讓系統無(wú)懈可擊

作者/Eustace Asanghanwa Microchip策略營(yíng)銷(xiāo)經(jīng)理

　　引言

　　對于任何一個(gè)嵌入式系統而言，安全啟動(dòng)都是至關(guān)重要的一個(gè)組成部分。這一過(guò)程可保證系統固件，即所有嵌入式系統的大腦與系統制造商的設計初衷保持一致。安全啟動(dòng)確保了嵌入式系統的操作是安全并且可預測的。它的價(jià)值在那些因出現故障而可能導致災難性后果的系統中是顯而易見(jiàn)的。類(lèi)似重要的系統包括家用爐灶和一體式烤箱灶的熱控制器、汽車(chē)的發(fā)動(dòng)機控制模塊、交通燈控制器、植入式醫療設備中的治療傳輸系統，以及無(wú)人駕駛列車(chē)的控制器等。這些系統可能會(huì )因為運行它們的固件發(fā)生故障而出現失靈或不可預測的操作。而導致此類(lèi)故障的原因多種多樣，可能是由電源浪涌造成內存故障這樣的環(huán)境因素，也可能是黑客注入惡意代碼的執行等。無(wú)論在何種情況下，我們都可以在嘗試運行系統之前先通過(guò)安全啟動(dòng)過(guò)程來(lái)檢測固件的完整性。

　　安全啟動(dòng)一直都是在有需要的情況下才會(huì )被執行。雖然安全啟動(dòng)作為一個(gè)話(huà)題而言可能一貫很少被提及，但在很多關(guān)鍵系統中，一直有相應的法規和標準來(lái)強制執行安全啟動(dòng)，以保障這些系統的安全運行。因此，大部分的電腦鼠標或手持計算器等一些重要性被認為較低的系統都直接跳過(guò)了嚴格的安全啟動(dòng)過(guò)程，因為它們出現故障所導致的后果一般都很輕;然而，什么樣的構成可以稱(chēng)之為一個(gè)關(guān)鍵的嵌入式系統呢?這個(gè)定義正因為物聯(lián)網(wǎng)(IoT)的出現和普及而悄然發(fā)生著(zhù)變化。

　　1 IoT將安全啟動(dòng)推向最前沿

　　關(guān)鍵系統和非關(guān)鍵系統之間的差異正日漸縮小。隨著(zhù)IoT的出現，可以說(shuō)現在每個(gè)嵌入式系統都是一個(gè)關(guān)鍵系統。嵌入式系統不再像是一座孤島，所有的性能和故障都只限于其中。雖然IoT將嵌入式系統連接在一起提供了很大的好處，但是這種聯(lián)網(wǎng)的直接后果就是消除了遏制邊界?，F在，任何一個(gè)連入網(wǎng)絡(luò )的嵌入式系統都可能是潛在的風(fēng)險，而世界上任何一個(gè)人都可能成為潛在的受害者。

　　因注入故障到嵌入式系統的固件中而引發(fā)的潛在損害從來(lái)沒(méi)有像現在這樣大。像電源浪涌和通信錯誤等自然系統故障的發(fā)生大致上還是和以前一樣，所以傳統的安全啟動(dòng)過(guò)程還仍然有效。但是，人為注入故障尤其是惡意類(lèi)型故障的發(fā)生，無(wú)論是在種類(lèi)上還是復雜程度上都在迅速增長(cháng)。在過(guò)去，攻擊者需要獲取物理訪(fǎng)問(wèn)權限以便在每一個(gè)單獨的系統中插入惡意故障。而現在，由于各個(gè)系統都是聯(lián)網(wǎng)的，攻擊者只需攻擊其中的一個(gè)系統即可輕松獲得訪(fǎng)問(wèn)其它許多遠程系統的權限。這會(huì )導致大量設備被惡意控制，關(guān)鍵系統和存儲在云端的數據遭到惡意訪(fǎng)問(wèn)，或是因為黑客炫技而發(fā)生臭名昭著(zhù)的數據泄露事件。這也就是為什么我們有必要確保安全啟動(dòng)解決方案必須能夠抵御攻擊和故障注入的原因。

　　2保障啟動(dòng)過(guò)程

　　安全啟動(dòng)包含兩個(gè)基本的要素：檢測固件完整性的能力和對檢測過(guò)程完整性的保障。這些由來(lái)已久的要素很好理解，它們使用加密技術(shù)來(lái)實(shí)現各個(gè)目標，只在加密算法的復雜程度和保障檢測過(guò)程完整性的安全硬件方法這兩方面有所演變。

