讓系統(tǒng)無懈可擊

作者/Eustace Asanghanwa Microchip策略營銷經(jīng)理

　　引言

　　對于任何一個嵌入式系統(tǒng)而言，安全啟動都是至關(guān)重要的一個組成部分。這一過程可保證系統(tǒng)固件，即所有嵌入式系統(tǒng)的大腦與系統(tǒng)制造商的設(shè)計初衷保持一致。安全啟動確保了嵌入式系統(tǒng)的操作是安全并且可預(yù)測的。它的價值在那些因出現(xiàn)故障而可能導(dǎo)致災(zāi)難性后果的系統(tǒng)中是顯而易見的。類似重要的系統(tǒng)包括家用爐灶和一體式烤箱灶的熱控制器、汽車的發(fā)動機控制模塊、交通燈控制器、植入式醫(yī)療設(shè)備中的治療傳輸系統(tǒng)，以及無人駕駛列車的控制器等。這些系統(tǒng)可能會因為運行它們的固件發(fā)生故障而出現(xiàn)失靈或不可預(yù)測的操作。而導(dǎo)致此類故障的原因多種多樣，可能是由電源浪涌造成內(nèi)存故障這樣的環(huán)境因素，也可能是黑客注入惡意代碼的執(zhí)行等。無論在何種情況下，我們都可以在嘗試運行系統(tǒng)之前先通過安全啟動過程來檢測固件的完整性。

　　安全啟動一直都是在有需要的情況下才會被執(zhí)行。雖然安全啟動作為一個話題而言可能一貫很少被提及，但在很多關(guān)鍵系統(tǒng)中，一直有相應(yīng)的法規(guī)和標(biāo)準(zhǔn)來強制執(zhí)行安全啟動，以保障這些系統(tǒng)的安全運行。因此，大部分的電腦鼠標(biāo)或手持計算器等一些重要性被認(rèn)為較低的系統(tǒng)都直接跳過了嚴(yán)格的安全啟動過程，因為它們出現(xiàn)故障所導(dǎo)致的后果一般都很輕;然而，什么樣的構(gòu)成可以稱之為一個關(guān)鍵的嵌入式系統(tǒng)呢?這個定義正因為物聯(lián)網(wǎng)(IoT)的出現(xiàn)和普及而悄然發(fā)生著變化。

　　1 IoT將安全啟動推向最前沿

　　關(guān)鍵系統(tǒng)和非關(guān)鍵系統(tǒng)之間的差異正日漸縮小。隨著IoT的出現(xiàn)，可以說現(xiàn)在每個嵌入式系統(tǒng)都是一個關(guān)鍵系統(tǒng)。嵌入式系統(tǒng)不再像是一座孤島，所有的性能和故障都只限于其中。雖然IoT將嵌入式系統(tǒng)連接在一起提供了很大的好處，但是這種聯(lián)網(wǎng)的直接后果就是消除了遏制邊界?，F(xiàn)在，任何一個連入網(wǎng)絡(luò)的嵌入式系統(tǒng)都可能是潛在的風(fēng)險，而世界上任何一個人都可能成為潛在的受害者。

　　因注入故障到嵌入式系統(tǒng)的固件中而引發(fā)的潛在損害從來沒有像現(xiàn)在這樣大。像電源浪涌和通信錯誤等自然系統(tǒng)故障的發(fā)生大致上還是和以前一樣，所以傳統(tǒng)的安全啟動過程還仍然有效。但是，人為注入故障尤其是惡意類型故障的發(fā)生，無論是在種類上還是復(fù)雜程度上都在迅速增長。在過去，攻擊者需要獲取物理訪問權(quán)限以便在每一個單獨的系統(tǒng)中插入惡意故障。而現(xiàn)在，由于各個系統(tǒng)都是聯(lián)網(wǎng)的，攻擊者只需攻擊其中的一個系統(tǒng)即可輕松獲得訪問其它許多遠(yuǎn)程系統(tǒng)的權(quán)限。這會導(dǎo)致大量設(shè)備被惡意控制，關(guān)鍵系統(tǒng)和存儲在云端的數(shù)據(jù)遭到惡意訪問，或是因為黑客炫技而發(fā)生臭名昭著的數(shù)據(jù)泄露事件。這也就是為什么我們有必要確保安全啟動解決方案必須能夠抵御攻擊和故障注入的原因。

