcdFixedMediaImageVerificationPolicy|0x04
  gEfiSecurityPkgTokenSpaceGuid.PcdRemovableMediaImageVerificationPolicy|0x04

 2、安全启动的配置文件,这里面包含了界面的显示,安全启动下Setup mode(工厂模式)User mode(用户模式)的文件加载、数据库的建立以及variable的生成,这里面涉及到怎么把前面提到的证书通过索引导入固件建立数据库,并存放在nvrom区域。

Security/SecureBootConfigDxe/SecureBootConfigDxe.inf 

3、验签文件,也就是验证执行的文件是否是经过验签的:

MdeModulePkg/Universal/SecurityStubDxe/SecurityStubDxe.inf {
    <LibraryClasses>
      NULL|SecurityPkg/Library/DxeImageVerificationLib/DxeImageVerificationLib.inf
    !if $(TPM_SUPPORT) == TRUE
      NULL|SecurityPkg/Library/DxeTpm2MeasureBootLib/DxeTpm2MeasureBootLib.inf
    !endif
     }

4、除了正常的botloader和驱动程序外,机器还可以通过网络进行启动,这一部分同样需要进行验签才能运行,这就需要用到下列的文件。 

  NetworkPkg/TlsDxe/TlsDxe.inf
  NetworkPkg/TlsAuthConfigDxe/TlsAuthConfigDxe.inf

 5、nvrom开辟区域供安全启动使用

 gEfiMdeModulePkgTokenSpaceGuid.PcdMaxVariableSize|0x10000

 NorFlashDxe/NorFlashAuthenticatedDxe.inf

如何进行验签:

在加载生成DB数据库前,需要先了解文件是如何进行验签,先看一张图,后续根据代码了解图片中的内容:

咱们以option ROM文件验签为例子,上文中我们看到PcdOptionRomImageVerificationPolicy,在代码中查询,找到位置:DxeImageVerificationLib.C下的DxeImageVerificationHandler函数:

 //
  // Check the image type and get policy setting.
  //
  switch (GetImageType (File)) {

  case IMAGE_FROM_FV:
    Policy = ALWAYS_EXECUTE;
    break;

  case IMAGE_FROM_OPTION_ROM:
    Policy = PcdGet32 (PcdOptionRomImageVerificationPolicy);
    break;

  case IMAGE_FROM_REMOVABLE_MEDIA:
    Policy = PcdGet32 (PcdRemovableMediaImageVerificationPolicy);
    break;

  case IMAGE_FROM_FIXED_MEDIA:
    Policy = PcdGet32 (PcdFixedMediaImageVerificationPolicy);
    break;

  default:
    Policy = DENY_EXECUTE_ON_SECURITY_VIOLATION;
    break;
  }

看下Policy值的定义:

//
// Image type definitions.
//
#define IMAGE_UNKNOWN                         0x00000001
#define IMAGE_FROM_FV                         0x00000002
#define IMAGE_FROM_OPTION_ROM                 0x00000004
#define IMAGE_FROM_REMOVABLE_MEDIA            0x00000008
#define IMAGE_FROM_FIXED_MEDIA                0x00000010

//
// Authorization policy bit definition
//
#define ALWAYS_EXECUTE                         0x00000000
#define NEVER_EXECUTE                          0x00000001
#define ALLOW_EXECUTE_ON_SECURITY_VIOLATION    0x00000002
#define DEFER_EXECUTE_ON_SECURITY_VIOLATION    0x00000003
#define DENY_EXECUTE_ON_SECURITY_VIOLATION     0x00000004
#define QUERY_USER_ON_SECURITY_VIOLATION       0x00000005

 通过判断,如果总是执行或者从不执行,则直接返回,然后我们再去找secureboot的variable,判断它是开还是关的,是关的那么直接不验证,也就是正常启动,如果是开的,咱们再继续进行下一步,获取DOS的header

