中国存储网消息,嵌入式系统被应用于无数行业,推动了从消费科技到医疗设备和汽车行业等多个领域的变革。这些系统现在执行复杂的功能,影响安全性、运营效率和用户信心。
虽然这种功能增强对许多行业具有突破性意义,但也增加了攻击面,使嵌入式AI设备更易受到网络攻击。网络犯罪分子试图以这些设备为目标,窃取知识产权或引入恶意代码以改变系统运行。
嵌入式系统的安全启动为其他固件和软件层提供了基础。密码密钥管理不足对安全启动过程构成重大威胁。当网络攻击者绕过安全启动机制并安装未经授权的固件时,就会发生这种情况。使用静态的长期密钥会产生可预测的漏洞,其后果不仅限于数据泄露,还可能影响设备的安全性和可靠性。
制造商必须评估密钥管理不当相关的具体风险,并确定有效的策略以防止这些漏洞。
安全启动中密钥管理薄弱的风险
启动密钥管理,即创建确保系统启动过程中软件真实性和完整性的密码密钥的过程,对于确保系统在启动前不被攻破至关重要。当这一过程正确实施时,可以作为抵御各种攻击的第一道防线。被攻破或暴露的密钥可能使攻击者绕过安全启动,注入恶意固件。
Bootkit 是一种旨在感染系统引导加载程序或启动进程的恶意软件,可能对系统构成严重威胁。通过破坏早期状态系统组件,恶意软件可以以最高权限运行并绕过传统的安全方法。Bootkit 通常很难检测,并且是 Google 威胁情报小组确定的当前趋势的一部分。最近的一份报告显示,数百万 Windows 11 用户因影响安全启动的漏洞而面临风险,该漏洞可能允许恶意行为者完全禁用安全启动。
如果维护安全启动过程的加密密钥管理不善,网络犯罪分子可能会利用这一点绕过这些保护。静态的长期密钥为网络犯罪分子创造了可预测的目标,增加了系统范围的入侵风险。静态密钥只生成一次,并在产品生命周期内重复使用。然而,这也为网络犯罪分子提供了可预测的攻击途径。
在安全关键环境中,对嵌入式系统的篡改可能导致关键基础设施组织的故障。网络安全与基础设施安全局的一份报告建议关键基础设施组织审计可在启动时加载的早期系统配置,以确保无漏洞代码在启动时被加载。这些审计有助于识别关键配置或固件验证流程中的弱点,这些弱点可能危及设备完整性。
嵌入式系统制造商的最佳实践
第一道防线是实现硬件信任根。这可以通过平台特定的安全元件或可信平台模块(TPM)实现,具体取决于架构。TPM对于管理密钥和在基于x86的系统上实现安全启动非常有用,而其他片上系统(SoC)如NVIDIA的系统则可能拥有自己的集成安全启动基础设施。
一个关键挑战是防止密钥泄露。加密密钥可能因软件缺陷、密钥管理不善甚至物理访问而暴露给未经授权的用户。制造商可以通过使用硬件安全模块(HSM)来防止密钥泄露。这些HSM是设计为防篡改和硬化的设备。它们旨在保障加密过程,并用于在整个生命周期中安全地生成、存储和管理加密密钥。
在制造过程中,安全配置是另一个漏洞点。如果在此过程中密钥被篡改,攻击者可能会在设备部署到现场之前获得对设备的访问权限。制造商应实施安全配置流程,例如加密密钥注入、经过身份验证的供应链渠道和访问控制,以确保没有人能够在未经授权的情况下获得访问权限。当供应链中有多个供应商时,这一点尤为重要。
为了最大限度地降低暴露风险,制造商应采用安全的生命周期密钥轮换策略来刷新加密密钥。虽然由于硬件限制,频繁轮换对于安全启动密钥并不总是可行的,但当出现逻辑机会时,应刷新密钥。
制造商可以实施自动化系统,以设定的时间间隔轮换密钥,并利用密钥派生函数创建新密钥,而无需将基本密钥暴露给外部环境。这降低了与长期密钥使用相关的风险。
即使采取了广泛的安全措施,系统仍可能被攻破,在某些情况下可能需要密钥撤销机制。部分SoC可能配备安全启动钥匙,制造过程中会熔合,且无法在没有物理接触的情况下更换。然而,制造商可以设计允许密钥撤销列表(KRL)的设备,当密钥不再被信任时,这些列表作为屏蔽列表。或者,他们也可以实现二级验证链,在不更换硬件的情况下禁用被攻破的密钥。
构建安全的嵌入式系统
安全的启动流程和强有力的密钥管理构成了可信供应链的基础。重视安全措施的制造商能提升产品的可靠性、安全性和用户信任度。保持强有力的安全措施也为竞争优势提供了优势,因为网络犯罪分子日益先进,试图通过各种方式控或访问系统。
监管压力可能会增加,这使得强大的密钥管理不仅成为最佳实践,而且成为合规性的必要条件。投资安全启动流程的制造商不仅可以保护设备,还可以确保它们符合任何监管要求。