　　檢測固件的完整性涉及使用加密技術(shù)來(lái)創(chuàng )建指紋，即一小段壓縮的數字編碼，可用來(lái)表示固件并且輕松地檢測出變化。這種加密技術(shù)屬于一類(lèi)可生成指紋摘要、被稱(chēng)為散列函數的加密算法。常用的256位安全散列算法，或簡(jiǎn)稱(chēng)為SHA256，可生成長(cháng)度為256位的摘要。SHA256是最新的散列算法，雖然它既不是最緊湊的也算不上最精細的，但是它卻在安全性與嵌入式系統資源的有效使用二者之間取得了較好的平衡，這些嵌入式系統資源包括電源、代碼空間和計算資源等。

　　為了設置和實(shí)現安全啟動(dòng)，嵌入式系統制造商在工廠(chǎng)制造過(guò)程中即對最終的操作固件進(jìn)行了散列，并在嵌入式系統中同時(shí)安裝了固件和摘要。在實(shí)際操作過(guò)程中，嵌入式系統中的一段檢測代碼會(huì )對操作固件進(jìn)行散列，并將所得的摘要與工廠(chǎng)安裝的摘要進(jìn)行比較。如果摘要完全匹配，即說(shuō)明操作代碼的完整性沒(méi)有受損。

　　為了確保檢測過(guò)程的完整性，最理想的做法是將檢測代碼放在諸如ROM(只讀存儲器)等類(lèi)型的非可變存儲器中，使其不易受到電源浪涌等環(huán)境故障矢量以及內存修改疏忽等其它存儲損壞情況的影響。為了響應快速變化的市場(chǎng)需求，我們通常會(huì )使用鎖定版的非易失性存儲器技術(shù)，比如閃存和EEPROM，或是類(lèi)似代替ROM的TrustZone?技術(shù)等專(zhuān)用執行環(huán)境。

　　3保護啟動(dòng)過(guò)程免遭攻擊

　　上述的安全啟動(dòng)過(guò)程在沒(méi)有惡意故障注入的情況下是充分夠用的，然而，這種情況在我們生活的真實(shí)世界中并不典型。攻擊者只需要創(chuàng )建自己的固件以及相應的散列摘要并將二者都安裝到系統中即可擊敗安全啟動(dòng)過(guò)程。這破壞了檢測的完整性，因此我們需要有一個(gè)驗證檢測過(guò)程。

　　該驗證檢測過(guò)程需要使用諸如密鑰這樣的秘密信息，并生成固件的認證摘要或是簡(jiǎn)單的一個(gè)證書(shū)(圖1)。之所以這樣設計，是因為對手如果想要阻撓檢測系統正常工作就需要知道相同的秘密信息以生成一對一致的固件 - 簽名?？紤]到操作代碼的驗證過(guò)程也需要訪(fǎng)問(wèn)同樣的秘密信息，嵌入式系統很可能會(huì )被攻擊者拆解，試圖找出秘密信息。而構建高級嵌入式系統所需分析工具與技術(shù)復雜性的大幅提升也為攻擊者提供了意想不到的幫助，使他們能夠直接或通過(guò)相關(guān)服務(wù)訪(fǎng)問(wèn)這些工具以達到其利用系統的目的。

　　圖1 最佳的通用啟動(dòng)過(guò)程，包括簽名操作固件的工廠(chǎng)準備和現場(chǎng)驗證

　　Factory Preparation -- 工廠(chǎng)準備

　　Operational Firmware -- 操作固件

　　Firmware Digest -- 固件摘要

　　EDCSA Sign -- EDCSA簽名

　　Boot KPRIV -- 啟動(dòng)私鑰

　　Boot KPUB -- 啟動(dòng)公鑰

　　Crypto Element -- 加密元件

　　Firmware Signature -- 固件簽名

　　Application Secure Boot -- 應用安全啟動(dòng)

　　Flash Memory -- 閃存

　　Boot Code -- 啟動(dòng)代碼

　　Boot Process -- 啟動(dòng)過(guò)程

　　EDCSA Verify -- EDCSA驗證

　　ROM or TrustZone – ROM或TrustZone

　　不出現特殊情況的話(huà)，我們很容易想象出嵌入式系統開(kāi)發(fā)人員和攻擊者之間這個(gè)猶如貓和老鼠的游戲接下來(lái)會(huì )如何發(fā)展。要不是出現了一種特殊類(lèi)型的叫做加密元件(CE)的集成電路，那么這個(gè)游戲還將繼續下去。

　　4加密元件適時(shí)阻止攻擊

　　加密元件(CE)是專(zhuān)門(mén)設計用于抵御諸如嘗試檢索機密內容或篡改等攻擊行為的集成電路。執行帶有CE的安全啟動(dòng)操作提供了驗證固件檢測和驗證過(guò)程中所需的完整性。CE可以集成到控制器或獨立的元器件中，為系統架構師提供所需的靈活性以迎合其部署需求。

