JP2004013905A - セキュアなブートローダにおけるハッシングの使用 - Google Patents

セキュアなブートローダにおけるハッシングの使用 Download PDF

Info

Publication number
JP2004013905A
JP2004013905A JP2003164095A JP2003164095A JP2004013905A JP 2004013905 A JP2004013905 A JP 2004013905A JP 2003164095 A JP2003164095 A JP 2003164095A JP 2003164095 A JP2003164095 A JP 2003164095A JP 2004013905 A JP2004013905 A JP 2004013905A
Authority
JP
Japan
Prior art keywords
code
hash value
electronic device
preloader
machine instructions
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003164095A
Other languages
English (en)
Other versions
JP4052978B2 (ja
JP2004013905A5 (ja
Inventor
Dinarte Morais
ディナルト モレ
Jon Lange
ジョン ランジュ
Dan Simon
ダン サイモン
Ling Tony Chen
リン トニー チェン
Josh D Benaloh
ジョシュ ディー.ベナロー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2004013905A publication Critical patent/JP2004013905A/ja
Publication of JP2004013905A5 publication Critical patent/JP2004013905A5/ja
Application granted granted Critical
Publication of JP4052978B2 publication Critical patent/JP4052978B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/22Microcontrol or microprogram arrangements
    • G06F9/24Loading of the microprogram
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)
  • Footwear And Its Accessory, Manufacturing Method And Apparatuses (AREA)
  • Orthopedics, Nursing, And Contraception (AREA)
  • Diaphragms And Bellows (AREA)
  • Emergency Protection Circuit Devices (AREA)
  • Exchange Systems With Centralized Control (AREA)
  • Hardware Redundancy (AREA)

Abstract

【課題】プロセッサを備える電子装置をセキュアにブートアップする。
【解決手段】ブートストラップコードを備える機械命令は、電子ゲームコンソールのクリティカルなコンポーネント内に埋め込んであり、埋め込んだ機械命令には容易にアクセス及び修正することができない。ROMのプリローダ部分をブートストラップコードでハッシュし、得られた結果を、ブートストラップコード中で保持される予想ハッシュ値と、比較する。ブートプロセスは、プリローダによりさらにベリファイされる。このプリローダは、ROM中のコードをハッシュしてコードのハッシュ値を得る。このハッシュ予想値を定義するデジタル署名の値に対して、この結果がベリファイされる。予想結果が得られない場合は、ブートアッププロセスを終了する。
【選択図】    図4

