快速认识 PFR (Platform Firmware Resiliency)

PFR 介绍

开始谈PFR前，我们先把时间条滑回 2017 年，当年有个病毒 "BrickerBot" 很有名，他是透过网路刷机将IoT设备上的韧体变成砖头(Brick)，这种攻击手法被称作PDoS (Permanent denial-of-service attacks / phlashing)，和DDoS 让伺服器暂时瘫痪的攻击手法相比，这是永久性的让硬体瘫痪，必须重新更新才能复原

隔年，在2018年，美国国家标准暨技术研究院(NIST)发布了NIST SP 800 193标准(Platform Firmware Resiliency Guidelines)，里面提及Platform上的Firmware 应该要符合三项安全措施

• Protection(保护): 
  Mechanisms for ensuring that Platform Firmware code and critical data remain in a state of integrity and are protected from corruption, such as the process for ensuring the authenticity and integrity of firmware updates.
  确保平台固件代码和关键数据保持完整性并防止损坏的机制，例如确保固件更新的真实性和完整性的过程。
• Detection(检测):
  Mechanisms for detecting when Platform Firmware code and critical data have been corrupted or otherwise changed from an authorized state.
  用于检测平台固件代码和关键数据何时已损坏或以其他方式从授权状态更改的机制。
• Recovery(恢复):
  Mechanisms for restoring Platform Firmware code and critical data to a state of integrity in the event that any such firmware code or critical data are detected to have been corrupted, or when forced to recover through an authorized mechanism. Recovery is limited to the ability to recover firmware code and critical data
  在检测到任何此类固件代码或关键数据已损坏或通过授权机制强制恢复时，将平台固件代码和关键数据恢复到完整性状态的机制。恢复仅限于恢复固件代码和关键数据的能力

因此之后几年，各大厂商就陆续推出自家的PFR方案，

这些机制可以透过韧体本身完成，也可以透过外部第三方(例如FPGA)来协助完成，只要符合最终目标即可，其中 Intel 提出的Solution 就是以FPGA 来协助实现PFR的，我们可以从官方释出的介绍影片来看一下

英特尔解决方案

Intel® Platform Firmware Resilience Overview (影片滑到最底下)

DETECT

PFR FPGA 会验证 SPI flash 中的数位签章，再比对每个Region的Hash value，确认Image是否被窜改

RECOVERY

PFR FPGA可以自动恢复损坏的韧体

(Intel 将Flash 切成不同的区块例如 stage、recovery和 active，上电载入的程式码会放在Active 区块，如果这个BMC/BIOS开不了机或一直重启，这样PFR FPGA就会自动将Recovery区块放的Image 烧到 Active 区块)

 

PROTECT

PFR FPGA监控和过滤系统总线上的恶意流量

(原本很多I2C Device是直接对接BMC的，但现在会先经过PFR FPGA，只有白名单上的指令才可以By pass给BMC)

(我觉得PROTECT应该还有Secure Update，但影片没看到，就没写了)