　　5對稱(chēng)與非對稱(chēng)密鑰加密技術(shù)

　　雖然安全啟動(dòng)的基本要素即檢測和過(guò)程保持不變，但是我們卻可以選擇對稱(chēng)密鑰加密或非對稱(chēng)密鑰加密技術(shù)來(lái)實(shí)現這兩大要素，以控制整個(gè)啟動(dòng)驗證過(guò)程。

　　對稱(chēng)密鑰加密技術(shù)在安全啟動(dòng)過(guò)程的出廠(chǎng)設置和現場(chǎng)驗證兩個(gè)階段均使用相同的密鑰或相同密鑰的導數。如圖2和圖3所示，基于SHA256算法的驗證啟動(dòng)過(guò)程就是一個(gè)對稱(chēng)密鑰啟動(dòng)過(guò)程的示例?；趯ΨQ(chēng)密鑰的啟動(dòng)過(guò)程具備速度方面的優(yōu)勢，但是在保證供應鏈中啟動(dòng)密鑰的機密性方面卻可能會(huì )遭遇困難。因此，封閉的生態(tài)系統是最受大家歡迎的，因為只有唯一的一個(gè)實(shí)體掌握其中的密鑰。

　　圖2 采用對稱(chēng)密鑰保障安全啟動(dòng)的出廠(chǎng)設置

　　OEM prepares final operational code and signs it with a private key. -- OEM廠(chǎng)商準備最終操作代碼并使用私鑰進(jìn)行簽名。

　　Firmware Binary -- 固件二進(jìn)制

　　Signing Secret Key -- 簽署密鑰

　　OEM delivers signed firmware to CM. -- OEM廠(chǎng)商向CM交付簽名固件。

　　Signed Firmware -- 簽名固件

　　OEM assembles both firmware and CE into the embedded system. -- OEM廠(chǎng)商將固件和CE一起組裝到嵌入式系統中。

　　OEM securely delivers signing secret key to CE manufacturing systems via a Hardware Secure Module. -- OEM廠(chǎng)商通過(guò)硬件安全模塊將簽名密鑰安全地交付給CE制造系統。

　　CE Partner -- CE合作廠(chǎng)商

　　CE partner provisions and ships CE to OEM. -- CE合作廠(chǎng)商供應和交付CE給OEM廠(chǎng)商。

　　圖3 對稱(chēng)密鑰流驗證過(guò)程

　　System Processor -- 系統處理器

　　Firmware Binary -- 固件二進(jìn)制

　　Signature -- 簽名

　　Secure Element -- 安全元件

　　Signing Secret Key -- 簽署密鑰

　　Validate -- 驗證

　　OR -- 或

　　非對稱(chēng)密鑰加密技術(shù)(圖4)在安全啟動(dòng)過(guò)程的出廠(chǎng)設置和現場(chǎng)驗證階段則使用單獨的密鑰，這兩個(gè)密鑰之間的關(guān)系由諸如橢圓曲線(xiàn)加密技術(shù)(ECC)等加密算法來(lái)控制。ECC被用在一種叫做橢圓曲線(xiàn)數字簽名算法(ECDSA)的特殊協(xié)議中，該協(xié)議常應用于固件簽名和驗證。通常情況下，原始設備制造商(OEM)都擁有多家合作廠(chǎng)商來(lái)為其供應構成嵌入式系統的子系統或某個(gè)系統的替代資源。

　　圖4 開(kāi)放式合作伙伴生態(tài)系統中的安全啟動(dòng)設置

　　OEM signs firmware partners to authorizing them to create legitimate operational firmware. -- OEM廠(chǎng)商簽署固件合作廠(chǎng)商，授權其創(chuàng )建合法的操作固件。

　　Firmware Partner -- 固件合作廠(chǎng)商

　　Respective firmware partner independently signs their operational firmware. -- 各個(gè)固件合作廠(chǎng)商獨立對其操作固件進(jìn)行簽名。

　　Respective firmware partner delivers signed firmware to OEM. -- 各個(gè)固件合作廠(chǎng)商向OEM廠(chǎng)商交付簽名固件。

　　Signed Firmware -- 簽名固件

　　OEM assembles both firmware and CE into the embedded system. -- OEM廠(chǎng)商將固件和CE一起組裝到嵌入式系統中。

　　OEM signs manufacturing partners to provision CE with identities and secrets. -- OEM廠(chǎng)商簽署制造伙伴以為其供應帶有身份和秘密信息的CE。