Description

【0001】
【発明の属する技術分野】
本発明は、一般に、プロセッサを含む電子装置をセキュアにブートアップすることに関し、具体的には、このような電子装置をブートアップするときに、所望の機械命令のみがプロセッサによって実行されることを保証し、これによりブートアッププロセス中に置換または代替の機械命令が実行されるのを防止することに関する。
【0002】
【従来の技術】
電子装置は、多くの場合、起動時またはリセット時に、ブートアッププロセスを経なければならない。ブートアッププロセスにおいては、当該電子装置の基本的なオペレーション特性をコントロールする機械命令であって、ROM(read only memory)にストアされている機械命令が、アクセスされ実行されると、当該電子装置が初期化され、この機械命令によりさらに機械命令がRAM(random access memory)にロードされ、そしてこのロードされた機械命令が実行されると、これにより当該電子装置に機能がさらにインプリメントされる。例えば、パーソナルコンピュータがブートアップされると、BIOS(basic input−output system)を備えた命令が実行され、これにより、OS(operating system)がハードドライブからRAMにロードされ、このOSはコンピュータのCPU(central processing unit)によって実行される。「ブートアップ」という用語は、初期の「ブートストラップ」という記述的な用語を短縮したものである。
【0003】
その他、ブートアップしなければならない電子装置としては、ゲームコンソールと、デジタル記録装置と、パーソナルデータシステムとが含まれ、プロセッサを含む電子製品はほとんどのものが含まれる。この種のプロセッサは、次々に機械命令をメモリにロードして実行し機能を追加していくため、初期機械命令のセットを実行しなければならないようになっている。このブートアッププロセスにより電子装置の初期状態が決定されるので、このブートアッププロセスは、当該電子装置の重要なオペレーションパラメータに影響を与え、ブートアッププロセスの完了後に当該電子装置がどのように使用されるかに実質的に影響を与える可能性がある。このブートアッププロセスが修正されないようにすることは、当該電子装置の販売会社にとって、当該電子装置の使用により得られる収益が減じないようにするためにも、重要なことである。
【0004】
例えば電子ゲーム産業においては、電子ゲームをプレイするために販売されたゲームコンソールの商業的価値は、多くは、ゲームコンソールでラン(run)されるゲームソフトウェアのライセンスからの収益である。そこで、ブートアッププロセスにおいてロードされる機械命令には、ライセンスのないソフトウェアコピーがゲームコンソール上でランされないようにする機能と、電子ゲームをプレイするためのゲームコンソールの使用に関係する製造業者のポリシーを順守させる機能とがインプリメントされている。ユーザの中には、ライセンスのないソフトウェアコピーのランに対する規制や、ゲームコンソールに関するこのようなポリシーを順守させる規制を、ゲームコンソールに対する挑戦的な規制であり歓迎できない規制であるとみる者もいる。このようなユーザは、ゲームコンソール回路やソフトウェアを「ハック(hack)」してこのような規制を打破しようとしている。例えば、これらの規制を回避するための1つの方法としては、ゲームコンソールでランされるブートアッププロセスに、幾つかの変更を加えた改変ソフトウェアカーネルをロードさせる方法がある。変更が加えられたため、ゲームコンソール製造業者による規制が取り除かれるので、結果として、当該製造業者がゲームコンソールの使用をコントロールできなくなるおそれがあり、仮にライセンスのないソフトウェアゲームコピーがゲームコンソール上でランできるようになった場合でも、収益が減じるおそれがある。そこで、普通は、ゲームコンソール製造業者が、ハッカーがブートアッププロセス中に改変ソフトウェアカーネルを使用できないように、努力している。
【0005】
ブートアップしなければならない電子装置を利用する他の技術分野においても、同様の問題が存在する。例えば、ユーザから月額料金が支払われたか否かに基づき受信チャネルを制限する衛星TV(television)レシーバの製造業者においては、当該コンシューマがライセンス条項に従って衛星TVレシーバを使用できるためには、製造業者のセキュリティポリシーと、製造業者の製品の使用に関するポリシーとが順守されることを保証しなければならい。ユーザがビューするためにペイしたTVチャネルを衛星TVレシーバ内のプロセッサに決定させるためのコードを、ハッカーが修正すると、これにより、ライセンス料を適正に支払わなくても、全てのチャネルを受信しビューすることができる。
【0006】
【発明が解決しようとする課題】
そこで、電子装置のブートアップ中においては、オーソライズされたソフトウェアコードのみが実行されるようにすることが望ましい。使用されている技法は、どれも、オーソライズされたソフトウェアであって電子装置のブートアップ中に実行されるようになっているソフトウェアが、修正又は改変された機械命令セットと置換されないようにすべきであり、この技法は、電子装置が、製造側の、および/または当該電子装置をエンドユーザに配布した側の、機能およびポリシーをインプリメントすることを、保証すべきである。電子装置のブートアップ時にロードされるコードに含まれる、電子装置の使用に関する規制およびポリシーを、ハッカーが破るのを防止するための既知の手法は、完全には成功していないようである。アドイン回路カードが代替ソフトウェアコードを含む場合には、ハッカーは、この回路カードを電子装置の回路に結合するだけで、既知のセキュリティアプローチを少なくとも一部は破ることができる。明らかなことであるが、電子装置のブートアッププロセス中に代替コードが挿入されたり実行されたりするのを防止するためには、よりセキュアで厳重な手法が必要である。
【0007】
【課題を解決するための手段】
本発明は、プロセッサを備えた装置であって、当該電子装置の機能を実行させるために、起動時またはリセット時にブートアップしなければならない装置であればどの装置にも適用可能である。このような装置においては、当該電子装置のオペレーション中に利用されるプロプラエタリ(proprietary)情報を保護すること、及びオーソライズされていないコードがブートアッププロセス中に実行されて、当該電子装置のオペレーションおよびアプリケーション(application)に関係するポリシーが覆されないことを防止することは、重要であることが多い。
【0008】
電子装置の所望のポリシーおよび機能を覆すために置換される可能性が最も高いコンポーネントの1つは、電子装置がどのように使用されるかを定義する機械命令がストアされた不揮発性メモリである。したがって、本発明は、このようなメモリ中の機械命令を含むコードがオーソライズされていること(すなわち、電子装置の所望の機能およびポリシーを変更する機械命令で修正または置換されていないこと)を確認することを試みる。本発明においては、オーソライズされているコードは、定義された部分(プリローダコードともいう)を含む。この定義された部分は、オーソライズされているコードの残りの部分に変更が加えられても、変化しないようにしなければならない。そうでないと、当該電子装置はブートアップしないことになる。
【0009】
最初に、コードの定義された部分がオーソライズされているであることを保証するためのプロシージャを実行する。このプロシージャにおいては、定義された部分をハッシュして、第1のハッシュ値を生成する。ついで、この第1のハッシュ値を、コードがストアされているメモリとは別の電子装置回路コンポーネントに保持されている保持ハッシュ値と比較し、コードの定義された部分がオーソライズされていることをベリファイする。この第1のハッシュ値が保持ハッシュ値と等しい場合は、コードの定義された部分の実行を可能にし、そうでない場合は、電子装置のブートアップを終了する。コードの定義された部分が実行可能になった場合、実質的に全てのコードをハッシュして、第2のハッシュ値を決定する。コードの定義された部分とは異なるコード部分には、デジタル署名が含まれている。ついで、第2のハッシュ値によりデジタル署名がベリファイされ、署名の妥当性が保証される。デジタル署名が真正であるとベリファイされた場合は、コードの実行を可能にし、そうでない場合は、電子装置のブートアップを終了する。
【0010】
第1の値を保持ハッシュ値と比較するためには、回路コンポーネントの不揮発性記憶領域で保持される初期コードを実行する。この初期コードは、保持ハッシュ値を含み、グラフィックプロセッサ中で保持される。ただし、他のタイプの補助プロセッサ、例えば、オーディオプロセッサ、入力プロセッサ、出力プロセッサ、通信プロセッサ、またはデジタル信号プロセッサ中で保持ハッシュ値が保持されるようになっている。実際、初期コードおよび予想ハッシュ値は、初期コードを実行するプロセッサ中で保持することがより一層好ましい。初期コードを実行して、定義された部分をハッシュし、第1のハッシュ値と保持ハッシュ値とを比較する。本発明の好ましい形態においては、初期コードは、ファームウェア中で予め定めたバイト数として永続的に定義される。加えて、コードの定義された部分は、コード内の定義されたロケーションに配置された予め定めたバイト数を含むことが好ましい。これは明らかであるが、保持ハッシュ値が変更されない限り、コードの定義された部分のサイズおよび内容を修正することはできない。というのは、修正された場合には、保持ハッシュ値は第1のハッシュ値と等しくなくなるからである。
【0011】
定義されたコードは、デジタル署名をベリファイするのに使用される公開鍵も含み、コードの暗号化されたカーネル部分を復号できるようにする機械命令も有する。ついで、復号されたカーネルを実行して、電子装置のブートアップを完了する。定義されたコードは、ストリーミングサイファ(streaming cipher)を使用して、コードのカーネル部分の復号をインプリメントする。
【0012】
本発明の別の態様は、コードがオーソライズされているか否かを判定するため、当該電子装置のブートアップ中にアクセスされる機械命令を含むコードがストアされた記憶媒体を対象とする。この記憶媒体は、前に述べた、カーネル部分、ブートローダ部分、プリローダ部分、およびデジタル署名を含む。
【0013】
本発明の別の態様は、オペレーションするためにブートアップされなければならない電子装置を対象とする。この電子装置は、複数の機械命令がストアされた不揮発性メモリを含む。不揮発性メモリは、主要部分と、定義された内容、サイズ、およびロケーションを有するプリローダ部分とを含む。プロセッサが不揮発性メモリに結合されて、ブートアッププロセス中に機械命令を実行する。ブートストラップコードファームウェア要素が、ハッシングアルゴリズムを規定する機械命令と予想ハッシュ値とを指定する。ブートストラップコードファームウェアの機械命令は、電子装置のブートアップ中にプロセッサによって最初に実行され、プリローダ部分のハッシング、およびその結果と予想ハッシュ値の比較を、プロセッサにインプリメントさせる。電子装置およびその機能のその他の詳細は、一般に、前に述べた方法のステップと一致する。
