JP2004013905A - セキュアなブートローダにおけるハッシングの使用 - Google Patents
セキュアなブートローダにおけるハッシングの使用 Download PDFInfo
- Publication number
- JP2004013905A JP2004013905A JP2003164095A JP2003164095A JP2004013905A JP 2004013905 A JP2004013905 A JP 2004013905A JP 2003164095 A JP2003164095 A JP 2003164095A JP 2003164095 A JP2003164095 A JP 2003164095A JP 2004013905 A JP2004013905 A JP 2004013905A
- Authority
- JP
- Japan
- Prior art keywords
- code
- hash value
- electronic device
- preloader
- machine instructions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/22—Microcontrol or microprogram arrangements
- G06F9/24—Loading of the microprogram
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
- Footwear And Its Accessory, Manufacturing Method And Apparatuses (AREA)
- Orthopedics, Nursing, And Contraception (AREA)
- Diaphragms And Bellows (AREA)
- Emergency Protection Circuit Devices (AREA)
- Exchange Systems With Centralized Control (AREA)
- Hardware Redundancy (AREA)
Abstract
【解決手段】ブートストラップコードを備える機械命令は、電子ゲームコンソールのクリティカルなコンポーネント内に埋め込んであり、埋め込んだ機械命令には容易にアクセス及び修正することができない。ROMのプリローダ部分をブートストラップコードでハッシュし、得られた結果を、ブートストラップコード中で保持される予想ハッシュ値と、比較する。ブートプロセスは、プリローダによりさらにベリファイされる。このプリローダは、ROM中のコードをハッシュしてコードのハッシュ値を得る。このハッシュ予想値を定義するデジタル署名の値に対して、この結果がベリファイされる。予想結果が得られない場合は、ブートアッププロセスを終了する。
【選択図】 図4
Description
【発明の属する技術分野】
本発明は、一般に、プロセッサを含む電子装置をセキュアにブートアップすることに関し、具体的には、このような電子装置をブートアップするときに、所望の機械命令のみがプロセッサによって実行されることを保証し、これによりブートアッププロセス中に置換または代替の機械命令が実行されるのを防止することに関する。
【0002】
【従来の技術】
電子装置は、多くの場合、起動時またはリセット時に、ブートアッププロセスを経なければならない。ブートアッププロセスにおいては、当該電子装置の基本的なオペレーション特性をコントロールする機械命令であって、ROM(read only memory)にストアされている機械命令が、アクセスされ実行されると、当該電子装置が初期化され、この機械命令によりさらに機械命令がRAM(random access memory)にロードされ、そしてこのロードされた機械命令が実行されると、これにより当該電子装置に機能がさらにインプリメントされる。例えば、パーソナルコンピュータがブートアップされると、BIOS(basic input−output system)を備えた命令が実行され、これにより、OS(operating system)がハードドライブからRAMにロードされ、このOSはコンピュータのCPU(central processing unit)によって実行される。「ブートアップ」という用語は、初期の「ブートストラップ」という記述的な用語を短縮したものである。
【0003】
その他、ブートアップしなければならない電子装置としては、ゲームコンソールと、デジタル記録装置と、パーソナルデータシステムとが含まれ、プロセッサを含む電子製品はほとんどのものが含まれる。この種のプロセッサは、次々に機械命令をメモリにロードして実行し機能を追加していくため、初期機械命令のセットを実行しなければならないようになっている。このブートアッププロセスにより電子装置の初期状態が決定されるので、このブートアッププロセスは、当該電子装置の重要なオペレーションパラメータに影響を与え、ブートアッププロセスの完了後に当該電子装置がどのように使用されるかに実質的に影響を与える可能性がある。このブートアッププロセスが修正されないようにすることは、当該電子装置の販売会社にとって、当該電子装置の使用により得られる収益が減じないようにするためにも、重要なことである。
【0004】
例えば電子ゲーム産業においては、電子ゲームをプレイするために販売されたゲームコンソールの商業的価値は、多くは、ゲームコンソールでラン(run)されるゲームソフトウェアのライセンスからの収益である。そこで、ブートアッププロセスにおいてロードされる機械命令には、ライセンスのないソフトウェアコピーがゲームコンソール上でランされないようにする機能と、電子ゲームをプレイするためのゲームコンソールの使用に関係する製造業者のポリシーを順守させる機能とがインプリメントされている。ユーザの中には、ライセンスのないソフトウェアコピーのランに対する規制や、ゲームコンソールに関するこのようなポリシーを順守させる規制を、ゲームコンソールに対する挑戦的な規制であり歓迎できない規制であるとみる者もいる。このようなユーザは、ゲームコンソール回路やソフトウェアを「ハック(hack)」してこのような規制を打破しようとしている。例えば、これらの規制を回避するための1つの方法としては、ゲームコンソールでランされるブートアッププロセスに、幾つかの変更を加えた改変ソフトウェアカーネルをロードさせる方法がある。変更が加えられたため、ゲームコンソール製造業者による規制が取り除かれるので、結果として、当該製造業者がゲームコンソールの使用をコントロールできなくなるおそれがあり、仮にライセンスのないソフトウェアゲームコピーがゲームコンソール上でランできるようになった場合でも、収益が減じるおそれがある。そこで、普通は、ゲームコンソール製造業者が、ハッカーがブートアッププロセス中に改変ソフトウェアカーネルを使用できないように、努力している。
【0005】
ブートアップしなければならない電子装置を利用する他の技術分野においても、同様の問題が存在する。例えば、ユーザから月額料金が支払われたか否かに基づき受信チャネルを制限する衛星TV(television)レシーバの製造業者においては、当該コンシューマがライセンス条項に従って衛星TVレシーバを使用できるためには、製造業者のセキュリティポリシーと、製造業者の製品の使用に関するポリシーとが順守されることを保証しなければならい。ユーザがビューするためにペイしたTVチャネルを衛星TVレシーバ内のプロセッサに決定させるためのコードを、ハッカーが修正すると、これにより、ライセンス料を適正に支払わなくても、全てのチャネルを受信しビューすることができる。
【0006】
【発明が解決しようとする課題】
そこで、電子装置のブートアップ中においては、オーソライズされたソフトウェアコードのみが実行されるようにすることが望ましい。使用されている技法は、どれも、オーソライズされたソフトウェアであって電子装置のブートアップ中に実行されるようになっているソフトウェアが、修正又は改変された機械命令セットと置換されないようにすべきであり、この技法は、電子装置が、製造側の、および/または当該電子装置をエンドユーザに配布した側の、機能およびポリシーをインプリメントすることを、保証すべきである。電子装置のブートアップ時にロードされるコードに含まれる、電子装置の使用に関する規制およびポリシーを、ハッカーが破るのを防止するための既知の手法は、完全には成功していないようである。アドイン回路カードが代替ソフトウェアコードを含む場合には、ハッカーは、この回路カードを電子装置の回路に結合するだけで、既知のセキュリティアプローチを少なくとも一部は破ることができる。明らかなことであるが、電子装置のブートアッププロセス中に代替コードが挿入されたり実行されたりするのを防止するためには、よりセキュアで厳重な手法が必要である。
【0007】
【課題を解決するための手段】
本発明は、プロセッサを備えた装置であって、当該電子装置の機能を実行させるために、起動時またはリセット時にブートアップしなければならない装置であればどの装置にも適用可能である。このような装置においては、当該電子装置のオペレーション中に利用されるプロプラエタリ(proprietary)情報を保護すること、及びオーソライズされていないコードがブートアッププロセス中に実行されて、当該電子装置のオペレーションおよびアプリケーション(application)に関係するポリシーが覆されないことを防止することは、重要であることが多い。
【0008】
電子装置の所望のポリシーおよび機能を覆すために置換される可能性が最も高いコンポーネントの1つは、電子装置がどのように使用されるかを定義する機械命令がストアされた不揮発性メモリである。したがって、本発明は、このようなメモリ中の機械命令を含むコードがオーソライズされていること(すなわち、電子装置の所望の機能およびポリシーを変更する機械命令で修正または置換されていないこと)を確認することを試みる。本発明においては、オーソライズされているコードは、定義された部分(プリローダコードともいう)を含む。この定義された部分は、オーソライズされているコードの残りの部分に変更が加えられても、変化しないようにしなければならない。そうでないと、当該電子装置はブートアップしないことになる。
【0009】
最初に、コードの定義された部分がオーソライズされているであることを保証するためのプロシージャを実行する。このプロシージャにおいては、定義された部分をハッシュして、第1のハッシュ値を生成する。ついで、この第1のハッシュ値を、コードがストアされているメモリとは別の電子装置回路コンポーネントに保持されている保持ハッシュ値と比較し、コードの定義された部分がオーソライズされていることをベリファイする。この第1のハッシュ値が保持ハッシュ値と等しい場合は、コードの定義された部分の実行を可能にし、そうでない場合は、電子装置のブートアップを終了する。コードの定義された部分が実行可能になった場合、実質的に全てのコードをハッシュして、第2のハッシュ値を決定する。コードの定義された部分とは異なるコード部分には、デジタル署名が含まれている。ついで、第2のハッシュ値によりデジタル署名がベリファイされ、署名の妥当性が保証される。デジタル署名が真正であるとベリファイされた場合は、コードの実行を可能にし、そうでない場合は、電子装置のブートアップを終了する。
