secure boot

已于 2024-08-05 15:04:13 修改
阅读量1.4k 收藏 7
点赞数 9
文章标签: https 网络协议 http
于 2024-03-11 11:32:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45764334/article/details/136619052
版权
本文详细解释了SecureBoot如何在芯片启动流程中工作,通过验证固件和操作系统的签名确保其完整性和可信度,以及链式认证过程中的证书签名校验机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在开启secure boot之前需要先了解芯片的整体启动流程,可以帮助更好地理解secure Boot在整个系统中的作用和重要性

Secure Boot是一种使用加密身份验证启动序列,建立了一个可信的平台,用于安全应用程序。它始于一个不可变的引导序列,通过密码验证代码的来源,以便只有经过授权的软件才能执行。引导序列将设备置于已知的安全状态,并防止软件的二进制篡改和重新刷写攻击。

Secure boot过程是嵌入在整个芯片启动流程中的

芯片的启动流程,也被称为引导过程,是指设备从关闭状态到完全运行状态的一系列步骤。这个过程涉及硬件初始化、固件加载、操作系统启动等多个阶段。在这个过程中,芯片会执行一系列预定义的操作,来准备和配置系统的硬件和软件环境

Secure Boot则是在这个启动流程中的一个环节,通常在固件或操作系统加载之前。它通过验证固件或操作系统的签名来确保它们的完整性和可信度

设备的启动是一个多阶段的过程,每个阶段的镜像执行一个特定的功能,并由前一个镜像进行验证。信任根(RoT)是在PBL中启动流程的受信任实体,PBL是片上代码的一部分,因此已经受信任且不可变。对镜像进行授权软件的身份验证,然后才执行启动序列中的下一个镜像。

例如:PBL > SBL > (TZ)/QSEE只有当PBL认证成功后,控制权才会转移到SBL。由于SBL现在是可信的,因此可以信任它对下一个镜像进行身份验证。图像通过其功能进一步建立设备的安全性。有了加密组件和体系结构,就可以验证启动软件和安全应用程序的真实性。APPS是主引导处理器。PBL支持ELF类型的镜像加载和身份验证,这允许SBL1和HEXProgrammer像保留其他系统镜像一样保留ELF格式。系统调试镜像(SDI)功能在SBL和TZ中实现。

安全启动是通过一组芯片上的硬件保险丝实现的。硬件保险丝中识别的受信任实体必须为代码签名才能执行。

链式认证:

1. Root CA (根证书颁发机构):这是最顶层的认证机构,它拥有一对密钥(公钥 R 和私钥 R)。Root CA 使用其私钥 R 生成下一级认证机构(Attestation CA)的签名 I

2. Attestation CA (认证证书颁发机构):Attestation CA 也有自己的一对密钥(公钥 I 和私钥 I)。它使用私钥 I 生成下一级的证书(Attestation Certificate)的签名 A

3. Attestation Certificate (认证证书):此证书包含一对密钥(公钥 A 和私钥 A)。私钥 A 被用来生成最终源数据(Source)的签名 D

在这个过程中,每个签名都需要被相应的公钥验证以确保签名的有效性

Attestation CA 的签名 I 需要被 Root CA 的公钥 R 验证;Attestation Certificate 的签名 A 需要被 Attestation CA 的公钥 I 验证;最终源数据的签名 D 需要被 Attestation Certificate 的公钥 A 验证

验证签名是否成功:

在加密密钥和证书的生成过程中都包含了相同主题信息,可以通过grep查看镜像是否包含主题信息->侧面验证镜像是否签名成功

.......xxx
关注
MTK secure boot.pdf
03-23
MTK secure boot移植总结,详细整理了移植过程以及原理分析。
Secure Boot原理和高通芯片Secure Boot原理
achirandliu的专栏
06-05 2236
Secure Boot原理和高通芯片Secure Boot原理
【UEFI】关于Secure Boot
最新发布
qq_44954543的博客
03-24 1241
个人学习总结,仅供参考。确保在BIOS阶段时load的image是安全的。关于这里的image定义:1.设备的UEFI驱动;2.OS的loader如:Linux 、Windows…等等;3.可以正常BOOT的image,比较常用到的是shell.efi安全启动是一种计算机系统的安全功能,旨在确保系统启动过程中只能加载经过数字签名的受信任的OS和启动加载程序。通过使用Secure Boot,系统可以防止恶意软件在启动过程中植入并运行,提高系统的安全性。网上的资料比较少,有待补全。
高通平台(8917/8937/8953...) secure boot 软件配置
tq501501的博客
07-05 1万+
以下以8917平台为例,其他平台类似,找到对应配置文件即可 1.新建临时目录 mkdir tmp cd tmp 2.复制openssl文件到临时目录 cp ../LA.UM.*/LINUX/android/vendor/qcom/proprietary/common/scripts/gensecimage/qpsa/alt_resources/default/openssl/opensslroo...
一文搞懂Secure Boot (安全启动)
yuchengjie1988的博客
01-28 1万+
如果SBL被黑客替换,黑客可以在自己的SBL中不去校验FBL,从而替换掉FBL,在非法的FBL中不对APP进行校验,从而替换掉APP,由此可见信任根(上面例子中的SBL)在安全启动过程中的重要性。TDA4的软件系统包含的软件组件不止上面提到的SBL、FBL及APP,还有主域A72运行的软件(Linux或QNX),主域R5F核运行的软件,以及DSP核(C66, C71等),这些软件镜像的校验过程和上面描述的是一样的。如果对文中的任何内容有任何建议请不吝赐教,如果想看到更多相关的感兴趣的内容,也欢迎私信联系。
Secure Boot(一)MDM9x45,MDM9x50,SDX12,SDX20和SDX50M上使能Secure Boot
qq_42723832的博客
07-25 890
Secure Boot(一) 主要讲如何在实战中使能高通平台中的secure boot功能。本片文章适合不想深入了解secure boot功能,只想完成enable secure boot工作的嵌入式软件开发工程师。后续Secure Boot(二)中会讲SecureBoot原理以及使能secure boot之后的一些常见问题。
高通Secure Boot调试流程记录
热门推荐
涛声依旧的专栏
03-23 2万+
参考文档KBA-161109181347-how_to_enable_secure_boot_step_by_step.pdf。 1.新建临时目录tmp:    mkdir tmp    cd tmp 2.复制opensslroot.cfg和v3.ext到tmp目录:    cp ~/work/M1503-6.0.1-01610/LINUX/android/vendor/qcom/p
MTK secure boot2020.zip
08-15
MTK Secure Boot 2020 是针对MT8735平台的一个安全启动技术文档,主要探讨了如何在MTK平台上实现更为严密的系统启动流程,以增强设备的安全性。安全启动是现代智能设备中一个至关重要的环节,它确保设备在开机时运行...
MTK Secure Boot V1.1.pdf
12-03
MTK Secure Boot V1.1的知识点涵盖MT8163平台的Secure Boot流程,以及在此过程中如何生成密钥对,配置efuse等关键步骤。以下详细说明了这些过程中的关键知识点。 1. RSA密钥对的生成 Secure Boot过程中,首先需要...
Secure Boot以及软件-硬件实现方案
12-04
ESP32-SecureBoot方案强调了几个注意事项:在使能SecureBoot时,应选择禁止JTAG中断和ROM BASIC中断,这样可以防止攻击者通过调试接口绕过安全保护。这些标志位一旦在efuse中设置,便无法更改。在产品级使用中,建议...
Secure Boot方案介绍及实施流程
07-17
### Secure Boot 方案介绍及实施流程 #### 1. Secure boot 概述 ##### 1.1. 需求与目的 随着移动设备的安全威胁日益增加,确保启动过程的安全性变得至关重要。Secure Boot(安全启动)技术旨在保护设备免受恶意...
高通平台Security学习笔记
02-18