【0014】
本発明をゲームコンソールのような電子装置に採用すれば、ブートアッププロセス中に実行される機械命令を変更しようとしても、あるいは異なる機械命令をもつ別のメモリと置換しようとしても、装置は首尾よくブートアップされなくなることが明らかである。したがって、本発明は、一般に、電子装置のブートアップ中にオーソライズされているコードのみが実行されるようにすることにより、何者かが基本機能を修正するか、あるいは電子装置によってインプリメントされる所望のポリシーを回避することを防止すべきである。
【0015】
本発明の前述の態様およびそれに付随する利点の多くは、以下の詳細な説明を、添付の図面を参照することによってよりよく理解されるので、より認識しやすくなるであろう。
【0016】
【発明の実施の形態】
(システム例)
次のことは強調しておかなければならない。すなわち、本発明の第1の好ましい実施形態は、実際は、ゲームコンソール上で使用されるが、本発明は、ゲームコンソールと共に使用されることに限定されない。本発明は、コードをリバースエンジニアリングしようとするユーザに、プロプラエタリ情報が開示されないようにするため、及び電子ゲームをするためのゲームコンソールの使用に関するライセンス規制およびポリシーを、ユーザが回避するのを防止するために、発明された。
【0017】
図1に示すように、電子ゲームシステム100には、ゲームコンソール102と、コントローラ104aおよび104bのような入力装置(最高4人のユーザをサポートする)が含まれている。ゲームコンソール102は、(図1に図示しない)内部ハードディスクドライブを備え、種々のフォーマットのポータブル光記憶媒体(図1には光記憶ディスク108で表している)をサポートするポータブル媒体ドライブ106を備えている。適正なポータブルストア媒体の例には、DVDディスクおよびCD−ROMディスクが含まれる。このゲームシステムにおいては、ゲームプログラムは、ゲームコンソールとともに使用するためDVDディスクで配布されるのが好ましいが、しかし、データセキュリティポリシーを順守し、システムに入力されているデジタルデータが真正であることを保証するため、本発明を使用している本システムその他のシステムで、他の記憶媒体を、DVDの代わりに、使用できるようにしてある。
【0018】
ゲームコンソール102の前面には、コントローラに接続しコントローラをサポートするための4つのスロット110がある。ただしスロットの数および構成は変更することができる。電源ボタン112とイジェクトボタン114もゲームコンソール102の前面に配置されている。電源ボタン112は、電源のゲームコンソールへの供給をコントロールするものであり、イジェクトボタン114は、ゲームコンソール102が光記憶ディスク108上のデジタルデータをリードして使用できるように、光記憶ディスク108を挿入したり取り出すため、ポータブル媒体ドライブ106のトレイ(図示せず)をオープン又はクローズするものである。
【0019】
ゲームコンソール102は、TVその他のディスプレイモニタ、または(図示しない)スクリーンに、オーディオ/ビジュアル(A/V)インタフェースケーブル120を介して接続されている。電源ケーブルプラグ122は、慣用の(図示しない)交流電源に接続されたとき、ゲームコンソールに電源を供給するものである。ゲームコンソール102は、the Internetのようなネットワークを介し、例えば慣用の電話モデムを介して、またはより好ましくはブロードバンド接続により、データを転送するため、データコネクタ124を備えることもできる。
【0020】
コントローラ104aおよび104bは、リード線を介して(あるいは無線インタフェースを介して)ゲームコンソール102に結合されている。本実装形態においては、コントローラ104aおよび104bは、USB(universal serial bus)コンパチブルであり、USBケーブル130を介して、ゲームコンソール102に接続されている。ゲームコンソール102は、ゲームソフトウェアとインタラクト(interact)し、このゲームソフトウェアをコントロールするための種々のユーザ装置を備えることができる。図1には、コントローラ104aの詳細を全て示していないが、コントローラ104aおよび104bは、2つのサムスティック132aおよび132bと、Dパッド134と、ボタン136と、2つのトリガ138を備えている。これらのコントローラは代表的なものであるが、他の既知のゲーム入力およびコントロール機構を、ゲームコンソール102と共に使用するために、図1に示すものに代えて、又は図1に示すものに追加することもできる。
【0021】
リムーバブルまたはポータブルMU(memory unit)140を、オプションで、コントローラ104に挿入することにより、リムーバブルなストレージ(storage)を追加することもできる。ユーザは、ポータブルMUにゲームパラメータをストアすることができ、このポータブルMUを他のコントローラに挿入すれば、ゲームパラメータをポート(port)することができ、ゲームをプレイすることができる。本実装形態においては、コントローラは、それぞれ、2つのMUを挿入できるように構成されているが、この構成に代えて、MUの数を2つよりも多くも少なくもできる。
【0022】
ゲームシステム100は、ゲーム、音楽、及びビデオを再生することができる。ハードディスクドライブにストアされたデジタルデータを使用して、あるいはポータブル媒体ドライブ106中の光記憶ディスク108か、オンラインソースか、又はMU140から読み取られたデジタルデータを使用して、その他の機能をインプリメントできるようになっている。このゲームコンソールは、電子ゲームディスクのオーソライズされていないコピーが再生されないように設計されている。あるポリシーも、ゲームコンソールによってインプリメントされている。例えば、ある地域で販売されたソフトウェアが、別の地域で販売されたゲームコンソール上で実行できないようにすることができる。ビデオDVDの複製を防止するためのインダストリ基準方式(MACROVISION(商標))も、ゲームコンソールソフトウェアによってインプリメントされている。
【0023】
ゲームコンソールによってインプリメントされているこれらの機能制限およびポリシーを破ることを好んでいるユーザもいる。このような制限およびポリシーを回避しようとする1つの方法としては、当該ゲームコンソールをブートアップするのに使用するため、オリジナルのROM及びこのROMにストアされたコードを修正バージョンのものと置換したIC(integrated circuit)またはモジュールを、ゲームコンソールにインストールする方法がある。このような置換モジュール中の機械命令を修正するのは、ブートアッププロセス中にオペレートさせるためであり、次のような規制と、ゲームコンソールの他の態様および/またはポリシーと、を除去または変更しようとするためである。上記規制とは、ゲームコンソールの製造業者または設計者によるものであり、オーソライズされていないコピーの使用を防止し、ビデオDVDの複製を防止するものである。しかし、本発明によれば、オーソライズされていない置換ROMモジュールを挿入してブートアッププロセスを改変することは、極めて困難であり、仮にゲームコンソールのブートアップ中に代替コードおよびオーソライズされていないコードの利用が検出された場合には、ブートアッププロセスが終了する。
【0024】
ブートアッププロセスに関するプロプラエタリ情報が発見されるのを防止し、しかも修正コードまたは代替コードがブートアッププロセス中に利用されるのを防止するためには、ブートアップ中に実行される機械命令のうちの少なくとも幾つかは、ゲームコンソールその他の電子装置のROMに含まれている機械命令の大部分から分離しておかなければならない。一般に、電子装置のプリント回路基板にある、IC、トレース(trace)、接続点、及びビア(via)は、仮に電子装置の筐体が開けられれば、容易にアクセスでき、当該電子装置をハックするため、新たな接続および修正を物理的に加えることができる。誰かがプリント回路基板にアクセスしないようにすることは困難であるが、本発明によれば、プリント回路基板に実装されたICの1つにファームウェアとしてエンベッド(embed)されている機械命令にアクセスすることは、極めて困難である。好ましくは、使用するICとしては、公衆がサプライヤ(supplier)から容易に入手できないことを目的としたICを用いるべきである。というのは、ICは、当該電子装置の製造業者のためにカスタムメイドされたものであるからである。この目的のICは、当該電子装置のオペレーションにとって不可欠なものであるから、仮にICにエンベッドされたファームウェアへのアクセスが試みられた場合には、当該ICのオペレーション、したがって当該電子装置のオペレーションに、おそらく不都合が生じることになる。
【0025】
図2Aは、ゲームコンソール100に含まれる幾つかのICコンポーネントを示す。CPU202はメインプロセッサであり、当該ゲームコンソールの大部分の処理機能を実行するのに使用されている。CPU202も、大部分のプロセッサと共通して、最初にブートアップされなければならず、これにより、設計上当該ゲームコンソールにインプリメントされている種々の機能を実行することができる。CPU202は、カスタマイズされたグラフィックプロセッサであって、NVIDIA(登録商標)社製のNV2Aチップと称されるバス・メモリ・コントローラチップ204でもあるグラフィックプロセッサに、双方向接続されている。
このNV2Aチップは、RAM206と、別のNVIDIAカスタムメードチップとに接続されている。この別のNVIDIAカスタムメードチップは、MCP(media communication processor)208に接続されており、このMCP208は、オーディオ信号プロセッサ機能を有し、システムメモリに結合されており、またデータ通信のために、USBポートおよびEthernet(登録商標)ポートに結合されている。MCP208には、ブートストラップコード212を備える512byteのファームウェアが含まれる。ブートストラップコード212は、MCP208内の他のレイヤー(layer)に実質的に埋め込まれており、このモジュールをディキャップ(decap)するだけではアクセスできない。ブートストラップコード212に物理的にアクセスするには、上のレイヤーを除去する必要があるが、そうすると、MCPモジュールは事実上破壊されて、MCPモジュールおよびゲームコンソールは使用できなくなる。さらに、MCP208はゲームコンソールの製造業者向けにカスタムメイドされたものなので、オープンマーケットで他の者が入手できない。ブートストラップコードが何らかの方法でアクセスされ、このファームウェアを備える機械命令が「ビジブル(visible)」になったとしても、本発明により、ブートシーケンスを改変することはできない。MCP208は、ROM210に結合されており、このROM210には、ゲームコンソール100のブートアップ中に使用される大部分の機械命令が含まれている。
【0026】
