搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評(píng)論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫(xiě)文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      使用硬件信任根解碼軟件安全性

      星星科技指導(dǎo)員 ? 來(lái)源:嵌入式計(jì)算設(shè)計(jì) ? 作者:RUSSELL DOTY ? 2022-11-02 10:13 ? 次閱讀

      軟件的最大優(yōu)勢(shì)在于它可以改變——它可以針對(duì)新需求和新情況進(jìn)行增強(qiáng)、升級(jí)、修復(fù)和修改。同時(shí),軟件的最大弱點(diǎn)是可以更改和修改以復(fù)制不良行為。

      軟件安全的一個(gè)主要目標(biāo)是僅允許被授權(quán)實(shí)體更改軟件,并防止未經(jīng)授權(quán)的實(shí)體更改軟件。如果做不到這一點(diǎn),您希望能夠檢測(cè)軟件是否已更改。這一目標(biāo),即預(yù)防和檢測(cè)未經(jīng)授權(quán)的更改,是受信任軟件的核心。

      問(wèn)題是,你怎么知道你可以信任一個(gè)軟件?一種方法是讓您信任的實(shí)體證明該軟件是可信的。這方面的一個(gè)例子是僅安裝來(lái)自“已知良好”或受信任來(lái)源的軟件。您還應(yīng)該使用加密技術(shù)檢查軟件的簽名。例如,開(kāi)發(fā)人員可以使用Linuxrpm 軟件包格式和 rpm 實(shí)用程序在安裝之前驗(yàn)證其軟件包的加密哈希。這是使用 rpm 的正常部分,有助于檢測(cè)通過(guò)惡意操作或數(shù)據(jù)損壞修改的軟件包。

      然而,這僅僅是個(gè)開(kāi)始——信任和驗(yàn)證必須貫穿整個(gè)軟件開(kāi)發(fā)鏈。例如,執(zhí)行轉(zhuǎn)速檢查的軟件必須是可信的??梢允褂孟到y(tǒng)完整性實(shí)用程序檢查 rpm 軟件。但是,系統(tǒng)完整性實(shí)用程序也必須是可信的。這可以在Linux內(nèi)核中完成(它集成了某些系統(tǒng)完整性檢查功能。然后,Linux 內(nèi)核必須由引導(dǎo)加載程序進(jìn)行驗(yàn)證,這可以通過(guò) UEFI 固件和安全啟動(dòng)進(jìn)行驗(yàn)證。UEFI 固件可以檢查其自身的完整性。是信任自始至終!

      但 UEFI 固件是軟件。特殊軟件,具有多次完整性檢查和特殊更新過(guò)程,但它仍然是軟件。如果資源充足,即使是 UEFI 固件也可能受到損害。一旦系統(tǒng)固件遭到入侵,系統(tǒng)中的任何其他內(nèi)容都無(wú)法信任。

      在系統(tǒng)之外,公鑰加密(PKC)可以提供一種強(qiáng)大的方法來(lái)驗(yàn)證系統(tǒng)的身份并執(zhí)行安全操作。PKC 使用一對(duì)密鑰 – 公鑰和私鑰。只要私鑰受到保護(hù),加密就是安全的。不幸的是,如果系統(tǒng)受到損害,私鑰也會(huì)受到損害,并且實(shí)際的加密操作可能會(huì)被暫停。如果您需要信任系統(tǒng),這不是一件好事!

      一個(gè)答案是使用不可變的硬件。例如,通過(guò)在生產(chǎn)過(guò)程中熔斷一組芯片級(jí)保險(xiǎn)絲,可以在硬件中固定 CPU 序列號(hào)。不幸的是,此CPU序列號(hào)將由軟件讀取和傳輸。如果系統(tǒng)遭到入侵,軟件可以返回任何序列號(hào)。

      另一個(gè)答案是使用特殊的安全處理器 - 專(zhuān)用計(jì)算機(jī),它只執(zhí)行一小部分安全和加密功能,并提供不可變的硬件信任根,其中包括幾個(gè)關(guān)鍵屬性。在硬件信任根中,安全處理器及其軟件和內(nèi)存是獨(dú)立的,旨在抵御物理攻擊或危害。軟件硬編碼到芯片中,無(wú)法修改或更新;它是真正的只讀。安全處理器中包含有限數(shù)量的非易失性存儲(chǔ);此存儲(chǔ)器主要用于存儲(chǔ)加密密鑰和哈希。安全處理器包括一組強(qiáng)大的加密功能,包括加密和解密、哈希和加密密鑰生成,所有這些都是使用定義良好的 API 執(zhí)行的。

      使用硬件信任根,可以在安全處理器內(nèi)生成公鑰和私鑰對(duì)。私鑰可以保留在處理器內(nèi)部,永遠(yuǎn)不會(huì)暴露給系統(tǒng)。在此模式下,私鑰永遠(yuǎn)不會(huì)存在于處理器之外,并且無(wú)法檢索或泄露。