  //
  // Read the Dos header.
  //
  if (FileBuffer == NULL) {
    return EFI_INVALID_PARAMETER;
  }

  mImageBase  = (UINT8 *) FileBuffer;
  mImageSize  = FileSize;

  ZeroMem (&ImageContext, sizeof (ImageContext));
  ImageContext.Handle    = (VOID *) FileBuffer;
  ImageContext.ImageRead = (PE_COFF_LOADER_READ_FILE) DxeImageVerificationLibImageRead;

判断是否为有效的PE image:

//
  // Get information about the image being loaded
  //
  Status = PeCoffLoaderGetImageInfo (&ImageContext);
  if (EFI_ERROR (Status)) {
    //
    // The information can't be got from the invalid PeImage
    //
    DEBUG ((DEBUG_INFO, "DxeImageVerificationLib: PeImage invalid. Cannot retrieve image information.\n"));
    goto Done;
  }

如果是有效的,再继续获取PE header,然后检查PE/COFF image---> Get the magic value from the PE/COFF Optional Header-->Use PE32 offset.-->Use PE32+ offset-->Start Image Validation.

前面的直接略过了,最重要的image验证就此开始,首先将image的hash值进行匹配,查看其是否是验签的,如果没有验签,则查看hash值数据是否在DB的数据库中存在,且不存在DBX的数据库中,如果符合的话,验证通过,如果是验签的,里面包含验签的信息,则遍历DB数据库中的证书,查看是否有符合的,如果有符合的且不再DBX数据库中,验证通过,如果都不满足,则说明这个验签的image不符合。具体代码就不贴了,代码有点多,逐句分析也有些晦涩难懂,不过意思大概就是这么个意思。下面来说下SecureBootConfigDxe配置文件

SecureBootConfigDxe

这里面会有UNI、VFR文件等,也就是会在BIOS设置界面生成一个选项,供用户选择,当启动安全模式的时候,会有两个模式,工厂模式和用户模式,entrypoint什么的就不介绍了,还有些variable相关的设置,主要说下这里面是怎么将证书导入生成DB数据库以及DBX数据库的。

供后续理解:

typedef struct{
  EFI_GUID *VarGuid;
  CHAR16   *VarName;
} AUTHVAR_KEY_NAME;

STATIC AUTHVAR_KEY_NAME gSecureKeyVariableList[] = {
  {&gEfiGlobalVariableGuid, EFI_PLATFORM_KEY_NAME},                 // PK   0
  {&gEfiGlobalVariableGuid, EFI_KEY_EXCHANGE_KEY_NAME},             // KEK  1
  {&gEfiImageSecurityDatabaseGuid, EFI_IMAGE_SECURITY_DATABASE},    // db   2
  {&gEfiImageSecurityDatabaseGuid, EFI_IMAGE_SECURITY_DATABASE1},   // dbx  3
};
STATIC
struct{
  EFI_GUID          *File;
  CHAR16            *UiName;
  AUTHVAR_KEY_NAME  *KeyName;
  UINT8             *Data;
  UINTN             DataSize;
  EFI_GUID          *SignatureOwner;
}gSecureKeyTable[] = {
  {(EFI_GUID*)PcdGetPtr(PcdSecureKeyDBFile),    L"DB",    &gSecureKeyVariableList[2], NULL, 0, &gMySignatureOwnerGuid},
  {(EFI_GUID*)PcdGetPtr(PcdSecureKeyMSKEKFile), L"MSKEK", &gSecureKeyVariableList[1], NULL, 0, &gMicrosoftSignatureOwnerGuid},
  {(EFI_GUID*)PcdGetPtr(PcdSecureKeyMSProFile), L"MSPro", &gSecureKeyVariableList[2], NULL, 0, &gMicrosoftSignatureOwnerGuid},
  {(EFI_GUID*)PcdGetPtr(PcdSecureKeyMSUEFFile), L"MSUEF", &gSecureKeyVariableList[2], NULL, 0, &gMicrosoftSignatureOwnerGuid},
  {(EFI_GUID*)PcdGetPtr(PcdSecureKeyPKFile),    L"PK",    &gSecureKeyVariableList[0], NULL, 0, &gMySignatureOwnerGuid},
};