本発明に係る一般的な応用例が、図2Bのコンポーネントに関して示されている。カスタムCPU220は、CPUの他のレイヤーの下に「埋め込まれた」ファームウェアブートストラップコード222を内部に含むことができるようになっている。図2Bに示すように、CPU220は、RAM206およびROM210に結合される。ブートストラップコード222がCPU220内のファームウェアを構成するので、CPUの処理部分とブートストラップコード222との間の信号には、一般にアクセス不可能である。したがって、図2Bに示す実施形態においては、ブートストラップコード222にアクセスしてその内容を決定するのはより一層困難になり、このため図2Bの実施形態においては、図2Aの実施形態に比較してさらにセキュリティが向上する。
【0027】
図3は、本発明で使用されているROM210の別の部分を示す。ゲームコンソール100で使用される好ましい実施形態においては、ROM210は、256Kbyteのメモリモジュールを備えている。ROM210には、暗号化されていないプリローダ230が含まれている。プリローダ230は、好ましい実施形態においては、約11Kbyteの固定サイズを有し、その内容、サイズ、およびROM210内でのロケーションは、すべて定義済みである。プリローダ230が、暗号化された公開鍵231を含むことに留意することは、重要なことである。これも重要なことであるが、プリローダ230の内容が変更されても、ファームウェアブートストラップコード212が変更されなければ、プリローダ230の内容をそのままにしておく必要がある。これについては後程説明するので明らかになる。ROM210には、暗号化されたブートローダ232が含まれている。加えて、ROM210には、デジタル署名234と、対称鍵236も含まれている。ROM210は、その大部分が、カーネル238を備える機械命令をストアすることに当てられている。カーネル238は圧縮されており、しかも暗号化されている。カーネル238内に含まれている機械命令は、ゲームコンソール100の機能の多くを定義するものであり、ゲームコンソール100のオペレーションに関係するポリシーを確立するものである。最後に、チップセット初期化コード240が含まれており、ゲームコンソールに最初に電源が投入されたとき、このチップセット初期化コード240が実行される。
【0028】
図4は、ゲームコンソール102の起動時またはリセット時にインプリメントされる論理ステップを示す。ステップ250にて、ROM210のチップセット初期化コードをランする。チップセット初期化コード240に含まれる機械命令は、暗号化されておらず、これらの機械命令は、具体的な構成情報を定義しており、完全なゲームコンソールのアーキテクチャに適した具体的な構成シーケンスを定義している。チップセット構成をパフォームするのに必要な機械コードは、ブートストラップコードに含まれている。具体的な値およびシーケンスは、チップセット初期化コードの一部である。CPUの初期化シーケンスも、ブートストラップコードに含まれており、チップセット初期化コードの残りの部分の前に実行される。次に、ブロック252においては、MCP208内に埋め込まれているファームウェアブートストラップコード212に含まれる機械命令が、一方向ハッシングアルゴリズムをランして、ROM210中のプリローダ230のハッシュ値を決定する。前述したように、製造時にゲームコンソール100にインストールされたオリジナルのROM210においては、プリローダ230は、具体的な内容と、サイズと、ROM210内でのロケーションとを有することになる。したがって、プリローダ230内に含まれる機械命令をハッシュすることによって得られたハッシュ値は、プリローダ230がオーソライズされていないコードで改変または置換されていない限り、常に同一であるべきである。好ましい実施形態においては、SHA−1 一方向ハッシングアルゴリズムを適用して、プリローダをハッシュする。あるいはまた、これに代えて、MD5ハッシングアルゴリズムを採用することができ、当業者にとって当然のことであるが、その他のハッシングアルゴリズムも使用することができる。採用されたハッシングアルゴリズムは、ブートストラップコード212の機械命令に含まれている。
【0029】
ブートストラップコード212内には、プリローダ230の予想ハッシュ値である保持ハッシュ値と、対称鍵とが含まれている。ステップ254において、保持ハッシュ値をブートストラップコード212からロードする。ブートストラップコード212中の機械命令は、ブートストラップコードからの保持ハッシュ値と、ステップ252にてプリローダ230のために決定したハッシュ値とを比較する。この比較は、判定ステップ256で行い、保持ハッシュ値が、決定された実際のハッシュ値と等しいか否かを判定する。等しくないと判定した場合は、ブートストラップコード212中の機械命令は、ステップ258をインプリメントし、ステップ258にて、ゲームコンソール102のブートアッププロセスを停止する。したがって、仮に異なるROMがオリジナルのROMと置換され、この新しく置換されるか、あるいはオーソライズされていないROMが、同一のプリローダ部分(一方向ハッシュアルゴリズムで処理されたときに予想ハッシュ値を生成する)を含んでいない場合には、判定ステップ256にて、プリローダ230への修正が検出され、ブートアッププロセスが終了する、ことは明らかである。
【0030】
保持予想ハッシュ値が、決定された実際のハッシュ値と等しいと仮定して、ステップ260にて、ROM210のプリローダコード部分を備える機械命令を実行する。このステップ260をインプリメントすることができる。というのは、ゲームコンソールの製造業者によってゲームコンソールにインストールされたROMに元々含まれていたプリローダコードと、このプリローダ機械命令が同一であることが、明らかであるからである。
【0031】
次に、ステップ262において、デジタル署名234を除くROM210全体のハッシュ値を決定することができる。このプリローダは、一方向ハッシュ値を決定するための機械命令を含み、この場合も、SHA−1又はMD5のいずれかのハッシングアルゴリズム(あるいは、他の周知の一方向ハッシングアルゴリズムの1つ)を使用して、ROM210の大部分のハッシュ値を決定する(デジタル署名は、ハッシュされるROM210の内容に含まれない)、のが好ましい。同一のハッシュアルゴリズムが適用される限り、仮に機械命令が変更されていないか、オーソライズされていない機械命令と置換されていない場合には、その結果は常に同じである。ROM210中でハッシュされた機械命令が少しでも変更されれば、ハッシュ値は実質的に変更されることになる。
【0032】
ステップ264にて、ROM210の公開鍵231をデジタル署名234に適用して、デジタル署名のための対応する値を生成する。(公開鍵を適用できるようになるまでは、この公開鍵は、MCPのブートストラップコードにストアされた対称鍵で復号されるが、この公開鍵がこの対称鍵で暗号化されない場合は、このステップは不要である。)次に、プリローダ230中の機械命令は、図4の判定ステップ266において、この公開鍵がこの署名をベリファイできるか否かを判定する。このステップ266においては、ステップ264からの値が、ステップ262で決定したROMのハッシュ値と等しいか否かを判定する。等しくない場合には、ROMのオリジナルの内容が作成された後でROM中の署名が変更されたことが明らかになるので、ステップ268でブートアップオペレーションを停止する。周知のように、署名の値が、元々、ゲームコンソールの製造業者のみが知っている秘密鍵を使用して署名されたものである場合は、公開鍵を使用して署名の妥当性を確認することができる。何者かがゲームコンソール100をハックしてROM210のいずれかの部分を修正しようとする場合、判定ステップ266にてハッシュ値の変化が検出され、これによりステップ268でブートアッププロセスが終了する。これに対して、仮にデジタル署名がROMのハッシュと一致する場合は、ROMの内容が、オーソライズされたオリジナルの内容と同一であることは、明らかである。
【0033】
ステップ264でデジタル署名から決定された値が、判定ステップ266でROMのハッシュをベリファイしたと仮定すると、ステップ270において、ブートアップを完了させることができ、カーネル238をRAM206にコピーし、ついで圧縮解除し復号してRAMにストアすることができる。プリローダ230は、ブートローダを復号するための機械命令を含む。MCPに保持されるファームウェアブートストラップコード中の対称鍵を、ROM210の対称鍵236と組み合わせて、新たに対称コードを生成し、得られた対称コードを使用して、プリローダ中の機械命令に従ってブートローダを復号する。
【0034】
このブートローダは、圧縮され暗号化されたカーネルのストリームサイファ復号を、RC4ストリームサイファアルゴリズムに従って、インプリメントするための機械命令を含む。このことは、当業者にとって周知のことである。ついで、CPU202は、圧縮解除され復号されたカーネルをRAM206に備えた機械命令を実行し、ゲームコンソールの完全な機能を実行することができ、これにより、次のことを保証する。すなわち、例えば、CPU202が、オーソライズされたゲームソフトウェアのみをロードすること、ビデオDVDの複製を妨げるアルゴリズムを実行すること、及びゲームコンソールの製造業者によって望まれるその他あらゆるポリシーおよび機能であって、オーソライズされたブートアップコードによって定義されるものを実行すること、を保証する。
【0035】
本発明は、本発明に係る実施形態につき述べたが、当業者にとって当然のことであるが、請求の範囲を逸脱することなく、修正をすることができる。したがって、本発明の範囲は、上記記述によって限定されず、請求の範囲により決定される。
【図面の簡単な説明】
【図1】本発明を採用したゲームコンソールを示す等角投影図である。
【図2A】図1のゲームコンソールに含まれる幾つかの機能コンポーネントを示すブロック図である。
【図2B】ブートアップする電子装置であってプロセッサおよびメモリを含む一般的な電子装置の機能を示すブロック図である。
【図3】本発明において構成されるメモリの各部分を示す図である。
【図4】本発明でインプリメントされるロジックを示すフローチャートである。
【符号の説明】
100 電子ゲームシステム
102 ゲームコンソール
104a、104b コントローラ
106 ポータブル媒体ドライブ
108 光記憶ディスク
110 スロット
112 電源ボタン
114 イジェクトボタン
120 オーディオ/ビジュアルインタフェースケーブル
122 電源ケーブルプラグ
124 データコネクタ
130 USBケーブル
132a、132b サムスティック
134 Dパッド
136 ボタン
138 トリガ
140 ポータブルMU
202、220 CPU
204 NV2Aチップ
206 RAM
208 MCP
210 ROM
212、222 ブートストラップコード
230 プリローダ
231 公開鍵
232 ブートローダ
234 デジタル署名
236 対称鍵
238 カーネル
240 チップセット初期化コード

