在前面的部分中，本系列文章探討了保護存儲平臺的各種方法，包括使用證明度量。在結束本系列時，我們將研究應考慮的其他措施，包括創(chuàng)建信任系統(tǒng)、確保所有組件制造都經過驗證、保護所有固件更新以及實施加密隱蔽性和安全調試模式。

信任

系統(tǒng) 假設右側圖 1 中所示的系統(tǒng)是服務器。它包含 CPU 復合體、BMC、板載閃存和受信任的安全處理器。

在 CPU 中運行的 BMC 或 BIOS 都不可信，因為服務器的固件經常更改并且是可修改的。該平臺的簡單、不可修改的安全處理器用于驗證存儲在串行外設接口 （SPI） 閃存中的固件，然后從重置中釋放依賴的受信任組件。

在某些情況下，安全芯片中包含不可修改的黃金映像，如果檢測到外部固件異常，它將引導系統(tǒng)。黃金映像可能只足以使系統(tǒng)啟動并運行，以便可以再次將其刷新到已知的良好狀態(tài)。如果有足夠的存儲空間，則可以恢復整個SPI閃存。

此安全處理器不僅承擔中介層角色，而且通常還具有與系統(tǒng)中的所有設備通信并驗證證明值的附加角色。這可確保系統(tǒng)下游運行的所有內容也通過一組已知的證明值受到信任。

制造標識和授權

許多業(yè)內人士都非常希望看到經過驗證的組件制造。圖 2 提供了如何實現(xiàn)此目的的示例。

經過驗證的制造試圖消除鑄造廠可能發(fā)生的安全漏洞。這些違規(guī)行為的例子包括掃地（收集未經驗證的零件）和盜竊整卷零件。在任何一種情況下，丟失的部分以后都可能被濫用。

為了防范這些風險，每個芯片都必須經過唯一標識和認證，并在制作時提供簽名證書。供應商保證它制造了零件，它是真實的，并且是可追溯的。這可確保以后可以撤銷錯放的部件。

我們認為，可以使用芯片中生成的密鑰，在特定部件的基礎上生成證書。另一種方法是證書注入，但這通常會導致錯誤、攔截和其他類型的安全問題。理想情況下，證書請求在部件內生成，對公共證書進行簽名，然后與部件一起存儲回去。

如果需要，客戶可以使用自己的證書頒發(fā)機構重新簽名部件。重新簽署的過程通常稱為所有權轉讓。在Microchip，我們提供實用程序，使所有權能夠從帶有Microchip密鑰的Microchip設備轉移到具有自己的證書和密鑰材料的另一家公司設備。

注入公司特定密鑰材料的公司完全控制硬件和固件的簽名和授權過程。這種方法的缺點是，公司還必須使用受保護的密鑰管理基礎結構來管理固件源、二進制代碼構建和簽名處理。建立這樣的基礎設施可能是一項極其復雜的任務。

安全固件更新

2019 年 800 月發(fā)布的一個眾所周知的規(guī)范描述了一種在芯片上管理固件的好方法：NIST 文檔 SP193-800。下面是從規(guī)范文檔派生的流之一。SP193-3 涵蓋了其他內容，該圖并非旨在記錄整個規(guī)范。如圖 《》 所示，首先將映像解壓縮到非持久性區(qū)域，以確保在未清除驗證過程時在重新啟動時丟失映像。驗證測試通過運行受信任的固件來執(zhí)行。如果下載的固件通過驗證，則映像將移動到持久區(qū)域。

將映像移動到閃存并完成完整的安全啟動過程后，區(qū)域 1 中的映像現(xiàn)在將復制到 SPI 閃存的 2 區(qū)域。

編程步驟完成后，安全固件管理過程會檢測是否應在ASIC中撤銷公鑰。提醒一下，公鑰用于驗證映像并匹配固件的給定私有簽名密鑰。撤銷可能在各種情況下發(fā)生，但應該不常見。

加密晦澀難懂

與硬件組件相關的數(shù)據(jù)加密可防止檢查可能導致泄露的詳細信息?；诠碳募用苊荑€可以幫助通過各種分發(fā)渠道傳輸固件。唯一的ASIC加密密鑰將允許保護下面圖4右側的所有數(shù)據(jù)流免受檢查或遷移。所有存儲在片外的數(shù)據(jù)都將綁定到正在使用的特定ASIC，不能重復使用，也不能變得有用。

安全調試模式

調試會話在計算行業(yè)中是必需的，盡管所有相關人員都盡了最大努力。調試模式的固有問題是，它可能向有惡意的個人敞開大門。調試可實現(xiàn)侵入式檢查、調試固件加載和操作狀態(tài)更改。

安全調試從關閉調試入口點（如JTAG或UART）的概念開始。進入調試模式需要特定于相關部件的受控授權過程。收集特定于器件的信息，并將使用該信息的授權令牌返回到器件以激活調試。激活后，可以打開端口并加載調試固件。授權令牌和調試版本僅限于單個部件和給定的調試會話，并且不能重復使用。

審核編輯：郭婷