以增加DBXkey为例子:

STATIC 
EFI_STATUS
AddDbxInitKey (
  VOID
  )
{
  EFI_STATUS Status;

  Status = AppendX509FromFV(
             (EFI_GUID*)PcdGetPtr(PcdSecureKeyMSDBXFile), 
             gSecureKeyVariableList[3].VarName, 
             gSecureKeyVariableList[3].VarGuid, 
             &gMicrosoftSignatureOwnerGuid
             );
  DEBUG((EFI_D_INFO, "%a() %r\n", __FUNCTION__, Status));
  return Status;
}
STATIC
EFI_STATUS
AppendX509FromFV(
  IN EFI_GUID                         *CertificateGuid,
  IN  CHAR16                          *VariableName,
  IN EFI_GUID                         *VendorGuid,
  IN EFI_GUID                         *SignatureOwner
  )
{
  EFI_STATUS                        Status;
  VOID                              *Data;
  UINTN                             DataSize;
  UINTN                             SigDBSize;
  UINT32                            Attr;
  UINTN                             X509DataSize;
  VOID                              *X509Data;

  X509DataSize  = 0;
  X509Data      = NULL;
  SigDBSize     = 0;
  DataSize      = 0;
  Data          = NULL;

  Status = GetX509Cert( CertificateGuid, &X509Data,&X509DataSize);
  if (EFI_ERROR (Status)) {
    goto ON_EXIT;
  }

  SigDBSize = X509DataSize;

  Data = AllocateZeroPool (SigDBSize);
  if (Data == NULL) {
    Status = EFI_OUT_OF_RESOURCES;
    goto ON_EXIT;
  }

  CopyMem ((UINT8* )Data, X509Data, X509DataSize);

  Attr = EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_RUNTIME_ACCESS 
          | EFI_VARIABLE_BOOTSERVICE_ACCESS | EFI_VARIABLE_TIME_BASED_AUTHENTICATED_WRITE_ACCESS;

  //
  // Check if signature database entry has been already existed. 
  // If true, use EFI_VARIABLE_APPEND_WRITE attribute to append the 
  // new signature data to original variable
  //    

  Status = gRT->GetVariable(
                  VariableName,
                  VendorGuid,
                  NULL,
                  &DataSize,
                  NULL
                  );

  if (Status == EFI_BUFFER_TOO_SMALL) {
    Attr |= EFI_VARIABLE_APPEND_WRITE;
  } else if (Status != EFI_NOT_FOUND) {
    goto ON_EXIT;
  }  

  Status = gRT->SetVariable(
                  VariableName,
                  VendorGuid,
                  Attr,
                  SigDBSize,
                  Data
                  );
STATIC
EFI_STATUS
GetX509Cert (
  IN   EFI_GUID      *ImageGuid,
  OUT  VOID          **DefaultsBuffer,
  OUT  UINTN         *DefaultsBufferSize
  )
{
  EFI_STATUS                      Status;
  EFI_FIRMWARE_VOLUME2_PROTOCOL   *Fv;
  UINTN                           FvProtocolCount;
  EFI_HANDLE                      *FvHandles;
  UINTN                           Index1;
  UINT32                          AuthenticationStatus;

  *DefaultsBuffer      = NULL;
  *DefaultsBufferSize = 0;

