在代码或数据存储方面,公司可以投资一系列安全功能,以防止恶意攻击,确保数据完整性和隐私。安全启动已巩固了其在存储领域的价值,并已成为数据、代码存储和操作系统不可或缺的安全功能。该功能通过确保系统安全状态和建立固有的信任链(CoT)获得了这一赞誉--这两个概念在当今的数字环境中越来越有价值。
虽然该功能通常与操作系统(OS)有关,但事实上,安全启动可在各种存储设备(固态硬盘、USB 驱动器和 SD 卡)的各个层面上实现,并在 NAND 闪存控制器固件内部建立上述信任链方面发挥着不可或缺的作用。
简而言之,安全启动有一个主要目标:防止攻击者任意执行代码(ACE),因为拥有 ACE 的黑客可以获得未经授权的访问权限,躲避安全措施,并控制系统。为防止攻击者获得 ACE,安全启动需要在执行/启动特定设备前验证固件/软件的完整性和真实性。安全启动在启动过程中通过检查数字签名来验证设备固件的完整性,如图 1 所示。固件镜像使用加密密钥进行数字签名。在设备上,只有公共密钥以防止未经授权访问或修改的方式存储。如果固件被篡改或修改,签名将不匹配,固件将无法执行。
图 1. 安全启动过程相比之下,测量启动并不强制执行安全系统状态,而是向验证者报告系统状态。它通常与安全启动一起实施。
安全启动及其在建立信任链(CoT)中的作用
安全启动是建立信任链(CoT)的关键功能。CoT 等式中的第一个组件称为信任根 (RoT),由于没有之前的 "链中环节 "来验证,因此无法验证。因此,RoT 必须具有固有的可信度,换句话说,就是不能被破坏。
在 NAND 闪存控制器中,RoT 包括引导-ROM(第一个执行的软件)。RoT 应尽可能小/接口有限,且只包含不可更改的组件(mask-ROM、硬件组件、eFuse)。当涉及闪存控制器的安全启动功能时,RoT(引导-ROM)会检查第一个组件(即 ROM 扩展)的签名,并验证该组件的可信度。从这里开始,固件可以通过现在已被信任的 ROM 扩展进行验证,固件可以验证固件扩展,扩展可以验证存储在闪存中的主机固件/软件,等等。
这就形成了如图 2 所示的 CoT,指的是用于建立和验证计算机系统各组件完整性和真实性的一系列步骤或过程,并确保系统是从可信来源启动的。通过建立 CoT,安全启动有助于抵御各种类型的攻击,包括恶意软件和其他形式的恶意软件。它可确保在启动过程中只加载受信任的组件,并有助于防止攻击者获得系统控制权或窃取敏感数据。
图 2:信任链(CoT信任链 (CoT) 从信任根 (RoT) 开始验证可信度。
安全启动为何重要?
生态系统的完整性:安全启动有助于维护设备的完整性。它能确保使用已知和可信的软件组件启动设备,防止执行未经授权或篡改的代码。虽然所有安全系统都必须有一个信任链,但保护信任链的第一层尤为重要,因为 "不可信 "会随着信任链的层层累积。
遵守安全标准:许多行业标准和法规,尤其是金融、医疗保健和政府部门,都要求使用安全启动机制,通过确保系统安全状态来保护敏感数据。通过将安全启动作为一项功能,存储系统可以满足这些合规性要求,并确保设备遵守必要的安全标准。
安全启动的不同级别:对称和非对称
必须知道,安全启动有不同的安全级别。安全级别取决于多种因素,包括功能的实现、所用加密算法的强度以及为防止系统被篡改而采取的措施。
安全启动最基本的实现方式是使用带有全局密钥(所有设备的密钥相同)的对称信息验证码。如果攻击者从任何设备中提取到该密钥,就可以在所有设备上运行任意固件。这为防止恶意固件攻击和未经授权的系统访问提供了基本的安全保障,但也有其不足之处。
因此,非对称数字签名更为可取,设备只存储一个公开密钥。这个密钥不能用来签署固件,只能用来验证签名。尽管如此,如果攻击者获得了相应的私钥(只有制造商知道),他们仍然可以在未经授权的情况下访问并修改固件。
如果私钥(只有制造商知道)被公开,公司有两种方法可以减轻损失并做出相应的反应。最简单的方法是轮流使用多个公开密钥,这些密钥可以很快被禁用。更安全的方法是制造商使用 PKI 证书,一旦私钥泄露,证书就会被撤销。PKI 证书包含一个公开密钥和其他信息,如名称/产品 ID 和制造商信息。证书由认证机构(CA)进行数字签名,认证机构同样拥有证书。这个信任根一直延伸到根 CA,根 CA 是受公众信任的。
确保 NAND 闪存设备的安全启动
虽然原始设备制造商正在采取更多措施来保护数据安全,但许多(物联网)设备仍然不包含任何基于硬件的 RoT 机制,如可信平台模块(TPM),以提供额外的安全性。虽然 TPM 非常有效且坚固耐用,但其 PCB 基底面以及增加的材料清单(BoM)是其缺点。要在不影响空间的情况下实现类似的安全级别,一种更具成本效益的变通方法是在芯片内集成一个高端 NAND 闪存控制器和一个安全等级的 e-Fuse 作为 RoT。所有基于 NAND 闪存技术的存储设备都需要闪存控制器,这是一个不可避免的组件。
图 3.主机 IF 和 NAND 闪存 IF 之间是 NAND 闪存控制器。该图显示了构成闪存控制器、固件、加密 HW、安全启动功能和 GPIO 的不同元素,为我们打开了一个充满可能性的世界。
Hyperstone 是一家工业级闪存控制器供应商,已将安全启动功能集成到其控制器技术中,以确保工业级存储设备的数据存储设计中已嵌入这一功能。