请选择 进入手机版 | 继续访问电脑版

TinTin Labs Board

 找回密码
 立即注册
查看: 121|回复: 0

锚定信任硬件安全启动故事

[复制链接]

1

主题

1

帖子

5

积分

新手上路

Rank: 1

积分
5
发表于 2022-11-6 19:02:26 | 显示全部楼层 |阅读模式
家安全公司我们以找到创新方法来保护我们的平台从而保护我们客户的数据而感到自豪这种方法的一部分是实施先进的方法来大规模保护我们的硬件。虽然我们在博客中介绍了如何解决从应用程序到内存的安全威胁,但对硬件和固件的攻击却大幅增加。国家漏洞数据库 (NVD)中编目的数据显示,硬件和固件级漏洞的频率逐年上升。 台式机和笔记本电脑中常见的安全启动等技术已被移植到服务器行业,作为对抗固件级攻击和保护设备启动完整性的一种方法。这些技术要求您创建信任“锚点”,即假定信任而非派生信任的权威实体。

常见的信任锚是系统基本输入/输出系统 (BIOS)或统一可扩展固件接口 (UEFI ) 固件 虽然这可确保设备仅启动已签名的固件和操作系统引导加载程序,但它是否 印度尼西亚电话号码 保护了整个启动过程?什么可以保护 BIOS/UEFI 固件免受攻击? 引导过程 在我们讨论如何保护我们的启动过程之前,我们将首先了解我们如何启动我们的机器。 上图显示了以下事件序列: 在系统上电后(通过基板管理控制器 (BMC)或物理按下系统上的按钮),系统无条件地执行驻留在主板上的闪存芯片上的 UEFI 固件。 UEFI 执行一些硬件和外围初始化并执行预启动执行环境 (PXE)代码。



这是一个通过网络启动映像的小程序通常驻留在网卡上的闪存芯片上 PXE 设置网卡并通过名为iPXE的开源引导固件下载并执行小程序引导加载程序。 iPXE 加载一个脚本,该脚本自动执行引导加载程序的一系列命令,以了解如何引导特定操作系统(有时是其中的几个)。在我们的例子中,它加载了我们的 Linux 内核initrd(这包含不直接编译到内核中的设备驱动程序)和一个标准的 Linux 根文件系统。加载这些组件后,引导加载程序执行并将控制权交给内核。 最后,Linux 内核加载它需要的任何其他驱动程序并启动应用程序和服务。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|TinTin Labs

GMT+8, 2022-11-27 23:39 , Processed in 0.026878 second(s), 21 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表