21天 Intel CPU BIOS 学习专栏第八天(8)--安全启动(Secure Boot)

已于 2025-01-08 14:27:26 修改
阅读量795 收藏 2
点赞数 12
分类专栏: 21天 Intel CPU BIOS 学习专栏 文章标签: bios
于 2024-11-04 00:32:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoheshang_123/article/details/143471063
版权

目录

21天 Intel CPU BIOS 学习专栏

第8天:安全启动(Secure Boot)

安全启动(Secure Boot)

1. 安全启动概述

主要功能

2. 配置安全启动

示例代码

3. 编写安全启动模块

作业

明天的任务

21天 Intel CPU BIOS 学习专栏

第8天:安全启动(Secure Boot)

安全启动(Secure Boot)

今天我们将深入探讨安全启动(Secure Boot)在BIOS中的重要性,以及如何在BIOS初始化过程中正确地配置和启用安全启动功能。安全启动是一种确保系统启动过程中只加载经过验证的软件的技术,从而防止恶意软件和未授权代码的加载。通过今天的课程,你将了解安全启动的基本概念、主要步骤以及如何编写和测试安全启动模块。

1. 安全启动概述

安全启动是UEFI标准的一部分,旨在确保系统启动过程中只加载经过验证的软件。它通过数字签名和公钥加密技术来验证启动加载程序和其他关键组件的完整性。

主要功能
  • 数字签名验证:确保启动加载程序和操作系统内核等关键组件的完整性。
  • 信任链建立:从固件到操作系统建立一个完整的信任链,确保每个环节都经过验证。
  • 防止恶意软件:防止恶意软件和未授权代码的加载,提高系统的安全性。
2. 配置安全启动

配置安全启动需要以下几个步骤:

  1. 生成密钥对:生成用于签名和验证的密钥对。
  2. 签署启动加载程序:使用私钥对启动加载程序进行签名。
  3. 导入公钥:将公钥导入到固件中。
  4. 启用安全启动:在BIOS设置中启用安全启动功能。
示例代码
 

c
 

深色版本
 

#include <Uefi.h>
#include <Library/BaseLib.h>
#include <Library/UefiLib.h>
#include <Library/UefiBootServicesTableLib.h>
#include <Library/UefiRuntimeServicesTableLib.h>
#include <Guid/EventGroup.h>

// 生成密钥对
VOID GenerateKeys(UINT8 *publicKey, UINT8 *privateKey) {
    // 示例代码,实际实现取决于具体的安全库
    // 生成RSA密钥对
    // publicKey 和 privateKey 是生成的公钥和私钥
}

// 签署启动加载程序
VOID SignLoader(UINT8 *loader, UINT32 loaderSize, UINT8 *privateKey, UINT8 *signature) {
    // 示例代码,实际实现取决于具体的安全库
    // 使用私钥对启动加载程序进行签名
    // signature 是生成的签名
}

// 导入公钥
EFI_STATUS ImportPublicKey(UINT8 *publicKey) {
    EFI_STATUS Status;
    EFI_VARIABLE_HEADER VariableHeader;
    UINTN VariableSize;

    // 获取当前变量大小
    Status = gRT->GetVariable(
        L"PK",
        &gEfiGlobalVariableGuid,
        NULL,
        &VariableSize,
        NULL
    );

    if (Status == EFI_BUFFER_TOO_SMALL) {
        // 分配缓冲区
        UINT8 *VariableBuffer = AllocatePool(VariableSize);
        if (VariableBuffer == 

                

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    


                



	

		

			

				
					
课时30:安全启动的攻击和补救方案

				
			

			

				

					baron-周贺贺-代码改变世界ctw
				

				

					07-11
					
					373
					
				

			

		

		

			
				
👉👉👉 个人博客笔记导读目录(全部) 👈👈👈。

			
		

	



                

            
              



	

		

			

				
					
WIN7系统安装,BIOS+MBR方式

				
			

			

				

					**My Coding Family**
				

				

					07-28
					
					647
					
				

			

		

		

			
				
🏆本文收录于《CSDN问答解惑-专业版》专栏,主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!