【0010】
第1の値を保持ハッシュ値と比較するためには、回路コンポーネントの不揮発性記憶領域で保持される初期コードを実行する。この初期コードは、保持ハッシュ値を含み、グラフィックプロセッサ中で保持される。ただし、他のタイプの補助プロセッサ、例えば、オーディオプロセッサ、入力プロセッサ、出力プロセッサ、通信プロセッサ、またはデジタル信号プロセッサ中で保持ハッシュ値が保持されるようになっている。実際、初期コードおよび予想ハッシュ値は、初期コードを実行するプロセッサ中で保持することがより一層好ましい。初期コードを実行して、定義された部分をハッシュし、第1のハッシュ値と保持ハッシュ値とを比較する。本発明の好ましい形態においては、初期コードは、ファームウェア中で予め定めたバイト数として永続的に定義される。加えて、コードの定義された部分は、コード内の定義されたロケーションに配置された予め定めたバイト数を含むことが好ましい。これは明らかであるが、保持ハッシュ値が変更されない限り、コードの定義された部分のサイズおよび内容を修正することはできない。というのは、修正された場合には、保持ハッシュ値は第1のハッシュ値と等しくなくなるからである。
【0011】
定義されたコードは、デジタル署名をベリファイするのに使用される公開鍵も含み、コードの暗号化されたカーネル部分を復号できるようにする機械命令も有する。ついで、復号されたカーネルを実行して、電子装置のブートアップを完了する。定義されたコードは、ストリーミングサイファ(streaming cipher)を使用して、コードのカーネル部分の復号をインプリメントする。
【0012】
本発明の別の態様は、コードがオーソライズされているか否かを判定するため、当該電子装置のブートアップ中にアクセスされる機械命令を含むコードがストアされた記憶媒体を対象とする。この記憶媒体は、前に述べた、カーネル部分、ブートローダ部分、プリローダ部分、およびデジタル署名を含む。
【0013】
本発明の別の態様は、オペレーションするためにブートアップされなければならない電子装置を対象とする。この電子装置は、複数の機械命令がストアされた不揮発性メモリを含む。不揮発性メモリは、主要部分と、定義された内容、サイズ、およびロケーションを有するプリローダ部分とを含む。プロセッサが不揮発性メモリに結合されて、ブートアッププロセス中に機械命令を実行する。ブートストラップコードファームウェア要素が、ハッシングアルゴリズムを規定する機械命令と予想ハッシュ値とを指定する。ブートストラップコードファームウェアの機械命令は、電子装置のブートアップ中にプロセッサによって最初に実行され、プリローダ部分のハッシング、およびその結果と予想ハッシュ値の比較を、プロセッサにインプリメントさせる。電子装置およびその機能のその他の詳細は、一般に、前に述べた方法のステップと一致する。
【0014】
本発明をゲームコンソールのような電子装置に採用すれば、ブートアッププロセス中に実行される機械命令を変更しようとしても、あるいは異なる機械命令をもつ別のメモリと置換しようとしても、装置は首尾よくブートアップされなくなることが明らかである。したがって、本発明は、一般に、電子装置のブートアップ中にオーソライズされているコードのみが実行されるようにすることにより、何者かが基本機能を修正するか、あるいは電子装置によってインプリメントされる所望のポリシーを回避することを防止すべきである。
【0015】
本発明の前述の態様およびそれに付随する利点の多くは、以下の詳細な説明を、添付の図面を参照することによってよりよく理解されるので、より認識しやすくなるであろう。
【0016】
【発明の実施の形態】
(システム例)
次のことは強調しておかなければならない。すなわち、本発明の第1の好ましい実施形態は、実際は、ゲームコンソール上で使用されるが、本発明は、ゲームコンソールと共に使用されることに限定されない。本発明は、コードをリバースエンジニアリングしようとするユーザに、プロプラエタリ情報が開示されないようにするため、及び電子ゲームをするためのゲームコンソールの使用に関するライセンス規制およびポリシーを、ユーザが回避するのを防止するために、発明された。
【0017】
図1に示すように、電子ゲームシステム100には、ゲームコンソール102と、コントローラ104aおよび104bのような入力装置(最高4人のユーザをサポートする)が含まれている。ゲームコンソール102は、(図1に図示しない)内部ハードディスクドライブを備え、種々のフォーマットのポータブル光記憶媒体(図1には光記憶ディスク108で表している)をサポートするポータブル媒体ドライブ106を備えている。適正なポータブルストア媒体の例には、DVDディスクおよびCD−ROMディスクが含まれる。このゲームシステムにおいては、ゲームプログラムは、ゲームコンソールとともに使用するためDVDディスクで配布されるのが好ましいが、しかし、データセキュリティポリシーを順守し、システムに入力されているデジタルデータが真正であることを保証するため、本発明を使用している本システムその他のシステムで、他の記憶媒体を、DVDの代わりに、使用できるようにしてある。
【0018】
ゲームコンソール102の前面には、コントローラに接続しコントローラをサポートするための4つのスロット110がある。ただしスロットの数および構成は変更することができる。電源ボタン112とイジェクトボタン114もゲームコンソール102の前面に配置されている。電源ボタン112は、電源のゲームコンソールへの供給をコントロールするものであり、イジェクトボタン114は、ゲームコンソール102が光記憶ディスク108上のデジタルデータをリードして使用できるように、光記憶ディスク108を挿入したり取り出すため、ポータブル媒体ドライブ106のトレイ(図示せず)をオープン又はクローズするものである。
【0019】
ゲームコンソール102は、TVその他のディスプレイモニタ、または(図示しない)スクリーンに、オーディオ/ビジュアル(A/V)インタフェースケーブル120を介して接続されている。電源ケーブルプラグ122は、慣用の(図示しない)交流電源に接続されたとき、ゲームコンソールに電源を供給するものである。ゲームコンソール102は、the Internetのようなネットワークを介し、例えば慣用の電話モデムを介して、またはより好ましくはブロードバンド接続により、データを転送するため、データコネクタ124を備えることもできる。
【0020】
コントローラ104aおよび104bは、リード線を介して(あるいは無線インタフェースを介して)ゲームコンソール102に結合されている。本実装形態においては、コントローラ104aおよび104bは、USB(universal serial bus)コンパチブルであり、USBケーブル130を介して、ゲームコンソール102に接続されている。ゲームコンソール102は、ゲームソフトウェアとインタラクト(interact)し、このゲームソフトウェアをコントロールするための種々のユーザ装置を備えることができる。図1には、コントローラ104aの詳細を全て示していないが、コントローラ104aおよび104bは、2つのサムスティック132aおよび132bと、Dパッド134と、ボタン136と、2つのトリガ138を備えている。これらのコントローラは代表的なものであるが、他の既知のゲーム入力およびコントロール機構を、ゲームコンソール102と共に使用するために、図1に示すものに代えて、又は図1に示すものに追加することもできる。
【0021】
リムーバブルまたはポータブルMU(memory unit)140を、オプションで、コントローラ104に挿入することにより、リムーバブルなストレージ(storage)を追加することもできる。ユーザは、ポータブルMUにゲームパラメータをストアすることができ、このポータブルMUを他のコントローラに挿入すれば、ゲームパラメータをポート(port)することができ、ゲームをプレイすることができる。本実装形態においては、コントローラは、それぞれ、2つのMUを挿入できるように構成されているが、この構成に代えて、MUの数を2つよりも多くも少なくもできる。
【0022】
ゲームシステム100は、ゲーム、音楽、及びビデオを再生することができる。ハードディスクドライブにストアされたデジタルデータを使用して、あるいはポータブル媒体ドライブ106中の光記憶ディスク108か、オンラインソースか、又はMU140から読み取られたデジタルデータを使用して、その他の機能をインプリメントできるようになっている。このゲームコンソールは、電子ゲームディスクのオーソライズされていないコピーが再生されないように設計されている。あるポリシーも、ゲームコンソールによってインプリメントされている。例えば、ある地域で販売されたソフトウェアが、別の地域で販売されたゲームコンソール上で実行できないようにすることができる。ビデオDVDの複製を防止するためのインダストリ基準方式(MACROVISION(商標))も、ゲームコンソールソフトウェアによってインプリメントされている。
【0023】
ゲームコンソールによってインプリメントされているこれらの機能制限およびポリシーを破ることを好んでいるユーザもいる。このような制限およびポリシーを回避しようとする1つの方法としては、当該ゲームコンソールをブートアップするのに使用するため、オリジナルのROM及びこのROMにストアされたコードを修正バージョンのものと置換したIC(integrated circuit)またはモジュールを、ゲームコンソールにインストールする方法がある。このような置換モジュール中の機械命令を修正するのは、ブートアッププロセス中にオペレートさせるためであり、次のような規制と、ゲームコンソールの他の態様および/またはポリシーと、を除去または変更しようとするためである。上記規制とは、ゲームコンソールの製造業者または設計者によるものであり、オーソライズされていないコピーの使用を防止し、ビデオDVDの複製を防止するものである。しかし、本発明によれば、オーソライズされていない置換ROMモジュールを挿入してブートアッププロセスを改変することは、極めて困難であり、仮にゲームコンソールのブートアップ中に代替コードおよびオーソライズされていないコードの利用が検出された場合には、ブートアッププロセスが終了する。
【0024】
ブートアッププロセスに関するプロプラエタリ情報が発見されるのを防止し、しかも修正コードまたは代替コードがブートアッププロセス中に利用されるのを防止するためには、ブートアップ中に実行される機械命令のうちの少なくとも幾つかは、ゲームコンソールその他の電子装置のROMに含まれている機械命令の大部分から分離しておかなければならない。一般に、電子装置のプリント回路基板にある、IC、トレース(trace)、接続点、及びビア(via)は、仮に電子装置の筐体が開けられれば、容易にアクセスでき、当該電子装置をハックするため、新たな接続および修正を物理的に加えることができる。誰かがプリント回路基板にアクセスしないようにすることは困難であるが、本発明によれば、プリント回路基板に実装されたICの1つにファームウェアとしてエンベッド(embed)されている機械命令にアクセスすることは、極めて困難である。好ましくは、使用するICとしては、公衆がサプライヤ(supplier)から容易に入手できないことを目的としたICを用いるべきである。というのは、ICは、当該電子装置の製造業者のためにカスタムメイドされたものであるからである。この目的のICは、当該電子装置のオペレーションにとって不可欠なものであるから、仮にICにエンベッドされたファームウェアへのアクセスが試みられた場合には、当該ICのオペレーション、したがって当該電子装置のオペレーションに、おそらく不都合が生じることになる。