　　CE Partner -- CE合作廠(chǎng)商

　　CE partner provisions and ships CE to OEM. -- CE合作廠(chǎng)商供應和交付CE給OEM廠(chǎng)商。

　　使用非對稱(chēng)密鑰過(guò)程，例如ECDSA，也適用于安全散列算法SHA。在實(shí)踐中，SHA256會(huì )檢測操作固件以創(chuàng )建一個(gè)摘要，然后使用ECDSA協(xié)議對摘要進(jìn)行簽名以完成整個(gè)驗證固件過(guò)程。這樣生成的簽名就是一個(gè)附有操作固件并可安裝到嵌入式系統中的證書(shū)(圖5)。

　　圖5 非對稱(chēng)密鑰流的現場(chǎng)驗證過(guò)程

　　Firmware Binary -- 固件二進(jìn)制

　　ECDSA Verify -- EDCSA驗證

　　Firmware Certificate -- 固件證書(shū)

　　Software Partner Certificate -- 軟件合作伙伴證書(shū)

　　OEM Root Certificate -- OEM根證書(shū)

　　Device Unique Certificate -- 設備唯一證書(shū)

　　CE Partner Certificate -- CE合作伙伴證書(shū)

　　System Processor -- 系統處理器

　　Random Challenge -- 隨機挑戰

　　Crypto Element -- 加密元件

　　Device Unique Private Key -- 設備唯一私鑰

　　ECDSA Sign -- ECDSA簽名

　　1. Verifies firmware is legitimate and came from an approved partner. -- 驗證固件是否合法且由許可合作伙伴提供。

　　2. Verifies CE device is legitimately provisioned by a sanctioned partner. -- 驗證CE器件是否由許可合作伙伴合法供應。

　　3. Proves the embedded system is a legitimate one by virtue of possessing knowledge of the private key. This is very important for remote systems that rely on the CE as a trust anchor. -- 借助掌握的私鑰相關(guān)知識來(lái)驗證嵌入式系統是否合法。這對于依靠CE作為信任基石的遠程系統而言至關(guān)重要。

　　非對稱(chēng)的密鑰結構需要一個(gè)私鑰和一個(gè)公鑰，前者必須保密且只被用于出廠(chǎng)設置，而與其在數學(xué)上相對應的后者則只用于現場(chǎng)驗證階段。公鑰可以被任何人查看而不影響啟動(dòng)過(guò)程的安全。因此，基于非對稱(chēng)密鑰的安全啟動(dòng)過(guò)程更適用于由多個(gè)實(shí)體共同構成的開(kāi)放式生態(tài)系統。

　　6適合制造業(yè)的安全啟動(dòng)

　　如果一個(gè)安全啟動(dòng)過(guò)程需要很高的生產(chǎn)物流成本，那么它很快就會(huì )被市場(chǎng)拋棄。因此，一個(gè)有效的安全啟動(dòng)過(guò)程應該是可以確定操作代碼和檢測過(guò)程的完整性且同時(shí)不會(huì )大幅增加生產(chǎn)流程的時(shí)間或成本。

　　雖然對于開(kāi)放式和封閉式生態(tài)系統而言最佳的選擇分別是不對稱(chēng)和對稱(chēng)密鑰啟動(dòng)過(guò)程，但是使用加密元件卻可以打破這個(gè)限制，使得任意一種啟動(dòng)過(guò)程都可以應用于任意一個(gè)生態(tài)系統并且同時(shí)還能保持密鑰的機密性。但是，非對稱(chēng)密鑰方法可以提供更多的自由度，令設計人員能夠在開(kāi)放式合作伙伴生態(tài)系統中輕松打造一個(gè)從數學(xué)角度看非常嚴謹的信任鏈維護過(guò)程。

　　7問(wèn)責制助力安全啟動(dòng)落實(shí)

　　嵌入式系統的安全啟動(dòng)過(guò)程一直以來(lái)都是由管理產(chǎn)品安全的相關(guān)法規和標準所推動(dòng)。當嵌入式系統是一個(gè)在物理上獨立的系統、一個(gè)孤島式的存在時(shí)，這種模式是非常有效的。然而隨著(zhù)IoT的出現，各個(gè)系統開(kāi)始連入物聯(lián)網(wǎng)，故障遏制邊界的消除不僅大大鼓勵了攻擊者，也大幅提高了各界對安全啟動(dòng)的關(guān)注度。事物的遠程可訪(fǎng)問(wèn)性意味著(zhù)我們能更容易地訪(fǎng)問(wèn)嵌入式系統，而這樣就令世界上任何一個(gè)地方的任何一個(gè)人都可能成為系統攻擊的潛在受害者。雖然通過(guò)事后調查分析可能會(huì )揭示出哪個(gè)設備是罪魁禍首、哪家制造商應該被追責，但是損害已然造成。為了限制相關(guān)責任，產(chǎn)品制造商正開(kāi)始采取積極的措施在他們的產(chǎn)品中集成防篡改安全啟動(dòng)過(guò)程，并添加加密元件來(lái)成功保障安全啟動(dòng)。