			
		

	



              


  
              

                


	

		

			

				
					
可信启动、安全启动:SGX、TrustZone、SecureEnclave

				
			

			

				

					叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
				

				

					12-18
					
					5804
					
				

			

		

		

			
				
(最安全的还是在硬件中保护)

			
		

	





	

		

			

				
					
Secure Boot安全启动

				
			

			

				

					u013434525的博客
				

				

					03-01
					
					3522
					
				

			

		

		

			
				
如果在这个模式下清除了密钥,那么原有的密钥通常无法恢复,因为它们是存储在UEFI固件的非易失性存储区域中的,一旦清除,就无法通过正常的UEFI界面恢复。Secure Boot安全启动)的原理基于链式验证,这是一种确保计算机在启动过程中只加载和执行经过认证的软件的机制。:在启动过程中,UEFI固件会使用存储的私钥来验证启动文件(如启动加载程序)的签名。:一旦验证通过,UEFI固件会将控制权交给启动加载程序,启动加载程序接着会验证操作系统内核和其他关键组件的签名,确保整个启动过程的安全性。

			
		

	



		

			
		



	

		

			

				
					
BIOS Secure Boot 模式记录

					
最新发布

				
			

			

				

					Robins.lee_的博客
				

				

					11-22
					
					603
					
				

			

		

		

			
				
secure boot正常使用的模式,此时secure boot的机制才发挥作用,secure boot使用的key 不可以被替换。此时secure boot的机制发挥作用,secure boot使用的key 可以被替换(拥有私钥的情况下)。User Mode(用户模式);Audit Mode(审核模式);Deployed Mode(部署模式)此时secure boot 没有生效,  此时secure boot 的key 处于可更新状态。

			
		

	





	

		

			

				
					
UEFI Secure Boot

				
			

			

				

					qq_40569221的博客
				

				

					03-05
					
					2199
					
				

			

		

		

			
				
在计算机世界,安全是一个永恒的话题。微软的Windows的安全性一直深受诟病,但随着操作系统层面的漏洞逐渐减少,黑客们盯上了BIOS固件。那如何保证从开机到进入操作系统这个过程中的安全呢?下图是Intel CPU的整个UEFI安全启动链条,涉及到了Boot Guard、Secure Boot等技术。Microcode验证ACM, ACM验证IBB,IBB验证OBB,而OBB后面就是本文的主题UEFI Secure Boot。UEFI Secure Boot是UEFI规范中所定义的一个功能。

			
		

	





	

		

			

				
					
浅析安全启动Secure Boot) —写得很好

				
			

			

				

					
				

				

					04-01
					
					1万+
					
				

			

		

		

			
				
前言

安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。本文是通过我自己对市面上的一些基于 ARM TrustZone 的 Sec...

			
		

	





	

		

			

				
					
一文搞懂Secure Boot (安全启动)

				
			

			

				

					yuchengjie1988的博客
				

				

					01-28
					
					9256
					
				

			

		

		

			
				
如果SBL被黑客替换,黑客可以在自己的SBL中不去校验FBL,从而替换掉FBL,在非法的FBL中不对APP进行校验,从而替换掉APP,由此可见信任根(上面例子中的SBL)安全启动过程中的重要性。TDA4的软件系统包含的软件组件不止上面提到的SBL、FBL及APP,还有主域A72运行的软件(Linux或QNX),主域R5F核运行的软件,以及DSP核(C66, C71等),这些软件镜像的校验过程和上面描述的是一样的。如果对文中的任何内容有任何建议请不吝赐教,如果想看到更多相关的感兴趣的内容,也欢迎私信联系。

			
		

	





	

		

			

				
					
浅析安全启动Secure Boot

				
			

			

				

					叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
				

				

					11-03
					
					1800
					
				

			

		

		

			
				
安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。

			
		

	





	

		

			

				
					
《惠普工作站设置BIOS从U盘装系统》

				
			

			

				

					istrangeboy&begin zero的博客
				

				

					05-05
					
					2万+
					
				

			

		

		

			
				
惠普工作站设置BIOS



惠普工作站在做服务器时应用广泛,本文介绍下其BIOS开机自启动设置,附上图片,以供学习参考。

惠普工作站设置BIOS 启动步骤如下:

第一步:根据需要对BIOS进行更改,并保存

1.重启工作站按F10进入BIOS设置(也可以按ESC键选择进入BIOS设置的选项)。



图1 惠普工作站B...

			
		

	





	

		

			

				
					
深度学习Pytorch/Caffe-GPU环境配置

				
			

			

				

					yly的博客
				

				

					07-23
					
					2054
					
				

			

		

		

			
				
双系统Ubuntu16.04.06LTS+Nvidia显卡驱动 + Cuda9.0 + CuDNN7.4.2 +Opencv 3.4.6 + Pytorch/Caffe-GPU

目录

一、安装双系统

二、安装显卡驱动

三、安装Cuda9.0

四、安装CuDNN

五、Opencv 3.4.6

六、安装Pytorch

七、安装Caffe-GPU



深度学习环境的搭建比较复杂,重要...