Claims (29)

  1. 電子装置のブートアップ中に実行するために用意されたコードがオーソライズされているか否かを決定する方法において、
    (a)前記コードの定義された部分をハッシュして第1のハッシュ値を生成するステップと、
    (b)前記コードの前記定義された部分がオーソライズされていることをベリファイするため、前記第1のハッシュ値を、前記電子装置の回路コンポーネントであって、前記コードがストアされているメモリとは別の回路コンポーネントに保持されている保持ハッシュ値と比較するステップと、
    (c)前記第1のハッシュ値が前記保持ハッシュ値と等しい場合は、前記コードの前記定義された部分の実行を可能にし、等しくない場合は、前記電子装置のブートアップを終了するステップと
    を備え、
    (d)前記コードの定義された部分であってオーソライズされている部分を実行するステップは、
    (i)前記コードのうちの実質的に全てのコードをハッシュして第2のハッシュ値を決定するステップと、
    (ii)前記コードに含まれているデジタル署名が前記第2のハッシュ値と一致するか否かをベリファイし、一致する場合は、前記コードの実行を可能にし、一致しない場合は、前記電子装置のブートアップを終了するステップと
    を備えたことを特徴とする方法。
  2. 請求項1において、前記第1のハッシュ値を前記保持ハッシュ値と比較するステップは、前記回路コンポーネントの不揮発性記憶領域に保持されている初期コードを実行するステップを含み、
    前記初期コードは、前記保持ハッシュ値を含む
    ことを特徴とする方法。
  3. 請求項2において、前記初期コードは、補助プロセッサに保持されることを特徴とする方法。
  4. 請求項2において、前記初期コードは、
    (a)グラフィックプロセッサ、
    (b)オーディオプロセッサ、
    (c)入力プロセッサ、
    (d)出力プロセッサ、
    (e)通信プロセッサ、
    (f)デジタル信号プロセッサ
    のうちのいずれかに保持されることを特徴とする方法。
  5. 請求項2において、前記初期コードは、該初期コードを実行するプロセッサに保持されることを特徴とする方法。
  6. 請求項2において、前記初期コードは、請求項1に記載のステップ(a)ないし(c)を実施するために実行されることを特徴とする方法。
  7. 請求項2において、前記初期コードは、ファームウェアに、予め定めたバイト数として永続的に定義されることを特徴とする方法。
  8. 請求項1において、前記コードの定義された部分は、該コード内の予め定めたロケーションに配置された予め定めたバイト数を有するプリローダコードを備えたことを特徴とする方法。
  9. 請求項8において、前記デジタル署名をベリファイするステップは、前記プリローダコードに含まれる公開鍵を使用してベリファイすることを特徴とする方法。
  10. 電子装置のブートアップ中にアクセスされる機械命令であって、この機械命令を備えたコードがオーソライズされているか否かを判定するために一部有用な機械命令をストアした記憶媒体において、
    (a)前記コードを備えた機械命令の大部分が記憶されたカーネル部分と、
    (b)前記電子装置によって実行するため、前記カーネル部分に含まれる機械命令をロードするように適合させたブートローダ部分と、
    (c)定義されたバイト数と定義された内容とを有し、本記憶媒体上の予め定めたロケーションに配置されたプリローダ部分と、
    (d)前記コードがオーソライズされているか否かを判定するのに使用するため、前記コードをハッシュして得られたハッシュ値と比較するための確認ハッシュ値を提供するデジタル署名部分と
    を備えたことを特徴とする記憶媒体。
  11. 請求項10において、前記プリローダ部分は、前記デジタル署名部分を復号するのに有用な公開鍵を含むことを特徴とする記憶媒体。
  12. 請求項10において、ROMを備えたことを特徴とする記憶媒体。
  13. 請求項10において、前記プリローダ部分は、一方向ハッシングアルゴリズムを定義する機械命令を含むことを特徴とする記憶媒体。
  14. 請求項10において、前記プリローダ部分は、該プリローダ部分に含まれる公開鍵を使用して、前記デジタル署名のベリファイを可能にする機械命令を含むことを特徴とする記憶媒体。
  15. 請求項10において、前記カーネル部分は、符号化されていることを特徴とする記憶媒体。
  16. 請求項10において、前記プリローダ部分は、前記カーネル部分をストリームサイファ復号するための機械命令を含むことを特徴とする記憶媒体。
  17. 請求項10において、前記プリローダ部分は、対応する秘密鍵で署名された署名をベリファイするのに使用するための少なくとも1つの公開鍵を含むことを特徴とする記憶媒体。
  18. オペレーションのためにブートアップさせなければならない電子装置において、
    (a)複数の機械命令がストアされた不揮発性メモリであって、主要部分を含み、内容とサイズとロケーションとに関して定義されたプリローダ部分を含む不揮発性メモリと、
    (b)前記不揮発性メモリに結合されたプロセッサであって前記機械命令を実行するプロセッサと、
    (c)ハッシングアルゴリズムを規定する機械命令であって前記電子装置のブートアップ中に前記プロセッサによって最初に実行される機械命令と、予想ハッシュ値と、を指定するブートストラップコードファームウェア要素であって、前記プロセッサに、
    (i)前記不揮発性メモリの前記プリローダ部分をハッシュしてプリローダハッシュ値を決定させ、
    (ii)前記予想ハッシュ値を前記プリローダハッシュ値と比較させ、
    (iii)前記プリローダハッシュ値が前記予想ハッシュ値と等しくない場合に、前記電子装置のブートアップを終了させる
    ブートストラップコードファームフェア要素と
    を備えたことを特徴とする電子装置。
  19. 請求項18において、前記不揮発性メモリの前記プリローダ部分は、前記プロセッサに、
    (a)前記不揮発性メモリをハッシュしてメモリハッシュ値を生成させ、
    (b)前記メモリハッシュ値を、前記プリローダ部分に含まれる予想メモリハッシュ値と比較させ、
    (c)前記メモリハッシュ値が前記予想メモリハッシュ値と等しくない場合に、前記電子装置のブートアップを終了させる
    機械命令を含むことを特徴とする電子装置。
  20. 請求項19において、前記予想メモリハッシュ値は、前記不揮発性メモリ内にデジタル署名として含まれるが、前記不揮発性メモリがハッシュされるとき除外されることを特徴とする電子装置。
  21. 請求項20において、前記不揮発性メモリの前記プリローダ部分中の前記機械命令は、さらに、前記プロセッサに、前記予想メモリハッシュ値を決定するために、前記デジタル署名をベリファイさせることを特徴とする電子装置。
  22. 請求項20において、前記不揮発性メモリの前記プリローダ部分中の前記機械命令は、さらに、前記プロセッサに、前記プリローダ部分に含まれる公開鍵を適用して前記デジタル署名をベリファイさせることを特徴とする電子装置。
  23. 請求項18において、前記不揮発性メモリの前記主要部分の少なくとも一部は、暗号化されており、
    前記不揮発性メモリの前記プリローダ部分は、前記不揮発性メモリの前記主要部分の前記少なくとも一部であって暗号化された部分であり、前記不揮発性メモリの前記主要部分に含まれる機械命令を続行させるため前記電子装置をブートアップさせる部分を、前記プロセッサに、復号させる機械命令を含む
    ことを特徴とする電子装置。
  24. 請求項18において、前記ブートストラップコードファームウェア要素は、本電子装置の別のコンポーネント内に配置してあり、本電子装置が動作不能になるまで前記別のコンポーネントが損傷されない限り、前記ブートストラップコードファームウェア要素に物理的にアクセスするのは実質的に不可能であることを特徴とする電子装置。
  25. 請求項18において、前記別のコンポーネントは、補助プロセッサを含むことを特徴とする電子装置。
  26. 請求項18において、前記別のコンポーネントは、
    (a)グラフィックプロセッサ、
    (b)オーディオプロセッサ、
    (c)入力プロセッサ、
    (d)出力プロセッサ、
    (e)通信プロセッサ、
    (f)デジタル信号プロセッサ
    のうちのいずれかを備えたことを特徴とする電子装置。
  27. 請求項18において、前記ブートストラップコードファームウェア要素は、前記プロセッサ内に配置されることを特徴とする電子装置。
  28. 請求項18において、前記不揮発性メモリの前記主要部分の少なくとも一部は、暗号化されており、
    前記不揮発性メモリの前記プリローダ部分は、
    (a)一方向ハッシングアルゴリズムを定義する機械命令と、
    (b)前記不揮発性メモリの前記主要部分の前記少なくとも一部を復号するための機械命令と、
    (c)ブートローダを備えた機械命令と、
    (d)少なくとも1つの公開鍵と
    を備えたことを特徴とする電子装置。
  29. 請求項18において、ゲームコンソールを含むことを特徴とする電子装置。
JP2003164095A 2002-06-07 2003-06-09 セキュアなブートローダにおけるハッシングの使用 Expired - Fee Related JP4052978B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/165,519 US6907522B2 (en) 2002-06-07 2002-06-07 Use of hashing in a secure boot loader