  FvHandles = NULL;
  Status = gBS->LocateHandleBuffer (
                ByProtocol,
                &gEfiFirmwareVolume2ProtocolGuid,
                NULL,
                &FvProtocolCount,
                &FvHandles
                );

  if (!EFI_ERROR (Status)) {
    for (Index1 = 0; Index1 < FvProtocolCount; Index1++) {
      Status = gBS->HandleProtocol (
                      FvHandles[Index1],
                      &gEfiFirmwareVolume2ProtocolGuid,
                      (VOID **) &Fv
                      );
      *DefaultsBufferSize= 0;

      Status = Fv->ReadSection (
                    Fv,
                    ImageGuid,
                    EFI_SECTION_RAW,
                    0,
                    DefaultsBuffer,
                    DefaultsBufferSize,
                    &AuthenticationStatus
                    );

 最终将这些获取到的数据进行导入处理;

STATIC 
EFI_STATUS 
AddSecureBootVarNoAuth(
        CHAR16        *VarName, 
        EFI_GUID      *VarGuid, 
  CONST UINT8         *CertData, 
        UINTN         CertDataSize,
        EFI_GUID      *SignatureOwner
  )
{
  EFI_STATUS                     Status;
  EFI_SIGNATURE_LIST             *SignList;
  UINTN                          SignListSize;
  UINT8                          *VarData;
  UINTN                          VarDataSize;
  UINT32                         Attribute;
  UINTN                          DataSize;
  EFI_SIGNATURE_DATA             *SignData;

  
  SignList = NULL;
  VarData  = NULL;
  
  SignListSize = sizeof(EFI_SIGNATURE_LIST) + OFFSET_OF(EFI_SIGNATURE_DATA, SignatureData) + CertDataSize;
  SignList     = (EFI_SIGNATURE_LIST*)AllocatePool(SignListSize);
  if(SignList == NULL){
    Status = EFI_OUT_OF_RESOURCES;
    goto ProcExit;
  }
 
  CopyMem(&SignList->SignatureType, &gEfiCertX509Guid, sizeof(EFI_GUID));
  SignList->SignatureListSize   = (UINT32)SignListSize;
  SignList->SignatureHeaderSize = 0;
  SignList->SignatureSize       = (UINT32)(OFFSET_OF(EFI_SIGNATURE_DATA,SignatureData) + CertDataSize);
  SignData = (EFI_SIGNATURE_DATA*)((UINT8*)SignList + sizeof(EFI_SIGNATURE_LIST));
  CopyMem(&SignData->SignatureOwner, SignatureOwner, sizeof(EFI_GUID));
  CopyMem(&SignData->SignatureData[0], CertData, CertDataSize);

  VarData     = (UINT8*)SignList;
  VarDataSize = SignListSize;
  Status = CreateDummyTimeBasedPayload(&VarDataSize, &VarData);
  if(EFI_ERROR(Status)){
    if((UINTN)VarData == (UINTN)SignList){
      VarData = NULL;
    }  
    goto ProcExit;
  }

  Attribute = EFI_VARIABLE_NON_VOLATILE | 
              EFI_VARIABLE_BOOTSERVICE_ACCESS | 
              EFI_VARIABLE_RUNTIME_ACCESS |
              EFI_VARIABLE_TIME_BASED_AUTHENTICATED_WRITE_ACCESS;
  
  if(StrCmp(VarName, EFI_PLATFORM_KEY_NAME)!=0){
    DataSize = 0;
    Status = gRT->GetVariable(
                   VarName,
                   VarGuid,
                   NULL,
                   &DataSize,
                   NULL
                   );         
    if(Status == EFI_BUFFER_TOO_SMALL){
      Attribute |= EFI_VARIABLE_APPEND_WRITE;
    }
  }  
  
  Status = gRT->SetVariable (
                  VarName,
                  VarGuid,
                  Attribute,
                  VarDataSize,
                  VarData
                  );

配置中的选项和正常选项一样,选择什么样的功能就进行什么样的操作,还有一些内容需要仔细斟酌,不过大致的原理就是如上所说的,当然,述说的还不是那么全面,只是对安全启动有个大概的了解。