      這種安全處理器可用于為構(gòu)建可信系統(tǒng)提供起點(diǎn),方法是使用它來(lái)證明最低級(jí)別的 UEFI [統(tǒng)一可擴(kuò)展固件接口] 固件的完整性,然后構(gòu)建完整且受信任的軟件堆棧。這正是將受信任的處理模塊 (TPM) 與 UEFI 安全啟動(dòng)結(jié)合使用以實(shí)現(xiàn)受信任啟動(dòng)時(shí)所做的操作。

      TPM 在服務(wù)器、臺(tái)式機(jī)和筆記本電腦系統(tǒng)中廣泛使用。它還可用于高端物聯(lián)網(wǎng)IoT) 和嵌入式系統(tǒng)。

      TPM通常作為單獨(dú)的芯片實(shí)現(xiàn),安全處理器也被集成到標(biāo)準(zhǔn)CPU中。這方面的例子包括 ARM TrustZone 和 AMD 安全處理器。英特爾正在添加軟件防護(hù)擴(kuò)展 (SGX),提供硬件強(qiáng)制的安全功能。

      不幸的是,這些安全功能并沒(méi)有像它們應(yīng)該的那樣廣泛使用。我鼓勵(lì)任何實(shí)施安全敏感系統(tǒng)(實(shí)際上應(yīng)該是所有系統(tǒng))的人考慮在其系統(tǒng)上使用可用硬件信任根的安全功能。

      審核編輯:郭婷

      聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
      • 處理器
        +關(guān)注

        關(guān)注

        68

        文章

        19100

        瀏覽量

        228814
      • 物聯(lián)網(wǎng)
        +關(guān)注

        關(guān)注

        2900

        文章

        44062

        瀏覽量

        370245
      • Linux
        +關(guān)注

        關(guān)注

        87

        文章

        11207

        瀏覽量

        208721
      收藏 人收藏

        評(píng)論

        相關(guān)推薦

        socket編程的安全性考慮

        在Socket編程中,安全性是一個(gè)至關(guān)重要的考慮因素。以下是一些關(guān)鍵的安全性考慮和措施: 1. 數(shù)據(jù)加密 使用TLS/SSL協(xié)議 :TLS/SSL(傳輸層安全性/安全套接層)是網(wǎng)絡(luò)
        的頭像 發(fā)表于 11-01 16:46 ?156次閱讀

        UWB模塊的安全性評(píng)估

        UWB(超寬帶)模塊的安全性評(píng)估是一個(gè)復(fù)雜而關(guān)鍵的過(guò)程,涉及多個(gè)方面,包括技術(shù)特性、加密機(jī)制、抗干擾能力、物理層安全等。以下是對(duì)UWB模塊安全性評(píng)估的分析: 一、技術(shù)特性帶來(lái)的安全性
        的頭像 發(fā)表于 10-31 14:17 ?105次閱讀

        智能系統(tǒng)的安全性分析

        智能系統(tǒng)的安全性分析是一個(gè)至關(guān)重要的過(guò)程,它涉及多個(gè)層面和維度,以確保系統(tǒng)在各種情況下都能保持安全、穩(wěn)定和可靠。以下是對(duì)智能系統(tǒng)安全性的分析: 一、數(shù)據(jù)安全性 數(shù)據(jù)加密 : 采用對(duì)稱加
        的頭像 發(fā)表于 10-29 09:56 ?171次閱讀

        云計(jì)算安全性如何保障

        云計(jì)算的安全性是一個(gè)復(fù)雜而多維的問(wèn)題,涉及多個(gè)層面和多種技術(shù)手段。為了保障云計(jì)算的安全性,需要采取一系列綜合措施,以下是具體的保障方法: 一、數(shù)據(jù)加密 數(shù)據(jù)加密是保護(hù)云計(jì)算安全性的核心手段之一
        的頭像 發(fā)表于 10-24 09:14 ?155次閱讀

        恒訊科技分析:IPSec與SSL/TLS相比,安全性如何?

        IPSec和SSL/TLS都是用于保護(hù)網(wǎng)絡(luò)通信安全的協(xié)議,但它們?cè)趯?shí)現(xiàn)方式、安全性側(cè)重點(diǎn)、兼容以及使用場(chǎng)景上存在一些顯著的區(qū)別。1、安全性方面:IPSec主要關(guān)注網(wǎng)絡(luò)層的
        的頭像 發(fā)表于 10-23 15:08 ?211次閱讀
        恒訊科技分析:IPSec與SSL/TLS相比,<b class='flag-5'>安全性</b>如何?

        固態(tài)電池安全性怎么樣

        固態(tài)電池在安全性方面表現(xiàn)出顯著的優(yōu)勢(shì),這主要得益于其獨(dú)特的固態(tài)電解質(zhì)結(jié)構(gòu)。以下是對(duì)固態(tài)電池安全性的詳細(xì)分析:
        的頭像 發(fā)表于 09-15 11:47 ?427次閱讀

        利用JTAGLOCK特性增強(qiáng)設(shè)備安全性

        電子發(fā)燒友網(wǎng)站提供《利用JTAGLOCK特性增強(qiáng)設(shè)備安全性.pdf》資料免費(fèi)下載
        發(fā)表于 09-14 10:06 ?0次下載
        利用JTAGLOCK特性增強(qiáng)設(shè)備<b class='flag-5'>安全性</b>

        請(qǐng)問(wèn)DM平臺(tái)訪問(wèn)安全性如何控制?

        DM平臺(tái)訪問(wèn)安全性如何控制?
        發(fā)表于 07-25 06:10

        NFC風(fēng)險(xiǎn)與安全性:揭示NFC技術(shù)高安全性的真相

        在數(shù)字化日益普及的今天,NFC(近場(chǎng)通信)技術(shù)因其便捷和高效而被廣泛應(yīng)用。然而,當(dāng)提及NFC時(shí),一些人可能會(huì)聯(lián)想到潛在的風(fēng)險(xiǎn)。本文將深入探討NFC風(fēng)險(xiǎn),并強(qiáng)調(diào)其高安全性的特性,揭示NFC技術(shù)在
        的頭像 發(fā)表于 06-29 13:03 ?878次閱讀

        藍(lán)牙模塊的安全性與隱私保護(hù)

        藍(lán)牙模塊作為現(xiàn)代無(wú)線通信的重要組成部分,在智能家居、可穿戴設(shè)備、健康監(jiān)測(cè)等多個(gè)領(lǐng)域得到了廣泛應(yīng)用。然而,隨著藍(lán)牙技術(shù)的普及,其安全性和隱私保護(hù)問(wèn)題也日益凸顯。本文將探討藍(lán)牙模塊在數(shù)
        的頭像 發(fā)表于 06-14 16:06 ?473次閱讀

        艾體寶方案 | 管理開(kāi)源軟件包更新,提升開(kāi)源安全性

        文章介紹了Mend.io如何通過(guò)其Smart Merge Control功能增強(qiáng)開(kāi)源軟件安全性。現(xiàn)代應(yīng)用程序高度依賴開(kāi)源軟件,但這也增加了潛在的安全漏洞。Mend SCA的增強(qiáng)功能允
        的頭像 發(fā)表于 05-31 17:03 ?276次閱讀

        芯盾時(shí)代中標(biāo)江蘇省蘇豪控股集團(tuán) 零信任實(shí)現(xiàn)業(yè)務(wù)訪問(wèn)的高安全性

        中標(biāo)喜訊 | 芯盾時(shí)代中標(biāo)江蘇省蘇豪控股集團(tuán) 零信任實(shí)現(xiàn)業(yè)務(wù)訪問(wèn)的高安全性
        的頭像 發(fā)表于 03-26 14:07 ?337次閱讀
        芯盾時(shí)代中標(biāo)江蘇省蘇豪控股集團(tuán) 零<b class='flag-5'>信任</b>實(shí)現(xiàn)業(yè)務(wù)訪問(wèn)的高<b class='flag-5'>安全性</b>

        音視頻解碼硬件加速:實(shí)現(xiàn)更流暢的播放效果

        隨著多媒體內(nèi)容的日益豐富和高清化,傳統(tǒng)的軟件解碼已經(jīng)難以滿足人們對(duì)流暢播放體驗(yàn)的需求。因此,音視頻解碼硬件加速技術(shù)的出現(xiàn),為提升播放效果帶來(lái)了革命
        的頭像 發(fā)表于 02-21 14:40 ?880次閱讀
        音視頻<b class='flag-5'>解碼</b>器<b class='flag-5'>硬件</b>加速:實(shí)現(xiàn)更流暢的播放效果

        分布式無(wú)紙化交互系統(tǒng)如何實(shí)現(xiàn)信息的安全性和保密?

        分布式無(wú)紙化交互系統(tǒng)可以通過(guò)以下幾種方式實(shí)現(xiàn)信息的安全性和保密: 數(shù)據(jù)加密 :對(duì)會(huì)議內(nèi)容、文件和通信進(jìn)行端到端加密,確保數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的安全性。 身份驗(yàn)證和授權(quán)管理 :實(shí)施嚴(yán)格的身份驗(yàn)證
        的頭像 發(fā)表于 01-15 15:44 ?359次閱讀

        為工業(yè)應(yīng)用選擇高安全性功率繼電器

        為工業(yè)應(yīng)用選擇高安全性功率繼電器
        的頭像 發(fā)表于 12-05 15:11 ?418次閱讀
        為工業(yè)應(yīng)用選擇高<b class='flag-5'>安全性</b>功率繼電器