　　2保障啟動過程

　　安全啟動包含兩個基本的要素：檢測固件完整性的能力和對檢測過程完整性的保障。這些由來已久的要素很好理解，它們使用加密技術(shù)來實現(xiàn)各個目標(biāo)，只在加密算法的復(fù)雜程度和保障檢測過程完整性的安全硬件方法這兩方面有所演變。

　　檢測固件的完整性涉及使用加密技術(shù)來創(chuàng)建指紋，即一小段壓縮的數(shù)字編碼，可用來表示固件并且輕松地檢測出變化。這種加密技術(shù)屬于一類可生成指紋摘要、被稱為散列函數(shù)的加密算法。常用的256位安全散列算法，或簡稱為SHA256，可生成長度為256位的摘要。SHA256是最新的散列算法，雖然它既不是最緊湊的也算不上最精細(xì)的，但是它卻在安全性與嵌入式系統(tǒng)資源的有效使用二者之間取得了較好的平衡，這些嵌入式系統(tǒng)資源包括電源、代碼空間和計算資源等。

　　為了設(shè)置和實現(xiàn)安全啟動，嵌入式系統(tǒng)制造商在工廠制造過程中即對最終的操作固件進(jìn)行了散列，并在嵌入式系統(tǒng)中同時安裝了固件和摘要。在實際操作過程中，嵌入式系統(tǒng)中的一段檢測代碼會對操作固件進(jìn)行散列，并將所得的摘要與工廠安裝的摘要進(jìn)行比較。如果摘要完全匹配，即說明操作代碼的完整性沒有受損。

　　為了確保檢測過程的完整性，最理想的做法是將檢測代碼放在諸如ROM(只讀存儲器)等類型的非可變存儲器中，使其不易受到電源浪涌等環(huán)境故障矢量以及內(nèi)存修改疏忽等其它存儲損壞情況的影響。為了響應(yīng)快速變化的市場需求，我們通常會使用鎖定版的非易失性存儲器技術(shù)，比如閃存和EEPROM，或是類似代替ROM的TrustZone?技術(shù)等專用執(zhí)行環(huán)境。

　　3保護啟動過程免遭攻擊

　　上述的安全啟動過程在沒有惡意故障注入的情況下是充分夠用的，然而，這種情況在我們生活的真實世界中并不典型。攻擊者只需要創(chuàng)建自己的固件以及相應(yīng)的散列摘要并將二者都安裝到系統(tǒng)中即可擊敗安全啟動過程。這破壞了檢測的完整性，因此我們需要有一個驗證檢測過程。

　　該驗證檢測過程需要使用諸如密鑰這樣的秘密信息，并生成固件的認(rèn)證摘要或是簡單的一個證書(圖1)。之所以這樣設(shè)計，是因為對手如果想要阻撓檢測系統(tǒng)正常工作就需要知道相同的秘密信息以生成一對一致的固件 - 簽名?？紤]到操作代碼的驗證過程也需要訪問同樣的秘密信息，嵌入式系統(tǒng)很可能會被攻擊者拆解，試圖找出秘密信息。而構(gòu)建高級嵌入式系統(tǒng)所需分析工具與技術(shù)復(fù)雜性的大幅提升也為攻擊者提供了意想不到的幫助，使他們能夠直接或通過相關(guān)服務(wù)訪問這些工具以達(dá)到其利用系統(tǒng)的目的。

　　圖1 最佳的通用啟動過程，包括簽名操作固件的工廠準(zhǔn)備和現(xiàn)場驗證

　　Factory Preparation -- 工廠準(zhǔn)備

　　Operational Firmware -- 操作固件

　　Firmware Digest -- 固件摘要

　　EDCSA Sign -- EDCSA簽名

　　Boot KPRIV -- 啟動私鑰

　　Boot KPUB -- 啟動公鑰

　　Crypto Element -- 加密元件

　　Firmware Signature -- 固件簽名

　　Application Secure Boot -- 應(yīng)用安全啟動

　　Flash Memory -- 閃存

　　Boot Code -- 啟動代碼

　　Boot Process -- 啟動過程

　　EDCSA Verify -- EDCSA驗證

　　ROM or TrustZone – ROM或TrustZone

　　不出現(xiàn)特殊情況的話，我們很容易想象出嵌入式系統(tǒng)開發(fā)人員和攻擊者之間這個猶如貓和老鼠的游戲接下來會如何發(fā)展。要不是出現(xiàn)了一種特殊類型的叫做加密元件(CE)的集成電路，那么這個游戲還將繼續(xù)下去。