WIN7系统安装,BIOS+MBR方式
**My Coding Family**
07-28 784
🏆本文收录于《CSDN问答解惑-专业版》专栏,主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
【项目实战BIOS常用设置的详细说明
最新发布
本本本添哥
04-05 111
操作路径可能如下:
安全启动(secure boot)怎么关闭_史上最全的各品牌机和组装机关闭安全启动教程
电脑技术分享网的博客
12-25 2万+
1、重启电脑连续按[DEL]键进入BIOS设置,按键盘方向键右键切换到Security选项,进入安全启动模式,将secure boot默认的enabled改成disbaled关闭,意思关闭安全启动,装win7这里一定要关闭安全启动,如下图所示;按方向向下键切换到安全启动菜单,选择安全启动,将默认的开启选项改成"关闭",安装win7一定要"关闭安全启动",否则因无法验证引导文件导致进入不了系统,如下图所示;按键盘切换到切换到"安全"选项,选择右边的“安全启动”回车进入设置安全启动,如下图所示;
提取Secure Boot Key.rar
01-21
本工具可用于提取UEFISecure Boot安全密钥。具体使用教程详见本人博客相关文章。压缩文件没有密码。
技嘉BIOS安全启动看似打开实则没开的一种解决方法
weixin_45715390的博客
03-12 1095
技嘉BIOS里打开了安全启动,但系统里显示没有打开。针对该问题的一种可能的解决方法,以及一些关于该问题的碎碎念。
Secure Boot(安全启动)
u013434525的博客
03-01 4119
如果在这个模式下清除了密钥,那么原有的密钥通常无法恢复,因为它们是存储在UEFI固件的非易失性存储区域中的,一旦清除,就无法通过正常的UEFI界面恢复。Secure Boot(安全启动)的原理基于链式验证,这是一种确保计算机在启动过程中只加载和执行经过认证的软件的机制。:在启动过程中,UEFI固件会使用存储的私钥来验证启动文件(如启动加载程序)的签名。:一旦验证通过,UEFI固件会将控制权交给启动加载程序,启动加载程序接着会验证操作系统内核和其他关键组件的签名,确保整个启动过程的安全性。
EDKII之安全启动详细介绍
qq_43561214的博客
08-22 2029
安全启动(Secure Boot)是一种计算机系统的安全功能,旨在确保系统启动过程中只能加载经过数字签名的受信任的操作系统和启动加载程序。通过使用安全启动,系统可以防止恶意软件在启动过程中植入并运行,提高系统的安全性。启动固件验证:在计算机启动时,启动固件(如UEFI固件)会验证操作系统引导加载程序的数字签名,确保其来自受信任的发布者。操作系统验证:启动加载程序会验证操作系统内核和驱动程序的数字签名,以确保它们没有被篡改。启动链验证。
Secure Boot什么意思?BIOSSecure Boot灰色无法更改解决方法详解
热门推荐
u014389734的博客
08-04 2万+
在电脑Bios设置中,有一项“Secure Boot”相关设置,很多朋友不知道Secure Boot什么意思,也不知道该如何设置。下面本文就来谈谈Secure Boot设置相关的知识,需要的朋友可以参考下。 Secure Boot什么意思? 从字面意思来讲,Secure Boot是安全启动的意思。 在主板Bios设置中,Secure BootUEFI BIOS的一个子规则...
bios开启secure boot选项,进行pxe安装操作系统时报错,求解决办法
s941015n的博客
03-19 350
UEFI开发中,如何实现一个安全的Secure Boot机制,以及如何处理与之相关的驱动绑定问题?
11-05
这本书详细介绍了Secure Boot的原理和实现步骤,并且提供了大量关于如何在UEFI BIOS开发中处理安全引导和驱动绑定的实战指导。 在UEFI的PEI(Pre-EFI Initialize)和DXE(Driver eXecution Environment)阶段,UEFI...
BIOS/UEFI系统固件安全实战培训课程
课程内容包含对目标、攻击向量、漏洞和各种类型系统固件(包括传统BIOS、SMI处理器以及基于UEFI的固件)的利用手段的详细介绍,以及硬件和固件层面的缓解措施、安全分析工具和方法。此外,还会介绍现代操作系统中...