Publications (3)

Publication Number Publication Date
JP2004013905A true JP2004013905A (ja) 2004-01-15
JP2004013905A5 JP2004013905A5 (ja) 2007-03-01
JP4052978B2 JP4052978B2 (ja) 2008-02-27

Family

ID=29549377

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003164095A Expired - Fee Related JP4052978B2 (ja) 2002-06-07 2003-06-09 セキュアなブートローダにおけるハッシングの使用

Country Status (10)

Country Link
US (2) US6907522B2 (ja)
EP (1) EP1369764B1 (ja)
JP (1) JP4052978B2 (ja)
KR (1) KR100965717B1 (ja)
CN (1) CN100492277C (ja)
AT (1) ATE453162T1 (ja)
AU (1) AU2003204376B2 (ja)
DE (1) DE60330627D1 (ja)
HK (1) HK1058561A1 (ja)
TW (1) TWI292556B (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006018825A (ja) * 2004-06-30 2006-01-19 Microsoft Corp 状態検証を使用した保護されたオペレーティングシステムブートのためのシステムおよび方法
JP2006164273A (ja) * 2004-12-09 2006-06-22 Samsung Electronics Co Ltd 保安ブート装置及び方法
JP2006323814A (ja) * 2005-01-07 2006-11-30 Microsoft Corp 信頼できる処理モジュールを有するコンピュータを安全にブートするためのシステムおよび方法
KR100675186B1 (ko) 2005-09-29 2007-01-30 엘지전자 주식회사 사용자식별모듈의 사용자식별정보 해시 기능을 가지는이동통신 단말기 및 그 부팅 방법
US7287155B2 (en) 2004-04-19 2007-10-23 Hitachi, Ltd. Storage control system and boot control system
US7454385B2 (en) * 2000-09-13 2008-11-18 Igt Transaction signature
JP2009517972A (ja) 2005-11-29 2009-04-30 トムソン ライセンシング デジタルコンテンツを保護する方法及び装置
JP2011210278A (ja) * 2005-09-14 2011-10-20 Sandisk Corp メモリカードコントローラファームウェアのハードウェアドライバ完全性チェック
WO2013001721A1 (ja) * 2011-06-29 2013-01-03 パナソニック株式会社 コンピュータ制御方法
WO2014155229A1 (en) * 2013-03-28 2014-10-02 International Business Machines Corporation Secure execution of software modules on a computer
US8966284B2 (en) 2005-09-14 2015-02-24 Sandisk Technologies Inc. Hardware driver integrity check of memory card controller firmware