			
		

	





	

		

			

				
					
从系统快速进入BIOS,关闭secure boot (win11|详细操作)

				
			

			

				

					m0_73734574的博客
				

				

					04-21
					
					2万+
					
				

			

		

		

			
				
首先需要进入BIOS页面,可以根据主板要求选择关机启动按F12或F2等。并且不同品牌看到的页面可能不同。(7)建议关闭快速启动,看情况(某些计算机上快速启动对secure boot的修改有影响)(8)点击安全性—安全启动控制—关闭secure boot。(6)进入这个界面—进阶设置。(不同电脑可能不同)(如果使用按键进入请直接转到第(3)步)如需要进行其他BIOS修改,操作类似。(3)进入蓝色页面—点击疑难解答。(5)点击UEFI固件设置—重启。(2)点击恢复—立即重新启动。(1)设置—系统—恢复。

			
		

	





	

		

			

				
					
Android系统安全 — 3.1-展锐平台secureboot安全启动流程和使用

				
			

			

				

					qincheng168的博客
				

				

					07-07
					
					9822
					
				

			

		

		

			
				
展锐芯片 sl8541eAndroid平台的 Secureboot 方案功能设计实现

			
		

	





	

		

			

				
					
BIOS实战之secure boot功能的实现方法

				
			

			

				

					Anthony的博客
				

				

					02-25
					
					1万+
					
				

			

		

		

			
				
Secure boot,顾名思义,就是安全启动,主板厂商将一些根证书放在BIOS中,当打开安全启动模式的时候,不管是bootloader还是硬件驱动还是shell下运行的程序应用(包括shell),都需要进行验签才能运行,首先我们看下证书有哪些:

			
		

	





	

		

			

				
					
浅析汽车芯片信息安全之安全启动

				
			

			

				

					高工智能汽车
				

				

					08-23
					
					2809
					
				

			

		

		

			
				
据悉,中国也在制定相应的信息安全法规《汽车整车信息安全技术要求》(中国版R155),《汽车软件升级通用技术要求》(中国版R156)。同年8月,国际标准组织ISO也公布了汽车网络安全标准ISO/SAE21434,规定了汽车系统、子系统和零部件应具备更强的安全性能以抵御网络攻击。

由此可见,汽车芯片作为汽车零部件里最核心的关键组件,其信息安全已成为汽车芯片设计的必备要素和重要考量。

			
		

	





	

		

			

				
					
UEFI、BIOSSecure Boot的关系和知识介绍

				
			

			

				

					weixin_34161032的博客
				

				

					09-10
					
					1694
					
				

			

		

		

			
				

 







 


从Windows 8操作系统时代开始,安装操作系统的方法也有了很大的改变,Windows 8采用了Secure Boot引导启动的方式,而不是过去Win XP和Win 7的Legacy启动方式,从而导致的问题是所有预装Windows 8/8.1系统的笔记本要安装Win7的话必须修改BIOS,给很多想更换操作系统的用户增加了一点小难度。
    ...

			
		

	





	

		

			

				
					
计算机系统安全启动,关闭电脑的安全启动( Secure Boot )

					
热门推荐

				
			

			

				

					weixin_36345268的博客
				

				

					07-17
					
					2万+
					
				

			

		

		

			
				
在win10安装某些驱动程序需要进入测试模式,在运行bcdedit /set testsigning on命令时电脑会提示:该值受安全引导策略保护 无法进行修改或删除。这是因为电脑的BIOS安全启动项打开了的原故。我们只要进入BIOS关闭安全启动( Secure Boot )即可正常安装驱动。不同的电脑进入主板BIOS的方法不尽相同。大部分电脑是在开机启动过程中按提示按F2或DEL键,有的品牌电...

			
		

	





	

		

			

				
					
计算机系统安全启动,怎么关闭安全启动_关闭bios安全启动的方法图文步骤

				
			

			

				

					weixin_42239752的博客
				

				

					07-17
					
					1万+
					
				

			

		

		

			
				
最近有朋友问小编怎么关闭安全启动,对于这个问题,还有很多朋友不明白,bios安全启动可以关闭吗?怎么禁用安全启动呢?相信很多人都是一头雾水,如果不关闭安全启动功能会导致我们无法安装新的系统,那么我们应该如何设置关闭安全启动功能呢?别着急,小编这就为大家带来关闭bios安全启动的方法图文步骤。关闭bios安全启动的方法图文步骤:1、重启电脑,一般是按Del或F2或F1进入BIOS界面,惠普则点击F1...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值