【服务器性能加速】:联想RD450X 231鸡血BIOS调优实战
[【服务器性能加速】:联想RD450X 231鸡血BIOS调优实战](https://www.diskpart.com/screenshot/fr/temp/others/secure-boot.png?_di_c=ZGV2X2lkXzNmMmZhMjMzLTQ0NGItNGU4Ny1hNWM0LTAyNzc0OTljNGJlNA==) # 摘要 本文...
BIOS Secure Boot 模式记录
Robins.lee_的博客
11-22 2058
secure boot正常使用的模式,此时secure boot的机制才发挥作用,secure boot使用的key 不可以被替换。此时secure boot的机制发挥作用,secure boot使用的key 可以被替换(拥有私钥的情况下)。User Mode(用户模式);Audit Mode(审核模式);Deployed Mode(部署模式)此时secure boot 没有生效, 此时secure boot 的key 处于可更新状态。
UEFI实战Secure Boot
jiangwei0512的博客
03-29 1万+
UEFI实战Secure Boot
虚拟机Secure Boot安全启动
faxiang1230的专栏
05-16 1万+
概述 Secure Boot 作为 UEFI 的一个选项,它可以被设置为开启或关闭。 Secure Boot 所需要的公钥证书被保存在计算机的主板的 FLASH 里面,FLASH 里面保存着 PK , KEK, db, dbx 的证书链。下面我们在虚拟机中使能Secure Boot功能,可以在虚拟机中实验,这样比较安全。 工具 以下工具是必不可少的: openssl efitools sbsigntools 在有些系统上 efitools 和 sbsigntools 无法直接获取,请从源码包编译,其中ef
UEFI安全启动
snowfoxmonitor的专栏
11-30 8126
UEFI安全启动 老狼 UEFI固件、服务器、嵌入式产品、开源硬件从业者 52 人赞了该文章 UEFI安全引导(Secure Boot)的核心职能就是利用数字签名来确认EFI驱动程序或者应用程序是否是受信任的。在简要地介绍了数字签名的概念(这是安全引导的基础)之后,我们重点介绍UEFI 安全引导是如何利用数字签名以及其他的加密方式(如Hash函数等)来确保系统引导的安全可靠。我们还...
UEFIBIOSSecure Boot的关系和知识介绍
weixin_34161032的博客
09-10 1725
    从Windows 8操作系统时代开始,安装操作系统的方法也有了很大的改变,Windows 8采用了Secure Boot引导启动的方式,而不是过去Win XP和Win 7的Legacy启动方式,从而导致的问题是所有预装Windows 8/8.1系统的笔记本要安装Win7的话必须修改BIOS,给很多想更换操作系统的用户增加了一点小难度。     ...
浅析安全启动(Secure Boot
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
11-03 2037
安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。
一文搞懂Secure Boot (安全启动)
yuchengjie1988的博客
01-28 1万+
如果SBL被黑客替换,黑客可以在自己的SBL中不去校验FBL,从而替换掉FBL,在非法的FBL中不对APP进行校验,从而替换掉APP,由此可见信任根(上面例子中的SBL)在安全启动过程中的重要性。TDA4的软件系统包含的软件组件不止上面提到的SBL、FBL及APP,还有主域A72运行的软件(Linux或QNX),主域R5F核运行的软件,以及DSP核(C66, C71等),这些软件镜像的校验过程和上面描述的是一样的。如果对文中的任何内容有任何建议请不吝赐教,如果想看到更多相关的感兴趣的内容,也欢迎私信联系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值