Families Citing this family (80)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020147918A1 (en) * 2001-04-05 2002-10-10 Osthoff Harro R. System and method for securing information in memory
US8708828B2 (en) 2001-09-28 2014-04-29 Igt Pluggable modular gaming modifiers and configuration templates for gaming environments
US7931533B2 (en) 2001-09-28 2011-04-26 Igt Game development architecture that decouples the game logic from the graphics logics
US6902481B2 (en) 2001-09-28 2005-06-07 Igt Decoupling of the graphical presentation of a game from the presentation logic
EP1338939A1 (en) * 2002-02-22 2003-08-27 Hewlett-Packard Company State validation device for a computer
US8140824B2 (en) * 2002-11-21 2012-03-20 International Business Machines Corporation Secure code authentication
US7194626B2 (en) * 2002-11-21 2007-03-20 International Business Machines Corporation Hardware-based secure code authentication
FR2849226B1 (fr) * 2002-12-20 2005-12-02 Oberthur Card Syst Sa Procede et dispositif de securisation de l'execution d'un programme informatique.
US8784195B1 (en) 2003-03-05 2014-07-22 Bally Gaming, Inc. Authentication system for gaming machines
EP1465038B1 (en) * 2003-04-03 2013-03-27 STMicroelectronics (Research & Development) Limited Memory security device for flexible software environment
US7171563B2 (en) * 2003-05-15 2007-01-30 International Business Machines Corporation Method and system for ensuring security of code in a system on a chip
US7725740B2 (en) * 2003-05-23 2010-05-25 Nagravision S.A. Generating a root key for decryption of a transmission key allowing secure communications
US7475254B2 (en) * 2003-06-19 2009-01-06 International Business Machines Corporation Method for authenticating software using protected master key
US7434231B2 (en) * 2003-06-27 2008-10-07 Intel Corporation Methods and apparatus to protect a protocol interface
FR2867929B1 (fr) * 2004-03-19 2007-03-02 Gemplus Card Int Procede d'authentification dynamique de programmes par un objet portable electronique
US20050262337A1 (en) * 2004-05-24 2005-11-24 Siemens Vdo Automotive Corporation Method and device for determining flash software compatibility with hardware
JP4447977B2 (ja) 2004-06-30 2010-04-07 富士通マイクロエレクトロニクス株式会社 セキュアプロセッサ、およびセキュアプロセッサ用プログラム。
US7937593B2 (en) * 2004-08-06 2011-05-03 Broadcom Corporation Storage device content authentication
DE102004047191A1 (de) * 2004-09-29 2006-04-06 Robert Bosch Gmbh Manipulationsgeschütztes Mikroprozessorsystem und Betriebsverfahren dafür
CN101065716A (zh) 2004-11-22 2007-10-31 诺基亚公司 用于验证电子设备的平台软件的完整性的方法和设备
US8181020B2 (en) * 2005-02-02 2012-05-15 Insyde Software Corp. System and method for securely storing firmware
US7722468B2 (en) * 2005-03-09 2010-05-25 Igt Magnetoresistive memory units as read only memory devices in gaming machines
US20060205513A1 (en) * 2005-03-09 2006-09-14 Igt MRAM as nonvolatile safe storage for power hit and ESD tolerance in gaming machines
US7736234B2 (en) * 2005-03-09 2010-06-15 Igt MRAM as critical event storage for powered down gaming machines
US20060236122A1 (en) * 2005-04-15 2006-10-19 Microsoft Corporation Secure boot
US7917762B2 (en) * 2005-09-30 2011-03-29 Phoenix Technologies Ltd. Secure execution environment by preventing execution of unauthorized boot loaders
US20070101156A1 (en) * 2005-10-31 2007-05-03 Manuel Novoa Methods and systems for associating an embedded security chip with a computer
AU2007252841B2 (en) * 2006-05-24 2012-06-28 Safend Ltd. Method and system for defending security application in a user's computer
EP1868127A1 (en) * 2006-06-15 2007-12-19 Thomson Telecom Belgium Device comprising a public and a private area and a method for securely initializing the device
US8117429B2 (en) * 2006-11-01 2012-02-14 Nokia Corporation System and method for a distributed and flexible configuration of a TCG TPM-based local verifier
US8291480B2 (en) 2007-01-07 2012-10-16 Apple Inc. Trusting an unverified code image in a computing device
US8254568B2 (en) * 2007-01-07 2012-08-28 Apple Inc. Secure booting a computing device
US8239688B2 (en) 2007-01-07 2012-08-07 Apple Inc. Securely recovering a computing device
US20080178257A1 (en) * 2007-01-20 2008-07-24 Takuya Mishina Method for integrity metrics management
US7617493B2 (en) * 2007-01-23 2009-11-10 International Business Machines Corporation Defining memory indifferent trace handles
KR101209252B1 (ko) * 2007-02-02 2012-12-06 삼성전자주식회사 전자기기의 부팅 방법 및 부팅 인증 방법
WO2008096891A1 (ja) * 2007-02-09 2008-08-14 Ntt Docomo, Inc. 端末装置及びソフトウエア検査方法
US20080222428A1 (en) * 2007-03-07 2008-09-11 Andrew Dellow Method for Securing Authenticity of Data in a Digital Processing System
KR101427646B1 (ko) * 2007-05-14 2014-09-23 삼성전자주식회사 펌웨어의 무결성 검사 방법 및 장치
US8422674B2 (en) * 2007-05-29 2013-04-16 International Business Machines Corporation Application-specific secret generation
US8433927B2 (en) * 2007-05-29 2013-04-30 International Business Machines Corporation Cryptographically-enabled privileged mode execution
US8332635B2 (en) * 2007-05-29 2012-12-11 International Business Machines Corporation Updateable secure kernel extensions
JPWO2009013825A1 (ja) * 2007-07-25 2010-09-30 パナソニック株式会社 情報処理装置、及び改竄検証方法
US8068614B2 (en) * 2007-09-28 2011-11-29 Intel Corporation Methods and apparatus for batch bound authentication
US8332636B2 (en) * 2007-10-02 2012-12-11 International Business Machines Corporation Secure policy differentiation by secure kernel design
US8166304B2 (en) * 2007-10-02 2012-04-24 International Business Machines Corporation Support for multiple security policies on a unified authentication architecture
US20090172420A1 (en) * 2007-12-31 2009-07-02 Kabushiki Kaisha Toshiba Tamper resistant method and apparatus for a storage device
KR101502032B1 (ko) * 2008-03-06 2015-03-12 삼성전자주식회사 보안 기능을 갖는 프로세서 장치
AU2009201191A1 (en) * 2008-03-26 2009-10-15 Aristocrat Technologies Australia Pty Limited A gaming machine
US8150039B2 (en) 2008-04-15 2012-04-03 Apple Inc. Single security model in booting a computing device
CN101299849B (zh) * 2008-04-25 2010-05-12 中兴通讯股份有限公司 一种WiMAX终端及其启动方法
DE102008021567B4 (de) * 2008-04-30 2018-03-22 Globalfoundries Inc. Computersystem mit sicherem Hochlaufmechanismus auf der Grundlage einer Verschlüsselung mit symmetrischem Schlüssel
US9122864B2 (en) * 2008-08-05 2015-09-01 International Business Machines Corporation Method and apparatus for transitive program verification
US20100064125A1 (en) * 2008-09-11 2010-03-11 Mediatek Inc. Programmable device and booting method
US9653004B2 (en) 2008-10-16 2017-05-16 Cypress Semiconductor Corporation Systems and methods for downloading code and data into a secure non-volatile memory
US8832454B2 (en) * 2008-12-30 2014-09-09 Intel Corporation Apparatus and method for runtime integrity verification
US8806220B2 (en) 2009-01-07 2014-08-12 Microsoft Corporation Device side host integrity validation
DE102010005726A1 (de) * 2010-01-26 2011-07-28 Giesecke & Devrient GmbH, 81677 Verfahren zum Zuordnen eines tragbaren Datenträgers, insbesondere einer Chipkarte, zu einem Terminal
KR20120092222A (ko) 2011-02-11 2012-08-21 삼성전자주식회사 보안 부팅 방법 및 보안 부트 이미지 생성 방법
US9286468B2 (en) 2011-09-30 2016-03-15 Hewlett-Packard Development Company, L.P. Option read-only memory use
TW201346764A (zh) * 2012-05-11 2013-11-16 Ibase Technology Inc 開機保全軟體方法
US9671945B2 (en) * 2013-12-17 2017-06-06 American Megatrends, Inc. Techniques of launching virtual machine from thin client
US20150286823A1 (en) * 2014-04-07 2015-10-08 Qualcomm Incorporated System and method for boot sequence modification using chip-restricted instructions residing on an external memory device
GB2525409B (en) * 2014-04-24 2016-11-02 Ibm Enabling an external operating system to access encrypted data units of a data storage system
US9195831B1 (en) 2014-05-02 2015-11-24 Google Inc. Verified boot
EP3268893B1 (en) * 2015-04-17 2019-02-06 Hewlett-Packard Enterprise Development LP Firmware map data
US20160314288A1 (en) * 2015-04-22 2016-10-27 Qualcomm Incorporated Method and apparatus for write restricted storage
US10176094B2 (en) * 2015-06-30 2019-01-08 Renesas Electronics America Inc. Common MCU self-identification information
HUE054907T2 (hu) * 2015-07-31 2021-10-28 Hewlett Packard Development Co Képalkotó kellék
WO2017066194A1 (en) 2015-10-11 2017-04-20 Renesas Electronics America Inc. Data driven embedded application building and configuration
US9916452B2 (en) 2016-05-18 2018-03-13 Microsoft Technology Licensing, Llc Self-contained cryptographic boot policy validation
US10365961B2 (en) * 2016-09-09 2019-07-30 Dell Products L.P. Information handling system pre-boot fault management
KR102538096B1 (ko) * 2016-09-13 2023-05-31 삼성전자주식회사 어플리케이션을 검증하는 디바이스 및 방법
CN106778283B (zh) * 2016-11-21 2020-04-07 惠州Tcl移动通信有限公司 一种系统分区关键数据的保护方法及系统
US10417429B2 (en) 2017-06-02 2019-09-17 Apple Inc. Method and apparatus for boot variable protection
US11263326B2 (en) 2017-06-02 2022-03-01 Apple Inc. Method and apparatus for secure system boot
WO2020027815A1 (en) * 2018-07-31 2020-02-06 Hewlett-Packard Development Company, L.P. Executing instructions
JP6925542B2 (ja) 2018-10-12 2021-08-25 三菱電機株式会社 ソフトウェア検証装置、ソフトウェア検証方法およびソフトウェア検証プログラム
CN110262840B (zh) * 2019-06-17 2023-01-10 Oppo广东移动通信有限公司 设备启动监控方法及相关产品
US11960608B2 (en) * 2021-04-29 2024-04-16 Infineon Technologies Ag Fast secure booting method and system