【0025】
図2Aは、ゲームコンソール100に含まれる幾つかのICコンポーネントを示す。CPU202はメインプロセッサであり、当該ゲームコンソールの大部分の処理機能を実行するのに使用されている。CPU202も、大部分のプロセッサと共通して、最初にブートアップされなければならず、これにより、設計上当該ゲームコンソールにインプリメントされている種々の機能を実行することができる。CPU202は、カスタマイズされたグラフィックプロセッサであって、NVIDIA(登録商標)社製のNV2Aチップと称されるバス・メモリ・コントローラチップ204でもあるグラフィックプロセッサに、双方向接続されている。
このNV2Aチップは、RAM206と、別のNVIDIAカスタムメードチップとに接続されている。この別のNVIDIAカスタムメードチップは、MCP(media communication processor)208に接続されており、このMCP208は、オーディオ信号プロセッサ機能を有し、システムメモリに結合されており、またデータ通信のために、USBポートおよびEthernet(登録商標)ポートに結合されている。MCP208には、ブートストラップコード212を備える512byteのファームウェアが含まれる。ブートストラップコード212は、MCP208内の他のレイヤー(layer)に実質的に埋め込まれており、このモジュールをディキャップ(decap)するだけではアクセスできない。ブートストラップコード212に物理的にアクセスするには、上のレイヤーを除去する必要があるが、そうすると、MCPモジュールは事実上破壊されて、MCPモジュールおよびゲームコンソールは使用できなくなる。さらに、MCP208はゲームコンソールの製造業者向けにカスタムメイドされたものなので、オープンマーケットで他の者が入手できない。ブートストラップコードが何らかの方法でアクセスされ、このファームウェアを備える機械命令が「ビジブル(visible)」になったとしても、本発明により、ブートシーケンスを改変することはできない。MCP208は、ROM210に結合されており、このROM210には、ゲームコンソール100のブートアップ中に使用される大部分の機械命令が含まれている。
【0026】
本発明に係る一般的な応用例が、図2Bのコンポーネントに関して示されている。カスタムCPU220は、CPUの他のレイヤーの下に「埋め込まれた」ファームウェアブートストラップコード222を内部に含むことができるようになっている。図2Bに示すように、CPU220は、RAM206およびROM210に結合される。ブートストラップコード222がCPU220内のファームウェアを構成するので、CPUの処理部分とブートストラップコード222との間の信号には、一般にアクセス不可能である。したがって、図2Bに示す実施形態においては、ブートストラップコード222にアクセスしてその内容を決定するのはより一層困難になり、このため図2Bの実施形態においては、図2Aの実施形態に比較してさらにセキュリティが向上する。
【0027】
図3は、本発明で使用されているROM210の別の部分を示す。ゲームコンソール100で使用される好ましい実施形態においては、ROM210は、256Kbyteのメモリモジュールを備えている。ROM210には、暗号化されていないプリローダ230が含まれている。プリローダ230は、好ましい実施形態においては、約11Kbyteの固定サイズを有し、その内容、サイズ、およびROM210内でのロケーションは、すべて定義済みである。プリローダ230が、暗号化された公開鍵231を含むことに留意することは、重要なことである。これも重要なことであるが、プリローダ230の内容が変更されても、ファームウェアブートストラップコード212が変更されなければ、プリローダ230の内容をそのままにしておく必要がある。これについては後程説明するので明らかになる。ROM210には、暗号化されたブートローダ232が含まれている。加えて、ROM210には、デジタル署名234と、対称鍵236も含まれている。ROM210は、その大部分が、カーネル238を備える機械命令をストアすることに当てられている。カーネル238は圧縮されており、しかも暗号化されている。カーネル238内に含まれている機械命令は、ゲームコンソール100の機能の多くを定義するものであり、ゲームコンソール100のオペレーションに関係するポリシーを確立するものである。最後に、チップセット初期化コード240が含まれており、ゲームコンソールに最初に電源が投入されたとき、このチップセット初期化コード240が実行される。
【0028】
図4は、ゲームコンソール102の起動時またはリセット時にインプリメントされる論理ステップを示す。ステップ250にて、ROM210のチップセット初期化コードをランする。チップセット初期化コード240に含まれる機械命令は、暗号化されておらず、これらの機械命令は、具体的な構成情報を定義しており、完全なゲームコンソールのアーキテクチャに適した具体的な構成シーケンスを定義している。チップセット構成をパフォームするのに必要な機械コードは、ブートストラップコードに含まれている。具体的な値およびシーケンスは、チップセット初期化コードの一部である。CPUの初期化シーケンスも、ブートストラップコードに含まれており、チップセット初期化コードの残りの部分の前に実行される。次に、ブロック252においては、MCP208内に埋め込まれているファームウェアブートストラップコード212に含まれる機械命令が、一方向ハッシングアルゴリズムをランして、ROM210中のプリローダ230のハッシュ値を決定する。前述したように、製造時にゲームコンソール100にインストールされたオリジナルのROM210においては、プリローダ230は、具体的な内容と、サイズと、ROM210内でのロケーションとを有することになる。したがって、プリローダ230内に含まれる機械命令をハッシュすることによって得られたハッシュ値は、プリローダ230がオーソライズされていないコードで改変または置換されていない限り、常に同一であるべきである。好ましい実施形態においては、SHA−1 一方向ハッシングアルゴリズムを適用して、プリローダをハッシュする。あるいはまた、これに代えて、MD5ハッシングアルゴリズムを採用することができ、当業者にとって当然のことであるが、その他のハッシングアルゴリズムも使用することができる。採用されたハッシングアルゴリズムは、ブートストラップコード212の機械命令に含まれている。
【0029】
ブートストラップコード212内には、プリローダ230の予想ハッシュ値である保持ハッシュ値と、対称鍵とが含まれている。ステップ254において、保持ハッシュ値をブートストラップコード212からロードする。ブートストラップコード212中の機械命令は、ブートストラップコードからの保持ハッシュ値と、ステップ252にてプリローダ230のために決定したハッシュ値とを比較する。この比較は、判定ステップ256で行い、保持ハッシュ値が、決定された実際のハッシュ値と等しいか否かを判定する。等しくないと判定した場合は、ブートストラップコード212中の機械命令は、ステップ258をインプリメントし、ステップ258にて、ゲームコンソール102のブートアッププロセスを停止する。したがって、仮に異なるROMがオリジナルのROMと置換され、この新しく置換されるか、あるいはオーソライズされていないROMが、同一のプリローダ部分(一方向ハッシュアルゴリズムで処理されたときに予想ハッシュ値を生成する)を含んでいない場合には、判定ステップ256にて、プリローダ230への修正が検出され、ブートアッププロセスが終了する、ことは明らかである。
【0030】
保持予想ハッシュ値が、決定された実際のハッシュ値と等しいと仮定して、ステップ260にて、ROM210のプリローダコード部分を備える機械命令を実行する。このステップ260をインプリメントすることができる。というのは、ゲームコンソールの製造業者によってゲームコンソールにインストールされたROMに元々含まれていたプリローダコードと、このプリローダ機械命令が同一であることが、明らかであるからである。
【0031】
次に、ステップ262において、デジタル署名234を除くROM210全体のハッシュ値を決定することができる。このプリローダは、一方向ハッシュ値を決定するための機械命令を含み、この場合も、SHA−1又はMD5のいずれかのハッシングアルゴリズム(あるいは、他の周知の一方向ハッシングアルゴリズムの1つ)を使用して、ROM210の大部分のハッシュ値を決定する(デジタル署名は、ハッシュされるROM210の内容に含まれない)、のが好ましい。同一のハッシュアルゴリズムが適用される限り、仮に機械命令が変更されていないか、オーソライズされていない機械命令と置換されていない場合には、その結果は常に同じである。ROM210中でハッシュされた機械命令が少しでも変更されれば、ハッシュ値は実質的に変更されることになる。
【0032】
ステップ264にて、ROM210の公開鍵231をデジタル署名234に適用して、デジタル署名のための対応する値を生成する。(公開鍵を適用できるようになるまでは、この公開鍵は、MCPのブートストラップコードにストアされた対称鍵で復号されるが、この公開鍵がこの対称鍵で暗号化されない場合は、このステップは不要である。)次に、プリローダ230中の機械命令は、図4の判定ステップ266において、この公開鍵がこの署名をベリファイできるか否かを判定する。このステップ266においては、ステップ264からの値が、ステップ262で決定したROMのハッシュ値と等しいか否かを判定する。等しくない場合には、ROMのオリジナルの内容が作成された後でROM中の署名が変更されたことが明らかになるので、ステップ268でブートアップオペレーションを停止する。周知のように、署名の値が、元々、ゲームコンソールの製造業者のみが知っている秘密鍵を使用して署名されたものである場合は、公開鍵を使用して署名の妥当性を確認することができる。何者かがゲームコンソール100をハックしてROM210のいずれかの部分を修正しようとする場合、判定ステップ266にてハッシュ値の変化が検出され、これによりステップ268でブートアッププロセスが終了する。これに対して、仮にデジタル署名がROMのハッシュと一致する場合は、ROMの内容が、オーソライズされたオリジナルの内容と同一であることは、明らかである。
【0033】
ステップ264でデジタル署名から決定された値が、判定ステップ266でROMのハッシュをベリファイしたと仮定すると、ステップ270において、ブートアップを完了させることができ、カーネル238をRAM206にコピーし、ついで圧縮解除し復号してRAMにストアすることができる。プリローダ230は、ブートローダを復号するための機械命令を含む。MCPに保持されるファームウェアブートストラップコード中の対称鍵を、ROM210の対称鍵236と組み合わせて、新たに対称コードを生成し、得られた対称コードを使用して、プリローダ中の機械命令に従ってブートローダを復号する。
【0034】