　　4加密元件適時阻止攻擊

　　加密元件(CE)是專門設(shè)計用于抵御諸如嘗試檢索機密內(nèi)容或篡改等攻擊行為的集成電路。執(zhí)行帶有CE的安全啟動操作提供了驗證固件檢測和驗證過程中所需的完整性。CE可以集成到控制器或獨立的元器件中，為系統(tǒng)架構(gòu)師提供所需的靈活性以迎合其部署需求。

　　5對稱與非對稱密鑰加密技術(shù)

　　雖然安全啟動的基本要素即檢測和過程保持不變，但是我們卻可以選擇對稱密鑰加密或非對稱密鑰加密技術(shù)來實現(xiàn)這兩大要素，以控制整個啟動驗證過程。

　　對稱密鑰加密技術(shù)在安全啟動過程的出廠設(shè)置和現(xiàn)場驗證兩個階段均使用相同的密鑰或相同密鑰的導(dǎo)數(shù)。如圖2和圖3所示，基于SHA256算法的驗證啟動過程就是一個對稱密鑰啟動過程的示例?；趯ΨQ密鑰的啟動過程具備速度方面的優(yōu)勢，但是在保證供應(yīng)鏈中啟動密鑰的機密性方面卻可能會遭遇困難。因此，封閉的生態(tài)系統(tǒng)是最受大家歡迎的，因為只有唯一的一個實體掌握其中的密鑰。

　　圖2 采用對稱密鑰保障安全啟動的出廠設(shè)置

　　OEM prepares final operational code and signs it with a private key. -- OEM廠商準(zhǔn)備最終操作代碼并使用私鑰進(jìn)行簽名。

　　Firmware Binary -- 固件二進(jìn)制

　　Signing Secret Key -- 簽署密鑰

　　OEM delivers signed firmware to CM. -- OEM廠商向CM交付簽名固件。

　　Signed Firmware -- 簽名固件

　　OEM assembles both firmware and CE into the embedded system. -- OEM廠商將固件和CE一起組裝到嵌入式系統(tǒng)中。

　　OEM securely delivers signing secret key to CE manufacturing systems via a Hardware Secure Module. -- OEM廠商通過硬件安全模塊將簽名密鑰安全地交付給CE制造系統(tǒng)。

　　CE Partner -- CE合作廠商

　　CE partner provisions and ships CE to OEM. -- CE合作廠商供應(yīng)和交付CE給OEM廠商。

　　圖3 對稱密鑰流驗證過程

　　System Processor -- 系統(tǒng)處理器

　　Firmware Binary -- 固件二進(jìn)制

　　Signature -- 簽名

　　Secure Element -- 安全元件

　　Signing Secret Key -- 簽署密鑰

　　Validate -- 驗證

　　OR -- 或

　　非對稱密鑰加密技術(shù)(圖4)在安全啟動過程的出廠設(shè)置和現(xiàn)場驗證階段則使用單獨的密鑰，這兩個密鑰之間的關(guān)系由諸如橢圓曲線加密技術(shù)(ECC)等加密算法來控制。ECC被用在一種叫做橢圓曲線數(shù)字簽名算法(ECDSA)的特殊協(xié)議中，該協(xié)議常應(yīng)用于固件簽名和驗證。通常情況下，原始設(shè)備制造商(OEM)都擁有多家合作廠商來為其供應(yīng)構(gòu)成嵌入式系統(tǒng)的子系統(tǒng)或某個系統(tǒng)的替代資源。

　　圖4 開放式合作伙伴生態(tài)系統(tǒng)中的安全啟動設(shè)置

　　OEM signs firmware partners to authorizing them to create legitimate operational firmware. -- OEM廠商簽署固件合作廠商，授權(quán)其創(chuàng)建合法的操作固件。

　　Firmware Partner -- 固件合作廠商

　　Respective firmware partner independently signs their operational firmware. -- 各個固件合作廠商獨立對其操作固件進(jìn)行簽名。

　　Respective firmware partner delivers signed firmware to OEM. -- 各個固件合作廠商向OEM廠商交付簽名固件。

　　Signed Firmware -- 簽名固件

　　OEM assembles both firmware and CE into the embedded system. -- OEM廠商將固件和CE一起組裝到嵌入式系統(tǒng)中。

　　OEM signs manufacturing partners to provision CE with identities and secrets. -- OEM廠商簽署制造伙伴以為其供應(yīng)帶有身份和秘密信息的CE。

　　CE Partner -- CE合作廠商

　　CE partner provisions and ships CE to OEM. -- CE合作廠商供應(yīng)和交付CE給OEM廠商。

　　使用非對稱密鑰過程，例如ECDSA，也適用于安全散列算法SHA。在實踐中，SHA256會檢測操作固件以創(chuàng)建一個摘要，然后使用ECDSA協(xié)議對摘要進(jìn)行簽名以完成整個驗證固件過程。這樣生成的簽名就是一個附有操作固件并可安裝到嵌入式系統(tǒng)中的證書(圖5)。

　　圖5 非對稱密鑰流的現(xiàn)場驗證過程

　　Firmware Binary -- 固件二進(jìn)制

　　ECDSA Verify -- EDCSA驗證

　　Firmware Certificate -- 固件證書

　　Software Partner Certificate -- 軟件合作伙伴證書

　　OEM Root Certificate -- OEM根證書

　　Device Unique Certificate -- 設(shè)備唯一證書

　　CE Partner Certificate -- CE合作伙伴證書

　　System Processor -- 系統(tǒng)處理器

　　Random Challenge -- 隨機挑戰(zhàn)

　　Crypto Element -- 加密元件

　　Device Unique Private Key -- 設(shè)備唯一私鑰

　　ECDSA Sign -- ECDSA簽名

　　1. Verifies firmware is legitimate and came from an approved partner. -- 驗證固件是否合法且由許可合作伙伴提供。

　　2. Verifies CE device is legitimately provisioned by a sanctioned partner. -- 驗證CE器件是否由許可合作伙伴合法供應(yīng)。

　　3. Proves the embedded system is a legitimate one by virtue of possessing knowledge of the private key. This is very important for remote systems that rely on the CE as a trust anchor. -- 借助掌握的私鑰相關(guān)知識來驗證嵌入式系統(tǒng)是否合法。這對于依靠CE作為信任基石的遠(yuǎn)程系統(tǒng)而言至關(guān)重要。

　　非對稱的密鑰結(jié)構(gòu)需要一個私鑰和一個公鑰，前者必須保密且只被用于出廠設(shè)置，而與其在數(shù)學(xué)上相對應(yīng)的后者則只用于現(xiàn)場驗證階段。公鑰可以被任何人查看而不影響啟動過程的安全。因此，基于非對稱密鑰的安全啟動過程更適用于由多個實體共同構(gòu)成的開放式生態(tài)系統(tǒng)。

　　6適合制造業(yè)的安全啟動

　　如果一個安全啟動過程需要很高的生產(chǎn)物流成本，那么它很快就會被市場拋棄。因此，一個有效的安全啟動過程應(yīng)該是可以確定操作代碼和檢測過程的完整性且同時不會大幅增加生產(chǎn)流程的時間或成本。

　　雖然對于開放式和封閉式生態(tài)系統(tǒng)而言最佳的選擇分別是不對稱和對稱密鑰啟動過程，但是使用加密元件卻可以打破這個限制，使得任意一種啟動過程都可以應(yīng)用于任意一個生態(tài)系統(tǒng)并且同時還能保持密鑰的機密性。但是，非對稱密鑰方法可以提供更多的自由度，令設(shè)計人員能夠在開放式合作伙伴生態(tài)系統(tǒng)中輕松打造一個從數(shù)學(xué)角度看非常嚴(yán)謹(jǐn)?shù)男湃捂溇S護過程。

　　7問責(zé)制助力安全啟動落實

　　嵌入式系統(tǒng)的安全啟動過程一直以來都是由管理產(chǎn)品安全的相關(guān)法規(guī)和標(biāo)準(zhǔn)所推動。當(dāng)嵌入式系統(tǒng)是一個在物理上獨立的系統(tǒng)、一個孤島式的存在時，這種模式是非常有效的。然而隨著IoT的出現(xiàn)，各個系統(tǒng)開始連入物聯(lián)網(wǎng)，故障遏制邊界的消除不僅大大鼓勵了攻擊者，也大幅提高了各界對安全啟動的關(guān)注度。事物的遠(yuǎn)程可訪問性意味著我們能更容易地訪問嵌入式系統(tǒng)，而這樣就令世界上任何一個地方的任何一個人都可能成為系統(tǒng)攻擊的潛在受害者。雖然通過事后調(diào)查分析可能會揭示出哪個設(shè)備是罪魁禍?zhǔn)?、哪家制造商?yīng)該被追責(zé)，但是損害已然造成。為了限制相關(guān)責(zé)任，產(chǎn)品制造商正開始采取積極的措施在他們的產(chǎn)品中集成防篡改安全啟動過程，并添加加密元件來成功保障安全啟動。