本章介绍Security相关的术语以及基本知识,因为对于初次接触Security的同 事来说,一些基本概念和术语的理解很有必要。 首先,要理解Security研究需要解决的问题,要达到的目的是什么?无非是 要保证数据在传播过程中的“保密性”,“完整性”,“认证性”和“不可抵赖 性”。
高通平台获取secure boot,串号等状态
weixin_30421525的博客
06-26 734
adb shell下 运行./system/bin/r address 其中address对应各个flag参数的地址,具体如下: 无法打开/dev/mem节点(没有该节点),这时只需在内核配置中选上CONFIG_DEVMEM,重新编译内核重烧即可。 转载于:https://www.cnblogs.com/lingjiajun/p/9230475.html...
Secure Boot(安全启动)
u013434525的博客
03-01 4144
如果在这个模式下清除了密钥,那么原有的密钥通常无法恢复,因为它们是存储在UEFI固件的非易失性存储区域中的,一旦清除,就无法通过正常的UEFI界面恢复。Secure Boot(安全启动)的原理基于链式验证,这是一种确保计算机在启动过程中只加载和执行经过认证的软件的机制。:在启动过程中,UEFI固件会使用存储的私钥来验证启动文件(如启动加载程序)的签名。:一旦验证通过,UEFI固件会将控制权交给启动加载程序,启动加载程序接着会验证操作系统内核和其他关键组件的签名,确保整个启动过程的安全性。
Secureboot概念进阶版
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
01-31 2461
安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。
【UEFI实战】Secure Boot
jiangwei0512的博客
03-29 1万+
【UEFI实战】Secure Boot
secure boot 是什么
void的博客
11-29 9889
一、secure boot 是什么 secure boot,中文叫安全启动。是电脑行业成员共同开发的一种安全机制。 用于确保电脑只能启动原装系统。如果电脑重装了其他系统,那么这个系统是启动不了的。说白了,就是垄断。 所以安装完其他系统,必须关闭 secure boot,新系统才能启动 二、如何关闭 secure boot
secureboot
01-09
### Secure Boot 技术原理 Secure Boot 是一种用于验证设备启动过程中加载的固件和操作系统镜像完整性和真实性的机制。该过程依赖于公钥基础设施 (PKI),其中每个阶段都由前一阶段验证其真实性并传递信任[^2]。 #### 启动流程中的信任链建立 在典型的嵌入式系统中,启动顺序分为多个阶段: - **Primary Boot Loader (PBL)**:这是第一个被执行的代码片段,在高通芯片上通常存储于 ROM 中不可更改。它负责初始化基本硬件资源,并加载 Secondary Boot Loader(SBL)[^1]。 - **Secondary Boot Loader (SBL)**:此模块继续完成剩余必要的配置工作,比如设置内存控制器参数等之后会去寻找合法的操作系统映像文件准备执行[^1]。 对于每一个要被加载的新组件,都会先检查附带的数字签名以确认来源可靠以及未遭篡改。只有经过认证机构签署过的程序才能顺利进入下一个环节直至最终引导至目标 OS 运行环境内。 ```c // Pseudo-code example of a simplified secure boot process verification function. bool verify_image_signature(const uint8_t* image, size_t length) { // Load public key from trusted storage area like fuses or eFUSEs on Qualcomm chips. const PublicKey pub_key = load_public_key(); // Extract signature and data to be verified from the provided binary blob. Signature sig; DataToVerify data; parse_image(image, &sig, &data); // Perform cryptographic validation using loaded public key against extracted signature. return crypto_verify(pub_key, data, sig); } ``` ### 安全目的与影响 引入 Secure Boot 主要是出于保障产品安全性考虑,旨在阻止未经授权访问底层硬件接口的行为发生,从而维护制造商利益不受侵害的同时也提高了终端用户体验的安全等级[^3]。 尽管官方宣传重点在于抵御潜在恶意软件入侵风险方面,但实际上这也间接限制了一些高级用户自定义安装非官方版本OS的可能性。因此,在某些情况下可能会引起争议关于开放性与控制之间的平衡问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值