Những điều cơ bản về an ninh mạng: Secure boot

13/07/2023 Đăng bởi: Aucontech HMS Network VN

 

So sánh số trên máy tính với số của thiết bị IoT sẽ dùng (điện thoại thông minh, đồng hồ được kết nối của bạn, cân, máy ảnh, loa, hệ thống tự động hóa tại nhà…) rồi so sánh những con số đó với ba năm trước, ...

Chúng ta tương tác hàng ngày với ngày càng nhiều các kết nối. Xu hướng này không chỉ xuất hiện trong bán lẻ mà còn trong các lĩnh vực khác như chăm sóc sức khỏe, nông nghiệp, giáo dục, giao thông, thành phố thông minh và ngành công nghiệp nói chung.

Mỗi phần thông tin được thu thập đều cho thấy giá trị của nó tăng lên khi được kết nối với thiết bị khác. Nhiều hơn thế nữa, các thiết bị IoT thu thập và xử lý dữ liệu nhạy cảm, chứ không riêng mỗi dữ liệu cá nhân.

Eldorado mới này thu hút các tin tặc được thúc đẩy doanh thu đến từ hành vi trộm cắp, tống tiền, gián điệp, tin tặc và các đối thủ cạnh tranh, những người nhìn thấy tiềm năng gây rối, chính phủ cũng đang tìm kiếm về lợi thế chiến thuật hoặc về chính trị.

Khi IT truyền thống đã đạt đến sự phát triển nhất định, sự phát triển nhanh chóng của IoT và công nghiệp IoT cho thấy ngày càng nhiều ví dụ về việc triển khai bảo mật không đúng cách.

Hãy tưởng tượng ví dụ một thiết bị (I)IoT khởi động trên mã đã bị hacker giả mạo. Trong trường hợp này, bất kỳ biện pháp bảo vệ nào được triển khai ở các lớp cao cấp cũng không thể bảo vệ thiết bị.

Bảo mật thiết bị IoT phải bắt đầu ngay tại thời điểm đối tượng được bật nguồn.

Việc thực thi mã xác thực và đáng tin cậy bắt đầu bằng việc khởi động thiết bị một cách an toàn.

Secure boot  là quá trình đảm bảo rằng chỉ phần mềm chính hãng, được nhà sản xuất xác thực mới chạy trên thiết bị. Nếu không có Secure boot, xâm nhập đó có thể đưa hệ điều hành của nó hoặc phần mềm giả mạo vào thiết bị của bạn, thậm chí đánh chặn các bí mật bằng cách can thiệp giữa các giai đoạn khởi động khác nhau.

Với sự lựa chọn của bộ xử lý i.MX và chức năng High Assurance Boot (HAB) cộng với SE050 Ewon Cosy+ gợi ý secure boot an toàn, đảm bảo rằng chỉ mã do Ewon ký mới được thực thi.

High Assurance Boot dựa trên các thuật toán mật mã không đối xứng được gọi là chữ ký, trong đó dữ liệu hình ảnh được ký ngoại tuyến bằng cách sử dụng khóa riêng. Sau đó, hình ảnh đã ký kết quả được xác minh trên bộ xử lý i.MX bằng các khóa công khai tương ứng.

Các khóa công khai trên i.MX không thể thay đổi nhờ cầu chì có thể lập trình điện (eFuses) không thể sửa đổi sau khi lập trình.

Secure boot hoạt động như thế nào?

Có 2 điều kiện cần thiết:

• Các phần tử cần xác định được ký bởi các khóa riêng của Ewon.

• Khóa công khai phiên bản băm (SHA256 SRK) được sử dụng để xác minh chữ ký này được viết trong eFuses.

Khi khởi động, mã bootROM (không thể làm giả) sẽ kiểm tra trạng thái eFuses để chọn phương pháp khởi động an toàn. BootROM tìm áp dụng chính xác bộ áp dụng khởi động, chữ ký của nó và khóa công khai được sử dụng để ký nó.

Nó tính toán hàm băm của khóa công khai và kiểm tra nó với phiên bản băm của chính nó bị cháy trong eFuses (SHA256 SRK) để xác định nó có thể xác minh chữ ký hay không.

Chỉ khi các khóa trùng khớp thì chữ ký mới được kiểm tra. Nếu chữ ký khớp, bootloader sẽ được tải về.

Bootloader sử dụng cách tiếp cận tương tự để tải Linux đã ký, từ đó khởi chạy ứng dụng Ewon đã ký.

Chuỗi xác minh này là chuỗi tin cậy. Bất kỳ sự gián đoạn nào trong chuỗi này, tức là bất kỳ sự thiếu xác minh chữ ký nào đều dẫn đến sự thất bại của quá trình khởi động.

Không còn nghi ngờ gì nữa, Cosy+ đã thiết lập một tiêu chuẩn bảo mật mới trong ngành.

 Tags: Ewon Ewon cosy IoT
zalo