このブートローダは、圧縮され暗号化されたカーネルのストリームサイファ復号を、RC4ストリームサイファアルゴリズムに従って、インプリメントするための機械命令を含む。このことは、当業者にとって周知のことである。ついで、CPU202は、圧縮解除され復号されたカーネルをRAM206に備えた機械命令を実行し、ゲームコンソールの完全な機能を実行することができ、これにより、次のことを保証する。すなわち、例えば、CPU202が、オーソライズされたゲームソフトウェアのみをロードすること、ビデオDVDの複製を妨げるアルゴリズムを実行すること、及びゲームコンソールの製造業者によって望まれるその他あらゆるポリシーおよび機能であって、オーソライズされたブートアップコードによって定義されるものを実行すること、を保証する。
【0035】
本発明は、本発明に係る実施形態につき述べたが、当業者にとって当然のことであるが、請求の範囲を逸脱することなく、修正をすることができる。したがって、本発明の範囲は、上記記述によって限定されず、請求の範囲により決定される。
【図面の簡単な説明】
【図1】本発明を採用したゲームコンソールを示す等角投影図である。
【図2A】図1のゲームコンソールに含まれる幾つかの機能コンポーネントを示すブロック図である。
【図2B】ブートアップする電子装置であってプロセッサおよびメモリを含む一般的な電子装置の機能を示すブロック図である。
【図3】本発明において構成されるメモリの各部分を示す図である。
【図4】本発明でインプリメントされるロジックを示すフローチャートである。
【符号の説明】
100 電子ゲームシステム
102 ゲームコンソール
104a、104b コントローラ
106 ポータブル媒体ドライブ
108 光記憶ディスク
110 スロット
112 電源ボタン
114 イジェクトボタン
120 オーディオ/ビジュアルインタフェースケーブル
122 電源ケーブルプラグ
124 データコネクタ
130 USBケーブル
132a、132b サムスティック
134 Dパッド
136 ボタン
138 トリガ
140 ポータブルMU
202、220 CPU
204 NV2Aチップ
206 RAM
208 MCP
210 ROM
212、222 ブートストラップコード
230 プリローダ
231 公開鍵
232 ブートローダ
234 デジタル署名
236 対称鍵
238 カーネル
240 チップセット初期化コード
Claims (29)
- 電子装置のブートアップ中に実行するために用意されたコードがオーソライズされているか否かを決定する方法において、
(a)前記コードの定義された部分をハッシュして第1のハッシュ値を生成するステップと、
(b)前記コードの前記定義された部分がオーソライズされていることをベリファイするため、前記第1のハッシュ値を、前記電子装置の回路コンポーネントであって、前記コードがストアされているメモリとは別の回路コンポーネントに保持されている保持ハッシュ値と比較するステップと、
(c)前記第1のハッシュ値が前記保持ハッシュ値と等しい場合は、前記コードの前記定義された部分の実行を可能にし、等しくない場合は、前記電子装置のブートアップを終了するステップと
を備え、
(d)前記コードの定義された部分であってオーソライズされている部分を実行するステップは、
(i)前記コードのうちの実質的に全てのコードをハッシュして第2のハッシュ値を決定するステップと、
(ii)前記コードに含まれているデジタル署名が前記第2のハッシュ値と一致するか否かをベリファイし、一致する場合は、前記コードの実行を可能にし、一致しない場合は、前記電子装置のブートアップを終了するステップと
を備えたことを特徴とする方法。 - 請求項1において、前記第1のハッシュ値を前記保持ハッシュ値と比較するステップは、前記回路コンポーネントの不揮発性記憶領域に保持されている初期コードを実行するステップを含み、
前記初期コードは、前記保持ハッシュ値を含む
ことを特徴とする方法。 - 請求項2において、前記初期コードは、補助プロセッサに保持されることを特徴とする方法。
- 請求項2において、前記初期コードは、
(a)グラフィックプロセッサ、
(b)オーディオプロセッサ、
(c)入力プロセッサ、
(d)出力プロセッサ、
(e)通信プロセッサ、
(f)デジタル信号プロセッサ
のうちのいずれかに保持されることを特徴とする方法。 - 請求項2において、前記初期コードは、該初期コードを実行するプロセッサに保持されることを特徴とする方法。
- 請求項2において、前記初期コードは、請求項1に記載のステップ(a)ないし(c)を実施するために実行されることを特徴とする方法。
- 請求項2において、前記初期コードは、ファームウェアに、予め定めたバイト数として永続的に定義されることを特徴とする方法。
- 請求項1において、前記コードの定義された部分は、該コード内の予め定めたロケーションに配置された予め定めたバイト数を有するプリローダコードを備えたことを特徴とする方法。
- 請求項8において、前記デジタル署名をベリファイするステップは、前記プリローダコードに含まれる公開鍵を使用してベリファイすることを特徴とする方法。
- 電子装置のブートアップ中にアクセスされる機械命令であって、この機械命令を備えたコードがオーソライズされているか否かを判定するために一部有用な機械命令をストアした記憶媒体において、
(a)前記コードを備えた機械命令の大部分が記憶されたカーネル部分と、
(b)前記電子装置によって実行するため、前記カーネル部分に含まれる機械命令をロードするように適合させたブートローダ部分と、
(c)定義されたバイト数と定義された内容とを有し、本記憶媒体上の予め定めたロケーションに配置されたプリローダ部分と、
(d)前記コードがオーソライズされているか否かを判定するのに使用するため、前記コードをハッシュして得られたハッシュ値と比較するための確認ハッシュ値を提供するデジタル署名部分と
を備えたことを特徴とする記憶媒体。 - 請求項10において、前記プリローダ部分は、前記デジタル署名部分を復号するのに有用な公開鍵を含むことを特徴とする記憶媒体。
- 請求項10において、ROMを備えたことを特徴とする記憶媒体。
- 請求項10において、前記プリローダ部分は、一方向ハッシングアルゴリズムを定義する機械命令を含むことを特徴とする記憶媒体。
- 請求項10において、前記プリローダ部分は、該プリローダ部分に含まれる公開鍵を使用して、前記デジタル署名のベリファイを可能にする機械命令を含むことを特徴とする記憶媒体。
- 請求項10において、前記カーネル部分は、符号化されていることを特徴とする記憶媒体。
- 請求項10において、前記プリローダ部分は、前記カーネル部分をストリームサイファ復号するための機械命令を含むことを特徴とする記憶媒体。
- 請求項10において、前記プリローダ部分は、対応する秘密鍵で署名された署名をベリファイするのに使用するための少なくとも1つの公開鍵を含むことを特徴とする記憶媒体。
- オペレーションのためにブートアップさせなければならない電子装置において、
(a)複数の機械命令がストアされた不揮発性メモリであって、主要部分を含み、内容とサイズとロケーションとに関して定義されたプリローダ部分を含む不揮発性メモリと、
(b)前記不揮発性メモリに結合されたプロセッサであって前記機械命令を実行するプロセッサと、
(c)ハッシングアルゴリズムを規定する機械命令であって前記電子装置のブートアップ中に前記プロセッサによって最初に実行される機械命令と、予想ハッシュ値と、を指定するブートストラップコードファームウェア要素であって、前記プロセッサに、
(i)前記不揮発性メモリの前記プリローダ部分をハッシュしてプリローダハッシュ値を決定させ、
(ii)前記予想ハッシュ値を前記プリローダハッシュ値と比較させ、
(iii)前記プリローダハッシュ値が前記予想ハッシュ値と等しくない場合に、前記電子装置のブートアップを終了させる
ブートストラップコードファームフェア要素と
を備えたことを特徴とする電子装置。 - 請求項18において、前記不揮発性メモリの前記プリローダ部分は、前記プロセッサに、
(a)前記不揮発性メモリをハッシュしてメモリハッシュ値を生成させ、
(b)前記メモリハッシュ値を、前記プリローダ部分に含まれる予想メモリハッシュ値と比較させ、
(c)前記メモリハッシュ値が前記予想メモリハッシュ値と等しくない場合に、前記電子装置のブートアップを終了させる
機械命令を含むことを特徴とする電子装置。 - 請求項19において、前記予想メモリハッシュ値は、前記不揮発性メモリ内にデジタル署名として含まれるが、前記不揮発性メモリがハッシュされるとき除外されることを特徴とする電子装置。
- 請求項20において、前記不揮発性メモリの前記プリローダ部分中の前記機械命令は、さらに、前記プロセッサに、前記予想メモリハッシュ値を決定するために、前記デジタル署名をベリファイさせることを特徴とする電子装置。
- 請求項20において、前記不揮発性メモリの前記プリローダ部分中の前記機械命令は、さらに、前記プロセッサに、前記プリローダ部分に含まれる公開鍵を適用して前記デジタル署名をベリファイさせることを特徴とする電子装置。
- 請求項18において、前記不揮発性メモリの前記主要部分の少なくとも一部は、暗号化されており、
前記不揮発性メモリの前記プリローダ部分は、前記不揮発性メモリの前記主要部分の前記少なくとも一部であって暗号化された部分であり、前記不揮発性メモリの前記主要部分に含まれる機械命令を続行させるため前記電子装置をブートアップさせる部分を、前記プロセッサに、復号させる機械命令を含む
ことを特徴とする電子装置。 - 請求項18において、前記ブートストラップコードファームウェア要素は、本電子装置の別のコンポーネント内に配置してあり、本電子装置が動作不能になるまで前記別のコンポーネントが損傷されない限り、前記ブートストラップコードファームウェア要素に物理的にアクセスするのは実質的に不可能であることを特徴とする電子装置。
- 請求項18において、前記別のコンポーネントは、補助プロセッサを含むことを特徴とする電子装置。
- 請求項18において、前記別のコンポーネントは、
(a)グラフィックプロセッサ、
(b)オーディオプロセッサ、
(c)入力プロセッサ、
(d)出力プロセッサ、
(e)通信プロセッサ、
(f)デジタル信号プロセッサ
のうちのいずれかを備えたことを特徴とする電子装置。 - 請求項18において、前記ブートストラップコードファームウェア要素は、前記プロセッサ内に配置されることを特徴とする電子装置。
- 請求項18において、前記不揮発性メモリの前記主要部分の少なくとも一部は、暗号化されており、
前記不揮発性メモリの前記プリローダ部分は、
(a)一方向ハッシングアルゴリズムを定義する機械命令と、
(b)前記不揮発性メモリの前記主要部分の前記少なくとも一部を復号するための機械命令と、
(c)ブートローダを備えた機械命令と、
(d)少なくとも1つの公開鍵と
を備えたことを特徴とする電子装置。 - 請求項18において、ゲームコンソールを含むことを特徴とする電子装置。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/165,519 US6907522B2 (en) | 2002-06-07 | 2002-06-07 | Use of hashing in a secure boot loader |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2004013905A true JP2004013905A (ja) | 2004-01-15 |
JP2004013905A5 JP2004013905A5 (ja) | 2007-03-01 |
JP4052978B2 JP4052978B2 (ja) | 2008-02-27 |
Family
ID=29549377
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003164095A Expired - Fee Related JP4052978B2 (ja) | 2002-06-07 | 2003-06-09 | セキュアなブートローダにおけるハッシングの使用 |
Country Status (10)
Country | Link |
---|---|
US (2) | US6907522B2 (ja) |
EP (1) | EP1369764B1 (ja) |
JP (1) | JP4052978B2 (ja) |
KR (1) | KR100965717B1 (ja) |
CN (1) | CN100492277C (ja) |
AT (1) | ATE453162T1 (ja) |
AU (1) | AU2003204376B2 (ja) |
DE (1) | DE60330627D1 (ja) |
HK (1) | HK1058561A1 (ja) |
TW (1) | TWI292556B (ja) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006018825A (ja) * | 2004-06-30 | 2006-01-19 | Microsoft Corp | 状態検証を使用した保護されたオペレーティングシステムブートのためのシステムおよび方法 |
JP2006164273A (ja) * | 2004-12-09 | 2006-06-22 | Samsung Electronics Co Ltd | 保安ブート装置及び方法 |
JP2006323814A (ja) * | 2005-01-07 | 2006-11-30 | Microsoft Corp | 信頼できる処理モジュールを有するコンピュータを安全にブートするためのシステムおよび方法 |
KR100675186B1 (ko) | 2005-09-29 | 2007-01-30 | 엘지전자 주식회사 | 사용자식별모듈의 사용자식별정보 해시 기능을 가지는이동통신 단말기 및 그 부팅 방법 |
US7287155B2 (en) | 2004-04-19 | 2007-10-23 | Hitachi, Ltd. | Storage control system and boot control system |
US7454385B2 (en) * | 2000-09-13 | 2008-11-18 | Igt | Transaction signature |
JP2009517972A (ja) | 2005-11-29 | 2009-04-30 | トムソン ライセンシング | デジタルコンテンツを保護する方法及び装置 |
JP2011210278A (ja) * | 2005-09-14 | 2011-10-20 | Sandisk Corp | メモリカードコントローラファームウェアのハードウェアドライバ完全性チェック |
WO2013001721A1 (ja) * | 2011-06-29 | 2013-01-03 | パナソニック株式会社 | コンピュータ制御方法 |
WO2014155229A1 (en) * | 2013-03-28 | 2014-10-02 | International Business Machines Corporation | Secure execution of software modules on a computer |
US8966284B2 (en) | 2005-09-14 | 2015-02-24 | Sandisk Technologies Inc. | Hardware driver integrity check of memory card controller firmware |
Families Citing this family (80)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020147918A1 (en) * | 2001-04-05 | 2002-10-10 | Osthoff Harro R. | System and method for securing information in memory |
US8708828B2 (en) | 2001-09-28 | 2014-04-29 | Igt | Pluggable modular gaming modifiers and configuration templates for gaming environments |
US7931533B2 (en) | 2001-09-28 | 2011-04-26 | Igt | Game development architecture that decouples the game logic from the graphics logics |
US6902481B2 (en) | 2001-09-28 | 2005-06-07 | Igt | Decoupling of the graphical presentation of a game from the presentation logic |
EP1338939A1 (en) * | 2002-02-22 | 2003-08-27 | Hewlett-Packard Company | State validation device for a computer |
US8140824B2 (en) * | 2002-11-21 | 2012-03-20 | International Business Machines Corporation | Secure code authentication |
US7194626B2 (en) * | 2002-11-21 | 2007-03-20 | International Business Machines Corporation | Hardware-based secure code authentication |
FR2849226B1 (fr) * | 2002-12-20 | 2005-12-02 | Oberthur Card Syst Sa | Procede et dispositif de securisation de l'execution d'un programme informatique. |
US8784195B1 (en) | 2003-03-05 | 2014-07-22 | Bally Gaming, Inc. | Authentication system for gaming machines |
EP1465038B1 (en) * | 2003-04-03 | 2013-03-27 | STMicroelectronics (Research & Development) Limited | Memory security device for flexible software environment |
US7171563B2 (en) * | 2003-05-15 | 2007-01-30 | International Business Machines Corporation | Method and system for ensuring security of code in a system on a chip |
US7725740B2 (en) * | 2003-05-23 | 2010-05-25 | Nagravision S.A. | Generating a root key for decryption of a transmission key allowing secure communications |
US7475254B2 (en) * | 2003-06-19 | 2009-01-06 | International Business Machines Corporation | Method for authenticating software using protected master key |
US7434231B2 (en) * | 2003-06-27 | 2008-10-07 | Intel Corporation | Methods and apparatus to protect a protocol interface |
FR2867929B1 (fr) * | 2004-03-19 | 2007-03-02 | Gemplus Card Int | Procede d'authentification dynamique de programmes par un objet portable electronique |
US20050262337A1 (en) * | 2004-05-24 | 2005-11-24 | Siemens Vdo Automotive Corporation | Method and device for determining flash software compatibility with hardware |
JP4447977B2 (ja) | 2004-06-30 | 2010-04-07 | 富士通マイクロエレクトロニクス株式会社 | セキュアプロセッサ、およびセキュアプロセッサ用プログラム。 |
US7937593B2 (en) * | 2004-08-06 | 2011-05-03 | Broadcom Corporation | Storage device content authentication |
DE102004047191A1 (de) * | 2004-09-29 | 2006-04-06 | Robert Bosch Gmbh | Manipulationsgeschütztes Mikroprozessorsystem und Betriebsverfahren dafür |
CN101065716A (zh) | 2004-11-22 | 2007-10-31 | 诺基亚公司 | 用于验证电子设备的平台软件的完整性的方法和设备 |
US8181020B2 (en) * | 2005-02-02 | 2012-05-15 | Insyde Software Corp. | System and method for securely storing firmware |
US7722468B2 (en) * | 2005-03-09 | 2010-05-25 | Igt | Magnetoresistive memory units as read only memory devices in gaming machines |
US20060205513A1 (en) * | 2005-03-09 | 2006-09-14 | Igt | MRAM as nonvolatile safe storage for power hit and ESD tolerance in gaming machines |
US7736234B2 (en) * | 2005-03-09 | 2010-06-15 | Igt | MRAM as critical event storage for powered down gaming machines |
US20060236122A1 (en) * | 2005-04-15 | 2006-10-19 | Microsoft Corporation | Secure boot |
US7917762B2 (en) * | 2005-09-30 | 2011-03-29 | Phoenix Technologies Ltd. | Secure execution environment by preventing execution of unauthorized boot loaders |
US20070101156A1 (en) * | 2005-10-31 | 2007-05-03 | Manuel Novoa | Methods and systems for associating an embedded security chip with a computer |
AU2007252841B2 (en) * | 2006-05-24 | 2012-06-28 | Safend Ltd. | Method and system for defending security application in a user's computer |
EP1868127A1 (en) * | 2006-06-15 | 2007-12-19 | Thomson Telecom Belgium | Device comprising a public and a private area and a method for securely initializing the device |
US8117429B2 (en) * | 2006-11-01 | 2012-02-14 | Nokia Corporation | System and method for a distributed and flexible configuration of a TCG TPM-based local verifier |
US8291480B2 (en) | 2007-01-07 | 2012-10-16 | Apple Inc. | Trusting an unverified code image in a computing device |
US8254568B2 (en) * | 2007-01-07 | 2012-08-28 | Apple Inc. | Secure booting a computing device |
US8239688B2 (en) | 2007-01-07 | 2012-08-07 | Apple Inc. | Securely recovering a computing device |
US20080178257A1 (en) * | 2007-01-20 | 2008-07-24 | Takuya Mishina | Method for integrity metrics management |
US7617493B2 (en) * | 2007-01-23 | 2009-11-10 | International Business Machines Corporation | Defining memory indifferent trace handles |
KR101209252B1 (ko) * | 2007-02-02 | 2012-12-06 | 삼성전자주식회사 | 전자기기의 부팅 방법 및 부팅 인증 방법 |
WO2008096891A1 (ja) * | 2007-02-09 | 2008-08-14 | Ntt Docomo, Inc. | 端末装置及びソフトウエア検査方法 |
US20080222428A1 (en) * | 2007-03-07 | 2008-09-11 | Andrew Dellow | Method for Securing Authenticity of Data in a Digital Processing System |
KR101427646B1 (ko) * | 2007-05-14 | 2014-09-23 | 삼성전자주식회사 | 펌웨어의 무결성 검사 방법 및 장치 |
US8422674B2 (en) * | 2007-05-29 | 2013-04-16 | International Business Machines Corporation | Application-specific secret generation |
US8433927B2 (en) * | 2007-05-29 | 2013-04-30 | International Business Machines Corporation | Cryptographically-enabled privileged mode execution |
US8332635B2 (en) * | 2007-05-29 | 2012-12-11 | International Business Machines Corporation | Updateable secure kernel extensions |
JPWO2009013825A1 (ja) * | 2007-07-25 | 2010-09-30 | パナソニック株式会社 | 情報処理装置、及び改竄検証方法 |
US8068614B2 (en) * | 2007-09-28 | 2011-11-29 | Intel Corporation | Methods and apparatus for batch bound authentication |
US8332636B2 (en) * | 2007-10-02 | 2012-12-11 | International Business Machines Corporation | Secure policy differentiation by secure kernel design |
US8166304B2 (en) * | 2007-10-02 | 2012-04-24 | International Business Machines Corporation | Support for multiple security policies on a unified authentication architecture |
US20090172420A1 (en) * | 2007-12-31 | 2009-07-02 | Kabushiki Kaisha Toshiba | Tamper resistant method and apparatus for a storage device |
KR101502032B1 (ko) * | 2008-03-06 | 2015-03-12 | 삼성전자주식회사 | 보안 기능을 갖는 프로세서 장치 |
AU2009201191A1 (en) * | 2008-03-26 | 2009-10-15 | Aristocrat Technologies Australia Pty Limited | A gaming machine |
US8150039B2 (en) | 2008-04-15 | 2012-04-03 | Apple Inc. | Single security model in booting a computing device |
CN101299849B (zh) * | 2008-04-25 | 2010-05-12 | 中兴通讯股份有限公司 | 一种WiMAX终端及其启动方法 |
DE102008021567B4 (de) * | 2008-04-30 | 2018-03-22 | Globalfoundries Inc. | Computersystem mit sicherem Hochlaufmechanismus auf der Grundlage einer Verschlüsselung mit symmetrischem Schlüssel |
US9122864B2 (en) * | 2008-08-05 | 2015-09-01 | International Business Machines Corporation | Method and apparatus for transitive program verification |
US20100064125A1 (en) * | 2008-09-11 | 2010-03-11 | Mediatek Inc. | Programmable device and booting method |
US9653004B2 (en) | 2008-10-16 | 2017-05-16 | Cypress Semiconductor Corporation | Systems and methods for downloading code and data into a secure non-volatile memory |
US8832454B2 (en) * | 2008-12-30 | 2014-09-09 | Intel Corporation | Apparatus and method for runtime integrity verification |
US8806220B2 (en) | 2009-01-07 | 2014-08-12 | Microsoft Corporation | Device side host integrity validation |
DE102010005726A1 (de) * | 2010-01-26 | 2011-07-28 | Giesecke & Devrient GmbH, 81677 | Verfahren zum Zuordnen eines tragbaren Datenträgers, insbesondere einer Chipkarte, zu einem Terminal |
KR20120092222A (ko) | 2011-02-11 | 2012-08-21 | 삼성전자주식회사 | 보안 부팅 방법 및 보안 부트 이미지 생성 방법 |
US9286468B2 (en) | 2011-09-30 | 2016-03-15 | Hewlett-Packard Development Company, L.P. | Option read-only memory use |
TW201346764A (zh) * | 2012-05-11 | 2013-11-16 | Ibase Technology Inc | 開機保全軟體方法 |
US9671945B2 (en) * | 2013-12-17 | 2017-06-06 | American Megatrends, Inc. | Techniques of launching virtual machine from thin client |
US20150286823A1 (en) * | 2014-04-07 | 2015-10-08 | Qualcomm Incorporated | System and method for boot sequence modification using chip-restricted instructions residing on an external memory device |
GB2525409B (en) * | 2014-04-24 | 2016-11-02 | Ibm | Enabling an external operating system to access encrypted data units of a data storage system |
US9195831B1 (en) | 2014-05-02 | 2015-11-24 | Google Inc. | Verified boot |
EP3268893B1 (en) * | 2015-04-17 | 2019-02-06 | Hewlett-Packard Enterprise Development LP | Firmware map data |
US20160314288A1 (en) * | 2015-04-22 | 2016-10-27 | Qualcomm Incorporated | Method and apparatus for write restricted storage |
US10176094B2 (en) * | 2015-06-30 | 2019-01-08 | Renesas Electronics America Inc. | Common MCU self-identification information |
HUE054907T2 (hu) * | 2015-07-31 | 2021-10-28 | Hewlett Packard Development Co | Képalkotó kellék |
WO2017066194A1 (en) | 2015-10-11 | 2017-04-20 | Renesas Electronics America Inc. | Data driven embedded application building and configuration |
US9916452B2 (en) | 2016-05-18 | 2018-03-13 | Microsoft Technology Licensing, Llc | Self-contained cryptographic boot policy validation |
US10365961B2 (en) * | 2016-09-09 | 2019-07-30 | Dell Products L.P. | Information handling system pre-boot fault management |
KR102538096B1 (ko) * | 2016-09-13 | 2023-05-31 | 삼성전자주식회사 | 어플리케이션을 검증하는 디바이스 및 방법 |
CN106778283B (zh) * | 2016-11-21 | 2020-04-07 | 惠州Tcl移动通信有限公司 | 一种系统分区关键数据的保护方法及系统 |
US10417429B2 (en) | 2017-06-02 | 2019-09-17 | Apple Inc. | Method and apparatus for boot variable protection |
US11263326B2 (en) | 2017-06-02 | 2022-03-01 | Apple Inc. | Method and apparatus for secure system boot |
WO2020027815A1 (en) * | 2018-07-31 | 2020-02-06 | Hewlett-Packard Development Company, L.P. | Executing instructions |
JP6925542B2 (ja) | 2018-10-12 | 2021-08-25 | 三菱電機株式会社 | ソフトウェア検証装置、ソフトウェア検証方法およびソフトウェア検証プログラム |
CN110262840B (zh) * | 2019-06-17 | 2023-01-10 | Oppo广东移动通信有限公司 | 设备启动监控方法及相关产品 |
US11960608B2 (en) * | 2021-04-29 | 2024-04-16 | Infineon Technologies Ag | Fast secure booting method and system |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4654480A (en) * | 1985-11-26 | 1987-03-31 | Weiss Jeffrey A | Method and apparatus for synchronizing encrypting and decrypting systems |
WO1993017388A1 (en) * | 1992-02-26 | 1993-09-02 | Clark Paul C | System for protecting computers via intelligent tokens or smart cards |
CA2225805C (en) * | 1995-06-29 | 2002-11-12 | Allan E. Alcorn | Electronic casino gaming system with improved play capacity, authentication and security |
US5643086A (en) * | 1995-06-29 | 1997-07-01 | Silicon Gaming, Inc. | Electronic casino gaming apparatus with improved play capacity, authentication and security |
JP3293760B2 (ja) | 1997-05-27 | 2002-06-17 | 株式会社エヌイーシー情報システムズ | 改ざん検知機能付きコンピュータシステム |
US5919257A (en) * | 1997-08-08 | 1999-07-06 | Novell, Inc. | Networked workstation intrusion detection system |
US6704871B1 (en) * | 1997-09-16 | 2004-03-09 | Safenet, Inc. | Cryptographic co-processor |
US6185678B1 (en) * | 1997-10-02 | 2001-02-06 | Trustees Of The University Of Pennsylvania | Secure and reliable bootstrap architecture |
US6378072B1 (en) * | 1998-02-03 | 2002-04-23 | Compaq Computer Corporation | Cryptographic system |
US6401208B2 (en) * | 1998-07-17 | 2002-06-04 | Intel Corporation | Method for BIOS authentication prior to BIOS execution |
US6081890A (en) * | 1998-11-30 | 2000-06-27 | Intel Corporation | Method of communication between firmware written for different instruction set architectures |
US6263431B1 (en) * | 1998-12-31 | 2001-07-17 | Intle Corporation | Operating system bootstrap security mechanism |
WO2000048063A1 (en) * | 1999-02-15 | 2000-08-17 | Hewlett-Packard Company | Trusted computing platform |
US6625730B1 (en) * | 2000-03-31 | 2003-09-23 | Hewlett-Packard Development Company, L.P. | System for validating a bios program and memory coupled therewith by using a boot block program having a validation routine |
US20040064457A1 (en) * | 2002-09-27 | 2004-04-01 | Zimmer Vincent J. | Mechanism for providing both a secure and attested boot |
-
2002
- 2002-06-07 US US10/165,519 patent/US6907522B2/en not_active Expired - Fee Related
-
2003
- 2003-05-26 AU AU2003204376A patent/AU2003204376B2/en not_active Ceased
- 2003-06-02 DE DE60330627T patent/DE60330627D1/de not_active Expired - Lifetime
- 2003-06-02 EP EP03012544A patent/EP1369764B1/en not_active Expired - Lifetime
- 2003-06-02 AT AT03012544T patent/ATE453162T1/de not_active IP Right Cessation
- 2003-06-02 TW TW092114953A patent/TWI292556B/zh not_active IP Right Cessation
- 2003-06-05 KR KR1020030036264A patent/KR100965717B1/ko not_active IP Right Cessation
- 2003-06-05 CN CNB031412203A patent/CN100492277C/zh not_active Expired - Fee Related
- 2003-06-09 JP JP2003164095A patent/JP4052978B2/ja not_active Expired - Fee Related
-
2004
- 2004-02-19 HK HK04101203.7A patent/HK1058561A1/xx not_active IP Right Cessation
-
2005
- 2005-01-07 US US11/030,825 patent/US7676840B2/en not_active Expired - Fee Related
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7454385B2 (en) * | 2000-09-13 | 2008-11-18 | Igt | Transaction signature |
US7287155B2 (en) | 2004-04-19 | 2007-10-23 | Hitachi, Ltd. | Storage control system and boot control system |
US7644263B2 (en) | 2004-04-19 | 2010-01-05 | Hitachi, Ltd. | Storage control system and boot control system |
JP2006018825A (ja) * | 2004-06-30 | 2006-01-19 | Microsoft Corp | 状態検証を使用した保護されたオペレーティングシステムブートのためのシステムおよび方法 |
JP2006164273A (ja) * | 2004-12-09 | 2006-06-22 | Samsung Electronics Co Ltd | 保安ブート装置及び方法 |
JP2006323814A (ja) * | 2005-01-07 | 2006-11-30 | Microsoft Corp | 信頼できる処理モジュールを有するコンピュータを安全にブートするためのシステムおよび方法 |
US8966284B2 (en) | 2005-09-14 | 2015-02-24 | Sandisk Technologies Inc. | Hardware driver integrity check of memory card controller firmware |
JP2011210278A (ja) * | 2005-09-14 | 2011-10-20 | Sandisk Corp | メモリカードコントローラファームウェアのハードウェアドライバ完全性チェック |
KR100675186B1 (ko) | 2005-09-29 | 2007-01-30 | 엘지전자 주식회사 | 사용자식별모듈의 사용자식별정보 해시 기능을 가지는이동통신 단말기 및 그 부팅 방법 |
JP2009517972A (ja) | 2005-11-29 | 2009-04-30 | トムソン ライセンシング | デジタルコンテンツを保護する方法及び装置 |
WO2013001721A1 (ja) * | 2011-06-29 | 2013-01-03 | パナソニック株式会社 | コンピュータ制御方法 |
WO2014155229A1 (en) * | 2013-03-28 | 2014-10-02 | International Business Machines Corporation | Secure execution of software modules on a computer |
JP2016517976A (ja) * | 2013-03-28 | 2016-06-20 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | コンピュータでソフトウェア・モジュールを実行するための方法、ブートローダ、ユーザ信頼デバイス、およびシステム |
US9824220B2 (en) | 2013-03-28 | 2017-11-21 | International Business Machines Corporation | Secure execution of software modules on a computer |
Also Published As
Publication number | Publication date |
---|---|
US6907522B2 (en) | 2005-06-14 |
AU2003204376B2 (en) | 2009-11-26 |
JP4052978B2 (ja) | 2008-02-27 |
CN1469238A (zh) | 2004-01-21 |
HK1058561A1 (en) | 2004-05-21 |
TWI292556B (en) | 2008-01-11 |
CN100492277C (zh) | 2009-05-27 |
KR20030095301A (ko) | 2003-12-18 |
US20030229777A1 (en) | 2003-12-11 |
EP1369764A2 (en) | 2003-12-10 |
US20050138270A1 (en) | 2005-06-23 |
KR100965717B1 (ko) | 2010-06-24 |
ATE453162T1 (de) | 2010-01-15 |
EP1369764B1 (en) | 2009-12-23 |
DE60330627D1 (de) | 2010-02-04 |
TW200401228A (en) | 2004-01-16 |
AU2003204376A1 (en) | 2004-01-08 |
US7676840B2 (en) | 2010-03-09 |
EP1369764A3 (en) | 2005-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4052978B2 (ja) | セキュアなブートローダにおけるハッシングの使用 | |
US7802110B2 (en) | System and method for secure execution of program code | |
US9613215B2 (en) | Method and system for implementing a secure chain of trust | |
US6735696B1 (en) | Digital content protection using a secure booting method and apparatus | |
US7552326B2 (en) | Use of kernel authorization data to maintain security in a digital processing system | |
US8006095B2 (en) | Configurable signature for authenticating data or program code | |
US20020116632A1 (en) | Tamper-resistant computer system | |
TWI385554B (zh) | 未知安全金鑰下開機影像之安全更新 | |
US9836601B2 (en) | Protecting anti-malware processes | |
EP1273996A2 (en) | Secure bootloader for securing digital devices | |
US20090094597A1 (en) | Portable firmware device | |
US20030056107A1 (en) | Secure bootloader for securing digital devices | |
JP2011527777A (ja) | 安全な起動メカニズムを備えたコンピュータシステム | |
US8656190B2 (en) | One time settable tamper resistant software repository | |
US20020169976A1 (en) | Enabling optional system features | |
JP2003288128A (ja) | 外部接続デバイスにおけるアプリケーションの適正使用方法及び外部接続デバイス | |
JP2009517972A (ja) | デジタルコンテンツを保護する方法及び装置 | |
JP2011511354A (ja) | コピー防止機能付きソフトウェアカートリッジ | |
JP2003143141A (ja) | ソフトウェアにより制御される装置 | |
US8661234B2 (en) | Individualized per device initialization of computing devices in avoidance of mass exploitation of vulnerabilities | |
Amato et al. | Mobile Systems Secure State Management | |
KR101179573B1 (ko) | 컨텐츠 보안성을 강화한 가라오케 시스템 및 그 구동방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060425 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20070110 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070112 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070117 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20070117 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20070202 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070208 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070508 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070618 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070904 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20071010 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071120 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071204 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101214 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101214 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111214 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111214 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121214 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131214 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |