安全启动
在启动时防御安全漏洞
如果计算机不受保护,则在引导过程中很容易受到攻击。内核,硬件外围设备和用户空间进程都是在引导时启动的,引导固件中的任何漏洞都可能对整个系统产生连锁效应。
在启动固件受到攻击的情况下,损失是如此巨大以至于只能通过经常更换硬件,这唯一的方法来解决。在工业物联网场景中,这意味着大量的停机时间,可能需要在多个位置进行手动维护以及用于硬件更换的资本支出。这是完全不希望看到的结果。
完整性验证
在用户空间进程建立信任之前,必须先验证引导固件的完整性。因此,需要一个安全机制来建立完整性。
这种机制应在底层计算机初始化固件(例如UEFI)中实施,因为这样底层的引导过程完整性验证可确保设备在安全状态下启动。
适用于启动完整性检测的标准要求和建议如下(NIST 800-155):
- 使端点能够在启动时检测所有可执行文件和配置元数据的完整性
- 完整性检测传输安全
- 提供必要的硬件支持,以实现用于完整性检测的可信信任根
信任根是确定完整性的最关键元素。其可以通过安全元素或受信任的平台模块(TPM)在硬件中实现,或使用加密库(受信任的执行环境)在软件中进行编码。
Ubuntu Core上的安全启动
ARM和x86
Ubuntu Core为其安全启动过程抽象了信任根的实现。因此,可为ARM和X86 SoC开启Ubuntu Core安全启动。
预认证的开发板免费
安全启动已在认证的设备上可用,比如树莓派,无需额外成本。在未认证的开发板上,完整的认证Ubuntu Core需要适配费用。
如何工作
Ubuntu Core 20默认对启动过程进行认证,认证基于数字签名的验证。
信任链
引导顺序中的每个组件都以密码方式验证引导顺序中后续组件的真实性。在将每个组件加载到内存空间运行时之前,都要对其进行检测。如果检测到不正常或未签名的组件,引导过程将停止。
数字密钥
Ubuntu Core支持硬件和软件信任根,以实现安全启动。安全管理员可通过在安全元素,TPM设备或软件TEE中创建和存储用于验证启动顺序的数字密钥。