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4654480A (en) * 1985-11-26 1987-03-31 Weiss Jeffrey A Method and apparatus for synchronizing encrypting and decrypting systems
WO1993017388A1 (en) * 1992-02-26 1993-09-02 Clark Paul C System for protecting computers via intelligent tokens or smart cards
CA2225805C (en) * 1995-06-29 2002-11-12 Allan E. Alcorn Electronic casino gaming system with improved play capacity, authentication and security
US5643086A (en) * 1995-06-29 1997-07-01 Silicon Gaming, Inc. Electronic casino gaming apparatus with improved play capacity, authentication and security
JP3293760B2 (ja) 1997-05-27 2002-06-17 株式会社エヌイーシー情報システムズ 改ざん検知機能付きコンピュータシステム
US5919257A (en) * 1997-08-08 1999-07-06 Novell, Inc. Networked workstation intrusion detection system
US6704871B1 (en) * 1997-09-16 2004-03-09 Safenet, Inc. Cryptographic co-processor
US6185678B1 (en) * 1997-10-02 2001-02-06 Trustees Of The University Of Pennsylvania Secure and reliable bootstrap architecture
US6378072B1 (en) * 1998-02-03 2002-04-23 Compaq Computer Corporation Cryptographic system
US6401208B2 (en) * 1998-07-17 2002-06-04 Intel Corporation Method for BIOS authentication prior to BIOS execution
US6081890A (en) * 1998-11-30 2000-06-27 Intel Corporation Method of communication between firmware written for different instruction set architectures
US6263431B1 (en) * 1998-12-31 2001-07-17 Intle Corporation Operating system bootstrap security mechanism
WO2000048063A1 (en) * 1999-02-15 2000-08-17 Hewlett-Packard Company Trusted computing platform
US6625730B1 (en) * 2000-03-31 2003-09-23 Hewlett-Packard Development Company, L.P. System for validating a bios program and memory coupled therewith by using a boot block program having a validation routine
US20040064457A1 (en) * 2002-09-27 2004-04-01 Zimmer Vincent J. Mechanism for providing both a secure and attested boot

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7454385B2 (en) * 2000-09-13 2008-11-18 Igt Transaction signature
US7287155B2 (en) 2004-04-19 2007-10-23 Hitachi, Ltd. Storage control system and boot control system
US7644263B2 (en) 2004-04-19 2010-01-05 Hitachi, Ltd. Storage control system and boot control system
JP2006018825A (ja) * 2004-06-30 2006-01-19 Microsoft Corp 状態検証を使用した保護されたオペレーティングシステムブートのためのシステムおよび方法
JP2006164273A (ja) * 2004-12-09 2006-06-22 Samsung Electronics Co Ltd 保安ブート装置及び方法
JP2006323814A (ja) * 2005-01-07 2006-11-30 Microsoft Corp 信頼できる処理モジュールを有するコンピュータを安全にブートするためのシステムおよび方法
US8966284B2 (en) 2005-09-14 2015-02-24 Sandisk Technologies Inc. Hardware driver integrity check of memory card controller firmware
JP2011210278A (ja) * 2005-09-14 2011-10-20 Sandisk Corp メモリカードコントローラファームウェアのハードウェアドライバ完全性チェック
KR100675186B1 (ko) 2005-09-29 2007-01-30 엘지전자 주식회사 사용자식별모듈의 사용자식별정보 해시 기능을 가지는이동통신 단말기 및 그 부팅 방법
JP2009517972A (ja) 2005-11-29 2009-04-30 トムソン ライセンシング デジタルコンテンツを保護する方法及び装置
WO2013001721A1 (ja) * 2011-06-29 2013-01-03 パナソニック株式会社 コンピュータ制御方法
WO2014155229A1 (en) * 2013-03-28 2014-10-02 International Business Machines Corporation Secure execution of software modules on a computer
JP2016517976A (ja) * 2013-03-28 2016-06-20 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation コンピュータでソフトウェア・モジュールを実行するための方法、ブートローダ、ユーザ信頼デバイス、およびシステム
US9824220B2 (en) 2013-03-28 2017-11-21 International Business Machines Corporation Secure execution of software modules on a computer

Also Published As

Publication number Publication date
US6907522B2 (en) 2005-06-14
AU2003204376B2 (en) 2009-11-26
JP4052978B2 (ja) 2008-02-27
CN1469238A (zh) 2004-01-21
HK1058561A1 (en) 2004-05-21
TWI292556B (en) 2008-01-11
CN100492277C (zh) 2009-05-27
KR20030095301A (ko) 2003-12-18
US20030229777A1 (en) 2003-12-11
EP1369764A2 (en) 2003-12-10
US20050138270A1 (en) 2005-06-23
KR100965717B1 (ko) 2010-06-24
ATE453162T1 (de) 2010-01-15
EP1369764B1 (en) 2009-12-23
DE60330627D1 (de) 2010-02-04
TW200401228A (en) 2004-01-16
AU2003204376A1 (en) 2004-01-08
US7676840B2 (en) 2010-03-09
EP1369764A3 (en) 2005-05-18

Similar Documents

Publication Publication Date Title
JP4052978B2 (ja) セキュアなブートローダにおけるハッシングの使用
US7802110B2 (en) System and method for secure execution of program code
US9613215B2 (en) Method and system for implementing a secure chain of trust
US6735696B1 (en) Digital content protection using a secure booting method and apparatus
US7552326B2 (en) Use of kernel authorization data to maintain security in a digital processing system
US8006095B2 (en) Configurable signature for authenticating data or program code
US20020116632A1 (en) Tamper-resistant computer system
TWI385554B (zh) 未知安全金鑰下開機影像之安全更新
US9836601B2 (en) Protecting anti-malware processes
EP1273996A2 (en) Secure bootloader for securing digital devices
US20090094597A1 (en) Portable firmware device
US20030056107A1 (en) Secure bootloader for securing digital devices
JP2011527777A (ja) 安全な起動メカニズムを備えたコンピュータシステム
US8656190B2 (en) One time settable tamper resistant software repository
US20020169976A1 (en) Enabling optional system features
JP2003288128A (ja) 外部接続デバイスにおけるアプリケーションの適正使用方法及び外部接続デバイス
JP2009517972A (ja) デジタルコンテンツを保護する方法及び装置
JP2011511354A (ja) コピー防止機能付きソフトウェアカートリッジ
JP2003143141A (ja) ソフトウェアにより制御される装置
US8661234B2 (en) Individualized per device initialization of computing devices in avoidance of mass exploitation of vulnerabilities
Amato et al. Mobile Systems Secure State Management
KR101179573B1 (ko) 컨텐츠 보안성을 강화한 가라오케 시스템 및 그 구동방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060425

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070110

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070117

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20070117

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20070202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070508

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070618

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070904

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20071010

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071204

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101214

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101214

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111214

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111214

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121214

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131214

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees