BRPI0608821A2 - inicialização segura - Google Patents
inicialização segura Download PDFInfo
- Publication number
- BRPI0608821A2 BRPI0608821A2 BRPI0608821-0A BRPI0608821A BRPI0608821A2 BR PI0608821 A2 BRPI0608821 A2 BR PI0608821A2 BR PI0608821 A BRPI0608821 A BR PI0608821A BR PI0608821 A2 BRPI0608821 A2 BR PI0608821A2
- Authority
- BR
- Brazil
- Prior art keywords
- program
- representation
- key
- computer
- generate
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
- Retry When Errors Occur (AREA)
- Debugging And Monitoring (AREA)
Abstract
INICIALIZAçãO SEGURA. São providos sistemas e métodos para realizar verificações de integridade para programas de computador a serem executados nos sistemas de computação. Uma verificação de integridade é concluída antes de passar o controle de execução para o próximo nível de um sistema operacional ou, antes de se permitir que um programa seja executado. A verificação de integridade envolve o uso de chave localmente armazenada para determinar se um programa foi modificado ou violado antes da execução. Se a verificação mostrar que o programa não foi alterado, o programa será executado e, durante o processo de reinicialização, se permite que o controle de execução seja transferido para o próximo nível. Se, contudo, a verificação confirmar que o programa foi modificado, o sistema de computação não permite que o programa seja executado.
Description
"INICIALIZAÇÃO SEGURA"CAMPO DA INVENÇÃO
A presente invenção se refere à segurança de sis-tema operacional e sistema de computação. Mais especifica-mente, a invenção se refere a uma pluralidade de verifica-ções de integridade em diversos pontos de transferência deum sistema de computação com o uso de uma chave localmentearmazenada.
ANTECEDENTES
A segurança é uma principal preocupação para qual-quer usuário de um .dispositivo de computação, o qual podeser qualquer dispositivo que inclua um processador que exe-cuta códigos, de programa armazenados na memória para reali-zar alguma função. Os aspectos vulneráveis de um sistema decomputação incluem, mas não são limitados aos pontos detransferência- do processo de inicialização (por exemplo,pontos onde a BIOS transfere controle do sistema para o có-digo de inicialização) e a operação subseqüente de programasque foram previamente carregados em um sistema de computa-ção.
Os pontos de transferência são os pontos em tempoonde o controle do sistema é transferido de um módulo ouconjunto de instruções do dispositivo de computação para ou-tro módulo ou conjunto de instruções do dispositivo de com-putação . Transferência durante o processo de inicializaçãoocorre quando um módulo (por exemplo, o BIOS) acabou suastarefas, em cujo ponto ela passa o controle para o próximomódulo, de modo que a próxima fase da inicialização do com-putador pode ser iniciada. Outra transferência ocorre quandoum programa selecionado tiver obtido permissão do sistemapara executar.
Nos pontos de transferência, um dispositivo decomputação é particularmente vulnerável a uma brecha de se-gurança a partir de um virus ou outro código mal-intencionado que assume o controle do sistema se passandopor um código confiável. Por exemplo, um programa mal-intencionado que se disfarça como o programa de inicializa-ção, receberia controle do sistema inteiro, antes das prote-ções internas do sistema de operação ter a chance de assumiro controle. Código mal-intencionado também poderia se dis-farçar ocultando-se dentro de um programa de outro modo con-fiável. Freqüentemente, os virus são prejudiciais e podemdanificar artigos e de outro modo corromper o dispositivo decomputação. Sistemas e métodos que podem determinar se umprograma é o que ele pretende ser percorreria um longo cami-nho no sentido de tornar um dispositivo de computação maisseguro contra os virus e outros códigos mal-intencionados.
Como um tipo de segurança contra modificação nãoautorizada de programas, assinaturas digitais são empregadasnos sistemas de computação. Esquemas conhecidos para detec-tar se um programa foi alterado, violado, ou modificado in-cluem o uso de assinaturas digitais. Uma representação únicado programa é criada, através, por exemplo, de um algoritmode conversão tal como um Algoritmo de Conversão Seguro (SHA1) ou MD5, antes da execução do programa. A representaçãoúnica é, então, assinada ou codificada com uma chave priva-da, a qual é provida ao autor a partir de uma autoridade deconfiança e a qual pode verificar autenticidade do autor a-través de um processo de registro e verificação separado. Arepresentação criptografada é armazenada com o programa comouma forma de uma assinatura digital associada ao programa.Quando o programa deve ser executado, a assinatura é decodi-ficada ou verificada com a chave pública que corresponde àchave privada que foi usada para assinar a representação doprograma. Uma representação única do programa a ser executa-do é formada utilizando o mesmo algoritmo que foi usado parao programa original. Essa representação pode ser consideradacomo uma confirmação. Se a confirmação coincidir com a assi-natura decodificada, então o programa não foi violado ou al-terado e pode ser executado como se tivesse sido verificadoe de forma bem-sucedida. Se, contudo, a confirmação e a as-sinatura decodificada não coincidirem, o programa não deveser executado uma vez.que isso demonstra que ele foi modifi-cado.
Evidentemente, autores de códigos mal-intencionados poderiam incluir também uma assinatura. Entãoo processo de verificação na realidade verificaria se o có-digo é o que ele pretende ser. Contudo, autores de códigosmal-intencionados relutariam em seguir tais etapas porque amaioria dos processos de assinatura se baseia em uma autori-dade expedidora de chave de confiança e introduz um tipo derasto de documento que pode levar à identidade do autor. A-lém disso, isso também exige pagamento à autoridade expedi-dora da chave. Assim um sistema que exige que todo o códigoque é executado no mesmo seja assinado seguiria um longo ca-minho no sentido de erradicar código mal-intencionado, assimcomo proporcionar aos usuários visibilidade sobre a autoriado código que está presente em sua máquina. Infelizmente,muitos programas atualmente disponíveis não são assinadospor uma variedade de razões tal como maior complexidade ecusto. Conseqüentemente, quando um usuário de um dispositivode computação recebe algum tipo de programa, por exemplo, ousuário não será capaz de verificar o código e que um pro-grama não verificado poderia ser mal-intencionado e compro-meter o dispositivo de computação inteiro.
Além disso, à parte dos programas selecionados pa-ra serem executados por um usuário, os programas de inicia-lização também podem ser modificados de modo mal-intencionado, resultando em problemas na simples ligação ouativação de um dispositivo de computação.
Não é uma opção prática deixar de carregar e exe-cutar programas que não são assinados, uma vez que muitosprogramas existentes estariam compreendidos em tal classifi-cação.. Portanto, exigir que todos os programas sejam assina-dos reduziria significativamente a disponibilidade de pro-gramas e desativaria muitas aplicações legadas.
Desse modo seria desejável ter um modelo que fun-cionasse contornando as limitações mencionadas acima e rea-lizasse uma verificação de integridade nos módulos de umdispositivo de computação.
SUMÁRIO DA INVENÇÃO
Considerando os empecilhos da técnica identifica-dos acima, e outros, a presente invenção prove um sistema emétodo para verificar a integridade de um módulo medianterealização de verificações antes de transferir o controle deexecução.
Um sistema e método para aplicar uma chave de as-sinatura localmente armazenada em um programa não assinadopara garantir, em uma operação subseqüente, que o código nãofoi alterado também são providos com a presente invenção. Apresente invenção prove uma.assinatura local sendo aplicadaaos programas. A assinatura é usada para posteriormente de-terminar se o programa foi alterado entre operações de car-regamento. Com essa finalidade, o sistema e o método reali-zam uma função em um programa para gerar uma primeira repre-sentação do programa. A primeira representação é, então,criptografada com a chave localmente armazenada. Preferivel-mente a primeira representação é gerada utilizando uma fun-ção de conversão. Preferivelmente, a chave localmente arma-zenada é uma chave privada a partir de um par de chave pri-vada/chave pública. Antes de executar o programa, a função érealizada no programa para gerar uma segunda representação.A primeira representação criptografada também é decriptogra-fada para gerar uma primeira representação decriptografada.As duas representações são comparadas para se verificar queo programa não foi alterado.
Outras vantagens e características da invenção sãodescritas abaixo.
DESCRIÇÃO RESUMIDA DOS DESENHOS
Os sistemas e método para realizar verificações deintegridade por toda a operação de um sistema de computação,incluindo o-processo de inicialização e a execução dos exe-cutáveis que podem ser carregados com o uso de uma chave deassinatura localmente armazenada, de acordo com a presenteinvenção, são descritos adicionalmente com referência aosdesenhos anexos nos quais:
A Figura 1 é um diagrama de blocos de um ambientede computação exemplar no qual a presente invenção pode serincorporada;
A Figura 2 é um diagrama de blocos ilustrando acadeia de controle de transferência durante o ciclo de ini-cialização em um sistema operacional;
As Figuras 3a-3b são fluxogramas ilustrando umaimplementação de uma verificação de integridade de acordocom a presente invenção;
A Figura 4 é uma representação de diagrama de blo-cos de um programa e seus componentes usados para determinarse o programa foi modificado; e
A Figura 5 é um fluxograma ilustrando o uso dachave de assinatura localmente armazenada para verificar umprograma.
DESCRIÇÃO DETALHADA DA INVENÇÃO
A Figura 1 e a discussão a seguir proporcionam umadescrição resumida, geral, de um ambiente de computação ade-quado em conexão com o qual a presente invenção pode ser im-plementada . A invenção é operacional com diversos outros am-bientes ou configurações de sistema de computação de uso ge-ral ou de uso especial. Exemplos de sistemas de computação,ambientes, e/ou configurações, conhecidos, que podem ser a-dequados para uso com a invenção incluem, mas não são limi-tados aos computadores pessoais, computadores servidores,dispositivos portáteis ou laptop, sistemas de múltiplos pro-cessadores, sistemas baseados em microprocessador, disposi-tivos de conversão de sinal, meios eletrônicos programáveisde consumidor, PCs de rede, minicomputadores, computadoresde grande porte, ambientes de computação distribuída que in-cluem quaisquer dos sistemas ou dispositivos mencionados a-cima, e semelhantes.
Com referência à Figura 1, um- sistema exemplar pa-ra implementar a invenção inclui um dispositivo de computa-ção de uso geral na forma de um computador 110. Os componen-tes do computador 110 podem incluir, mas não são limitados,a uma unidade de processamento 120, uma memória de sistema130, e um barramento de sistema 21 que acopla diversos com-ponentes do sistema, incluindo a memória do sistema 130, àunidade de processamento 120. O barramento de sistema 121pode ser qualquer um dos vários tipos de estruturas de bar-ramento incluindo um barramento de memória ou controlador dememória, um barramento periférico, e um barramento local u-tilizando qualquer" uma de uma variedade de arquiteturas debarramento. Como exemplo, e não como limitação, tais arqui-teturas incluem barramento de Arquitetura Padrão da Indús-tria (ISA), barramento de Arquitetura de Micro Canal (MCA),barramento ISA Aperfeiçoado (EISA), barramento local da As-sociação de Padrões Eletrônica de Video (VESA), barramentode Interconexão de Componentes Periféricos (PCI) (também co-nhecido como barramento Mezzanine), e PCI Express (PCIe).
0 computador 110 inclui tipicamente uma- variedadede meios legíveis por computador. Os meios legíveis por com-putador podem ser quaisquer meios disponíveis que podem seracessados pelo computador 110 e incluem meios voláteis enão-volateis, meios removíveis e não-removíveis. Como exem-plo, e não como limitação, meios legíveis por computador po-dem compreender meios de armazenamento de computador e meiosde comunicação. Meios de armazenamento de computador incluemmeios voláteis e não-voláteis, removíveis e não-removíveis,implementados em qualquer método ou tecnologia para armaze-namento de informação tal como instruções legíveis por com-putador, estruturas de dados, módulos de programa ou outrosdados. Meios de armazenamento de computador incluem, mas nãosão limitados a, RAM, ROM, EEPROM, memória flash ou outratecnologia de memória, CD-ROM, discos digitais versáteis(DVD) ou outro armazenamento de disco ótico, cassetes magné-ticos, fita magnética, armazenamento de disco magnético ououtros dispositivos de armazenamento magnético, ou qualqueroutro meio que possa ser usado para armazenar a informaçãodesejada e que possa ser acessado pelo computador 110. Osmeios de comunicação incorporam tipicamente instruções legí-veis por computador, estruturas de dados, módulos de progra-ma ou outros dados em um sinal de dados modulado tal comouma onda portadora ou outro mecanismo de transporte e incluiquaisquer meios de distribuição de informação. O termo "si-nal modulado de dados" significa um sinal que tem uma oumais de suas características definidas ou alteradas de talmaneira a codificar informação no sinal. Como exemplo, e nãocomo limitação, meios de comunicação incluem meios de liga-ção por fio tal como rede de ligação por fio ou conexão di-reta por fio, e meios sem fio tais como meios acústicos, deRF, infravermelho e outros meios sem fio. Combinações dequaisquer dos mencionados acima também devem ser incluídasno escopo de meios legiveis por computador.
A memória de sistema 130 inclui meios de armazena-mento de computador na forma de memória volátil e/ou não-volátil tal como memória de leitura (ROM) 131 e memória deacesso aleatório (RAM) 132. Um sistema básico de entra-da/ saida 133 (BIOS), contendo as rotinas básicas que ajudama transferir informação entre os elementos dentro do compu-tador 110, tal como durante a inicialização, é tipicamentearmazenado em ROM 131. A RAM 132 contém, tipicamente, dadose/ou módulos de programa que são imediatamente acessíveis ae/ou presentemente sendo operados pela unidade de processa-mento 120. Como exemplo, e não como limitação, a Figura 1ilustra o sistema operacional 134, programas de aplicação135, outros módulos de programa 136, e dados de programa137. .
O computador 110 também pode incluir outros meiosde armazenamento de computador removiveis/não-removiveis,voláteis/não-voláteis. Apenas como exemplo, a Figura 1 ilus-tra uma unidade de disco rigido 141 que lê a partir dos mei-os magnéticos não-removíveis, não-voláteis ou grava nos mes-mos ; uma unidade de disco magnético 151 que lê a partir deum disco magnético removível, não-volátil 152 ou grava nomesmo; e uma unidade de disco ótico 155 que lê a partir deum disco ótico removível, não-volátil 156 ou grava no mesmo,tal como um CD-ROM ou outros meios óticos. Outros meios dearmazenamento de computador removiveis/não-removiveis, volá-teis /não- voláteis que podem ser usados no ambiente de opera-ção exemplar incluem, mas não são limitados aos cassetes defita magnética, cartões de memória flash, discos versáteisdigitais, fita de video digital, RAM de estado sólido, ROMde estado sólido e semelhantes. A unidade de disco rigido141 é conectada tipicamente ao barramento de sistema 121 a-través de uma interface de memória não-removível tal comointerface 140, e unidade de disco magnético 151 e unidade dedisco ótico 155 são conectadas tipicamente ao barramento desistema 121 por intermédio de uma interface de memória remo-vível, tal como a interface 150.
As unidades e seus meios de armazenamento de com-putador associados discutidos acima, ilustrados na Figura 1,proporcionam armazenamento de instruções legíveis por compu-tador, estruturas de dados, módulos de programa e outros da-dos para o computador 110-. Na Figura 1, por exemplo, a uni-dade de disco rigido 141 é ilustrada como'armazenando o sis-tema operacional 144, programas de aplicação 145, outros mó-dulos de programa 146, e dados de programa 147. Observar queesses componentes podem ser os mesmos que os do sistema ope-racional 34, ou diferentes, programas de aplicação 135, ou-tros módulos de programa 136, e dados de programa 137. Osistema operacional 144, programas de aplicação 145, outrosmódulos de programa 146, e dados de programa 147 recebem a-qui números diferentes para ilustrar que, no -minimo, elessão cópias diferentes.
Um usuário pode introduzir comandos e informaçãono computador 110 através de dispositivos de entrada tal co-mo um teclado 162 e dispositivo indicador 161, comumente re-ferido como um mouse, trackball, ou mesa de toque. Outrosdispositivos de entrada (não mostrados) podem incluir um mi-crofone, joystick, console de jogos, antena de prato de sa-télite, scanner, ou semelhante. Esses e outros dispositivosde entrada são freqüentemente conectados à unidade de pro-cessamento 120 através de uma interface de entrada de usuá-rio 160 que é acoplada ao barramento de sistema 121, mas po-de ser conectada mediante outras estruturas de barramento einterface, tal como uma porta paralela, porta de jogos ou umbarramento serial universal (USB). Um monitor 191 ou outrotipo de dispositivo de video também é conectado ao barramen-to de sistema 121 por intermédio de uma interface, tal comouma interface de video 190, a qual por sua vez pode se comu-nicar com a memória de video 186. Além do monitor 191, oscomputadores também podem incluir outros dispositivos peri-féricos de saida, tais como alto-falantes 197 e impressora196, os quais podem ser conectados através de uma interfaceperiférica de saida 195.
O computador 110 pode operar em um ambiente de re-de ou distribuído utilizando conexões lógicas para um oumais computadores remotos, tal como um computador remoto180. O computador remoto 180 pode ser um computador pessoal,um servidor, um roteador, um PC de rede, um dispositivo não-hierárquico, ou outro nó de rede comum, e incluir tipicamen-te muitos ou todos os elementos descritos acima em relaçãoao computador 110, embora apenas um dispositivo de armazena-mento de memória 181 tenha sido ilustrado na Figura 1. Asconexões lógicas ilustradas na Figura 1 incluem uma rede deárea local (LAN) 171 é uma rede de área remota (WAN) 173,mas podem incluir também outras redes/barramentos. Tais am-bientes de rede são comuns em residências, escritórios, re-des de computadores empresariais, intranets, e a Internet.
Quando usado em. um ambiente de rede LAN, o compu-tador 110 é conectado à LAN 171 através de uma interface derede ou adaptador 170. Quando usado em um ambiente de redeWAN, o computador 110 inclui tipicamente um modem 172 ou ou-tro meio para estabelecer comunicação através da WAN 17 3,tal como a Internet. O modem 172, o qual pode ser interno ouexterno, pode ser conectado ao barramento de sistema 121 porintermédio da interface de entrada de usuário 160, ou outromecanismo apropriado. Em um ambiente de rede, módulos deprograma ilustrados em- relação ao computador 110, ou partesdo mesmo, podem ser armazenados no dispositivo remoto de ar-mazenamento de memória. Como exemplo, e não limitação, a Fi-gura 1 ilustra programa de aplicação remota 18-5 como resi-dindo no dispositivo de memória 181. Será considerado que asconexões de rede mostradas são exemplares e que outros meiosde estabelecer uma ligação de. comunicação entre os computa-dores podem ser usados.
As várias técnicas aqui descritas podem ser imple-mentadas em conexão com hardware ou software ou, quando a-propriado, com uma combinação de ambos. Desse modo, os méto-dos e aparelhos da presente invenção, em certos aspectos oupartes do mesmo, podem assumir a forma de códigos de progra-ma (isto é, instruções) incorporado em meios tangíveis, taiscomo disquetes, CD-ROMs, unidades de disco rigido, ou qual-quer outro meio de armazenamento legivel por máquina, emque, quando o código de programa é carregado em uma máquinae executado por ela, tal como um computador, a máquina setorna um aparelho para prática da invenção. No caso de exe-cução de código de programa em computadores programáveis, odispositivo de computação inclui geralmente um processador,um meio de armazenamento legivel pelo processador (incluindomemória volátil e não-volátil e/ou elementos de armazenamen-to), pelo menos um dispositivo de entrada, e pelo menos umdispositivo de saida- Um ou mais programas que podem imple-mentar ou utilizar o processo descrito em conexão com a pre-sente invenção, por exemplo, através do uso de um API, con-troles reutilizáveis, ou semelhantes, são preferivelmenteimplementados em um procedimento de alto nivel ou linguagemde programação baseada em obj eto para comunicação com umsistema de computador. Contudo, o programa(s) pode ser im-plementado em linguagem de montagem ou máquina, se desejado.Em qualquer caso, a linguagem pode ser linguagem compiladaou interpretada, e combinada com implementações de hardware.
Embora modalidades exemplares se refiram à utili-zação da presente invenção no contexto de um ou mais siste-mas de computador, isoladamente, a invenção não é desse modolimitada, mas, mais propriamente, pode ser implementada emconexão com o ambiente de computação, tal como um ambientede computação distribuída ou de rede. Ainda adicionalmente,a presente invenção pode ser implementada em, ou através de,uma pluralidade de chips ou dispositivos de processamento, eo armazenamento pode ser similarmente realizado através deuma pluralidade de dispositivos. Tais dispositivos poderiamincluir" computadores pessoais, servidores de rede, disposi-tivos portáteis, supercomputadores, ou computadores integra-dos em outros sistemas tais como automóveis e aviões.
A Figura 2 é uma ilustração de diagrama de blocosdo controle de transferência durante um processo de inicia-lização de um sistema de computação, de acordo com um aspec-to da presente invenção. A integridade de cada nivel é veri-ficada antes de se transferir o controle para aquele nivelespecifico.
0 BIOS 133 contém as rotinas básicas que ajudam atransferir informação entre os elementos dentro do computa-dor 110 durante a inicialização. Como declarado acima, oBIOS 133 é. tipicamente contido na memória de leitura (ROM)131 de um sistema de computador, garantindo que ele estejasempre disponível. Quando o computador 110 é ligado, o con-trole do processo de inicialização é passado para o BIOS133, o qual controla a interação entre o sistema operacional134 e diversos dispositivos, tal como o mouse 161, o teclado162, e o monitor 191. Quando o BIOS 133 inicia o computador110, ele verifica se todos os complementos estão operacio-nais antes de localizar o programa de inicialização que efe-tivamente carregará o sistema operacional 134 na memória deacesso aleatório (RAM) 132 do computador 110.
O bloco de inicialização 210 é o setor da unidadede disco 141 onde o programa de inicialização efetivo estálocalizado. O BIOS 133 carrega o bloco de reinicialização210 na RAM 132 do computador 110. Então, após realizar umaverificação de integridade (descrita em detalhe abaixo) dobloco de reinicialização 210, o BIOS 133 passa o controle dosistema para o bloco de reinicialização 210. O programa dereinicialização no bloco de reinicialização 210 tem funcio-nalidade muito limitada. Sua tarefa é a de simplesmente car-regar o suficiente do sistema operacional 134 na RAM 132 demodo que o sistema operacional 134 possa começar a funcionarem certo nivel rudimentar e começa a se autocarregar no dis-positivo de computação.
Com essa finalidade, o programa de reinicializaçãocarrega o utilitário de carga 22 0, o qual é a parte do sis-tema operacional 134 que carrega o restante do sistema ope-racional 134. Após o sistema operacional 134 estar completa-mente funcional, ele pode localizar e carregar diversos pro-gramas, tal como os programas de aplicação 135 que podem es-tar localizados no disco rigido .141, CD-ROM 156, ou até mes-mo na rede 171 ou 173. Após localizar o programa, o sistemaoperacional subseqüentemente carrega o programa selecionadona RAM 132, de modo que as instruções do programa podem serexecutadas. Um programa carregado pode ter seus próprioscomponentes que também precisam ser carregados, e o utilitá-rio de carga 220 também é responsável por essa operação.
Como observado acima, o dispositivo de computaçãoverifica a integridade do diversos módulos que executarão nosistema. Ele realiza isso através do uso de uma chave. Achave é armazenada em um local seguro que poderia estar emuma parte codificada da unidade de disco 141 ou embutida emum local de memória seguro ou semelhante. Em uma modalidadeda invenção, a chave atribuída e gerenciada centralmentedentro de uma emprega por um controlador de dominio.
Em uma modalidade da invenção, uma chave localmen-te armazenada 225 é recuperada pelo utilitário de carga 220.A chave localmente armazenada 225 pode ser única para siste-ma de computação e pode ser mudada com o tempo para garantirainda mais o sistema tornando mais dificil determinar o va-lor da chave. A chave armazenada localmente 225 pode sersintetizada pelo dispositivo de computação ou colocada den-tro do dispositivo de computação, por exemplo, durante a fa-bricação do dispositivo de computação. Portanto, antes doutilitário de carga carregar qualquer parte do sistema ope-racional e passar o controle para ela, ele deve primeiramen-te verificar o código do sistema operacional. De acordo comum aspecto da invenção, cada parte da seqüência de reinicia-lização é assinada com a chave localmente armazenada 225.Então, antes de cada parte do sistema operacional ser carre-gada, é feita uma verificação para garantir que o código te-nha sido assinado pelo menos pela chave localmente armazena-da 225 e que a porção de código não tenha sido modificada.
O núcleo 230 é a parte central do sistema opera-cional 134 e pode ser considerado como o módulo de gerencia-mento do computador 110. Portanto, é muito importante que onúcleo 230 não seja infectado com qualquer código mal-intencionado. Permitir que código mal-intencionado executas-se no núcleo seria desastroso. O núcleo é geralmente a pri-meira parte do sistema operacional a ser carregada e tambémdeve ser submetido à verificação pela chave local antes deobter controle do sistema. Os serviços básicos, porém essen-ciais, do sistema operacional são providos e gerenciados pe-lo núcleo 230. O mesmo é responsável pelo gerenciamento dememória, gerenciamento de processo e tarefas, e gerenciamen-to do disco. Programas de aplicação 135 requerem diversosserviços do núcleo 230. Tipicamente, o núcleo 230 inclui umprocessador de interrupção para lidar com todas as solicita-ções que disputam seus serviços, um programador para deter-minar a ordem de processamento, e um supervisor para permi-tir o uso do computador 110 para completar cada processoprogramado. O núcleo 230 é usado constantemente e permanecena memória principal do computador 110 e, portanto, é carre-gado tipicamente em uma área de armazenamento protegida docomputador. O núcleo 230 realiza uma verificação de integri-dade de quaisquer arquivos executáveis 240 antes de permitirque os arquivos executáveis 240 sejam executados.
Os arquivos executáveis 240 são arquivos que con-têm programas e são capazes de execução ou de operação comoum programa no computador 110. Quando o arquivo executável240 é selecionado para execução, o sistema operacional 134executa o programa. Os arquivos executáveis 240 também podemser referidos como binarios uma vez que os arquivos são se-qüências de valores binarios. Não obstante, alguns outrosprogramas podem ser considerados como executáveis embora e-les não sejam, estritamente falando, arquivos binários. Porexemplo, os programas de código de byte poderiam ser consi-derados executáveis porque eles se destinam à execução em umsistema de computação. Os arquivos executáveis 240 que sãode outro modo programas confiáveis podem ser alterados paraconter código mal-intencionado, desse modo ilustrando a im-portância de executar apenas aqueles arquivos recebidos apartir de uma fonte de confiança e confirmar que os arquivosnão foram modificados entre operações.
A Figura 2 demonstra ainda o processo de verifica-ção de integridade dos vários componentes durante a reinici-alização do sistema. Inicialmente, o BIOS 133 verifica a in-tegridade do bloco de reinicialização 210 antes de transfe-rir o controle de execução para o bloco de reinicialização210. Evidente, o BIOS 133 é armazenado na memória não-volátil e, portanto, não pode ser modificado. Portanto, averificação de integridade não é necessariamente exigida.Após o controle passar para o bloco de reinicialização 210,ele realiza sua parte do processo de reinicialização, a sa-ber, carregamento do utilitário de carga 220, o qual carregao restante do sistema operacional 134. Antes de passar ocontrole, o bloco de reinicialização 210 verifica a integri-dade do utilitário de carga 220. Similarmente, o utilitáriode carga carrega o núcleo do sistema operacional 230. Masantes de carregar o núcleo 230, o utilitário de carga 220verifica a integridade do núcleo 230. Posteriormente, duran-te o curso normal de operação do dispositivo de computação110, um usuário executará diversos parâmetros e aplicaçõesno dispositivo de computação 110. Aqueles programas e apli-cações também precisam ser verificados. Portanto, o controlede execução é então passado para os arquivos executáveis 240a partir do núcleo 230 após o núcleo 230 ter confirmado aintegridade dos arquivos executáveis 240.
Um aspecto da presente invenção prove no sentidode que o utilitário de carga 220 seja um código de cópia deleitura disponível nos meios legiveis por computador, talcomo disco ótico removível, não-volátil 156, tal como um CD-ROM ou DVD; ou disco magnético removível, não-volátil 152,tal como um cassete de fita magnética. O utilitário de carga220, nessa modalidade, valida a integridade do núcleo 230 apartir dos meios legiveis por computador antes de transferiro controle de execução para o núcleo 230, os quais são meiosgraváveis. Essa modalidade introduz uma proteção adicionaluma vez que os meios de leitura não podem ser alterados porautores de virus externos.
A presente invenção não é limitada às verificaçõesde integridade apenas dos programas de reiniciaiização e ar-quivos executáveis. Em vez disso, as verificações de inte-gridade podem ser realizadas em qualquer programa, incluin-do, mas não limitada aos arquivos de código-byte, arquivosexecutáveis, e programas de inicialização.
Além disso, a presente invenção não é limitada àimplementação das verificações de integridade antes da exe-cução de todos os programas no sistema de computação. As ve-rificações, de acordo com a presente invenção, podem ser re-alizadas para um programa ou para uma pluralidade de progra-mas selecionados.
As Figuras 3a e 3b se expandem nas etapas mostra-das na Figura 2. Aqui, as várias etapas são mostradas nasverificações de integridade sendo conduzidas antes do con-trole de execução ser transferido. Outra vez, as verifica-ções de integridade não são limitadas a cada nivel e não sãolimitadas apenas aos programas de reinicialização, mas podemser realizadas em qualquer tipo de programa. De acordo com ainvenção, exemplos de programas incluem, mas não são limita-dos aos arquivos executáveis, arquivos de reiniciaiização einiciação, programas de lotes, e scripts. Alguns exemplossão o bloco de reinicialização, código de utilitário de car-ga, núcleo, e arquivos executáveis ou imagens carregadas.
O BIOS 133 inicialmente tem controle do processode iniciação e começa o processo de carregar o sistema ope-racional 134 na RAM 132 após confirmar a operabilidade dosdiversos complementos na etapa 300 da Figura 3a. O BIOS 133é armazenado tipicamente em memória não-volátil e movido pa-ra a memória volátil (isto é, RAM 132) durante a reiniciali-zação de um dispositivo de computação. Por esta razão, opróprio BIOS 133 pode não ser verificado porque ele não éfacilmente alterado. Não obstante, uma etapa de verificaçãopré-BIOS poderia ser realizada que submeteria o BIOS ao mes-mo processo de verificação que os outros módulos de programaque operam no dispositivo de computação 110. Isso seria par-ticularmente verdadeiro no caso onde o BIOS fosse armazenadoem memória flash ou fosse desejável garantir que o próprioBIOS não fosse substituído. Na etapa 310, a integridade dobloco de reinicialização 210 é verificada pelo BIOS 133. Sea integridade for verificada satisfatoriamente na etapa 320,o BIOS 133 carrega o bloco de reinicialização 210 na RAM 132e passa o' programa de execução do sistema para o bloco dereinicialização 210 na etapa 330. Se a integridade não forconfirmada, o ciclo de reinicialização é interrompido na e-tapa 340.
Se o bloco de reinicialização 210 recebe controlede execução, o bloco de reinicialização 210 carrega o res-tante do sistema operacional 134 na RAM 132 na etapa 350. Obloco de reinicialização 210 também verifica a integridadedo utilitário de carga 220 antes de passar o controle de e-xecução para o utilitário de carga 220. A verificação de in-tegridade do utilitário de carga 220 é realizada na etapa360. Se a integridade do utilitário de carga 220 não forconfirmada, o ciclo é interrompido na etapa 340. Se o blocode reinicialização 210 achar que a integridade do utilitáriode carga 220 é satisfatória, o bloco de reinicialização 210transfere o controle de execução para o utilitário de carga220 na etapa 370. O utilitário de carga 220 é então respon-sável por localizar e carregar, na RAM 132, um programa quefoi selecionado por um usuário para ser executado. Essa ope-ração de localização e carregamento ocorre na etapa 380.
Na etapa 390 da Figura 3b, o utilitário de carga220 verifica a integridade do núcleo 230. Similar à verifi-cação de integridade anterior, se a verificação confirmar aintegridade em 400, o controle de transferência é enviadopara o núcleo 2 30 a partir do utilitário de carga 220 na e-tapa 410. Se a integridade não for confirmada, o processocontinua até a etapa 420, onde o ciclo é interrompido.
Na etapa 430, o número 230, agora possuindo o con-trole de execução, determina a integridade do programa sele-cionado . Se a integridade do programa, tal como uma imagemcarregada ou arquivo executável, for confirmada na etapa440, então o controle de execução do sistema de computação étransferido para o programa na etapa 450 de modo que o pro-grama selecionado pode ser executado. Se a integridade doprograma não for confirmada, então o ciclo é. interrompido naetapa 420 e o programa não recebe controle de execução.
Os fluxogramas anteriores ilustram como a verifi-cação de integridade é realizada nos vários pontos de con-trole de transferência. A Figura 4 se expande em relação aisso e prove uma representação de diagrama de blocos do pró-prio processo de verificação de integridade. Um programa,por exemplo, mas não limitado a uma parte dos módulos envol-vidos nesse processo de reinicialização, o sistema operacio-nal ou um programa de aplicação, é representado pelo progra-ma 500. Um dos objetivos da presente invenção é a de deter-minar se, em uma operação subseqüente, o programa 500 foioperado. Se algum tipo de modificação ocorreu, o sistema de-termina que não é seguro re-executar o programa 500. Emborao processo descrito indique que uma verificação é realizadapara determinar se um programa não mudou, pode ser o caso deque apenas uma parte de um programa seja assim verificada eque o sistema possa permitir que outras partes do programamudem com o passar do tempo. Isso é particularmente o casoonde a parte do programa que é deixada mudar contém dadosusados pelo programa e não código. Em tal caso, pode ser de-terminado que uma parte do programa 500 possa mudar legiti-mamente sem introduzir código mal-intencionado.
Inicialmente, uma representação única A 510 doprograma 500 é criada. A representação única pode ser criadamediante qualquer . uma das várias funções, em que a funçãogera uma representação compactada do programa 500. A repre-sentação é formada de tal modo que ela possui uma singulari-dade razoável.
Um exemplo de uma função usada para criar a repre-sentação 510 é um algoritmo de conversão. Algoritmos de con-versão conhecidos incluem o Algoritmo de Conversão Segura(SHA 1) e MD5. Contudo, outros algoritmos ou funções paragerar a representação podem ser empregados, e a presente in-venção não é de forma alguma limitada a qualquer algoritmoou função especifica.
A representação A 510 é então criptografada paraformar uma assinatura digital 520. A assinatura digital 52 0representa uma representação única e segura do programa 500.Há muitos processos de criptografia conhecidos. A presenteinvenção pode empregar, mas não é de forma alguma limitada àcriptografia de chave pública/chave privada, criptografiasimétrica, e criptografia assimétrica.
Quando a assinatura digital 520 é decriptografada,o resultado é a representação única A 510. A função de de-criptograf ia usada corresponde à função de criptografia es-pecifica empregada. Por exemplo, se a representação A510 écriptografada utilizando a chave "privada, a decriptografiaserá gerada com uma chave pública que corresponde à chaveprivada.
Posteriormente e para operações de carga subse-qüentes do programa 500, uma verificação é exigida para de-terminar se o programa 500 foi alterado. O programa para o-perações subseqüentes é denotado como confirmação 530 na Fi-gura 4. Uma representação singular da confirmação 530 é for-mada, resultando na representação única B 540. A criação darepresentação única B 54 0 deve ser análoga à criação da re-presentação única A 510.
Se representação única B 540 combinar com a repre-sentação única A 510, a qual é a decodificação da assinaturadigital 520, então a confirmação 530 é a mesma que o progra-ma 500. Desse modo, o programa 500 não foi alterado, e é se-guro para que o sistema de computação carregue e execute oprograma 500. Se, contudo, a apresentação única B 54 0 nãocombinar com a representação única A 510, então o programa500 foi alterado de alguma forma e o carregamento não deveocorrer.
A Figura 5 é um fluxograma demonstrando um métodode utilização da chave de assinatura localmente armazenada225 para confirmar que um programa 500 não foi alterado edesse modo pode ser re-executado para uma operação subse-qüente. O método mostrado na Figura 5 utiliza criptografiade chave pública/chave privada, mas outros métodos de crip-tografia podem ser empregados.Quando o programa 500, tal como o núcleo 230, ti-ver sido recebido, uma representação única A 510 do programa500 é criada na etapa 600 do método. Um algoritmo de conver-são, ou qualquer outra função que crie uma representaçãocompactada do programa 500, pode ser usado para criar a re-presentação única A 510 - A representação é formada de talmodo que ela possui uma singularidade razoável. A represen-tação única A 510, na etapa 610, é então criptografada com achave localmente armazenada 225. Essa chave, como descritoem mais detalhe acima, é singular para a máquina de modo queo programa 500 não pode ser determinado. A criptografia re-presenta assinatura digital 520 e é associada ao programa500 na etapa 620. Com essa finalidade, a assinatura digitalpode ser diretamente anexada ao programa 500 ou armazenadaseparadamente do programa 500 e a associação entre o progra-ma e a assinatura digital então monitorada por outros pro-cessos .
O programa assinado 500 é então armazenado até queo sistema tente recarregar ou executar outra vez o programa500. Quando o sistema tenta subseqüentemente carregar o pro-grama 500, a assinatura digital criptografada 520 é decrip-tografada com uma chave pública na etapa 630. A chave públi-ca é parte de um par de chave privada/chave pública, e emuma modalidade, da presente invenção, a chave localmente ar-mazenada é a chave privada. Como observado anteriormente,outros esquemas de codificação são considerados tal comotécnicas de criptografia simétrica.
Uma representação singular B 540 da confirmação530 é criada na etapa 640. Essa representação singular B 540deve ser formada da mesma maneira que a representação doprograma 500 foi formada na etapa 600. Por exemplo, o mesmoalgoritmo de conversão precisa ser usado para ambas as ope-rações. A representação da confirmação 530 é comparada, naetapa 650, com a decriptografia da assinatura digital 520.Na etapa 660, a comparação é verificada para ver se ocorreuma coincidência. Se uma coincidência resultar, então na e-tapa 670, o programa 500 pode ser carregado para uma opera-ção subseqüente uma vez que uma coincidência indica que oprograma 500 não foi modificado e que o arquivo de confirma-ção 530 é efetivamente o programa 500. Se na decriptografia,a representação singular A 510 não coincidir com a nova re-presentação, a representação única B 540, então a operação éinterrompida na etapa 680. Um desacordo mostra que o progra-ma 500 foi modificado e pode estar corrompido.
Desse modo., o método garante que apenas programasque não foram modificados antes da execução serão carregadose executados no sistema.
Em uma modalidade da presente invenção, quando umusuário primeiramente transfere e/ou de outro modo instalauma aplicação, programa, ou módulo de código, o sistema ten-ta garantir a integridade do sistema como um todo. Com essafinalidade, um programa pode ser verificado independentemen-te utilizando um sistema de assinatura de terceiros e auto-ridade de confiança. Contudo, se nenhuma assinatura de con-fiança estiver disponível para um programa especifico, umusuário ainda pode desejar utilizar o código de programa es-pecifico. Além disso, o usuário pode ter razão suficientepara acreditar que a fonte do código de programa é uma enti-dade legitima (ou ficar inclinado a decidir fazer tal julga-mento). Uma vez que o código de programa não tem assinaturade terceiros, o sistema fará com que o código seja assinadocom a chave de assinatura local 225 de modo que o código deprograma não pode ser alterado após ele ser carregado nodispositivo de computação 110. Com essa finalidade, um usuá-rio do sistema de computação é preferivelmente induzido nosentido de se um programa 500, tal como um arquivo executá-vel 240, é ou não uma fonte de confiança. Se o usuário acre-ditar que a fonte é de confiança, então o processo continuapor intermédio do usuário indicando conformemente. Contudo,se o usuário não acreditar que a fonte é de confiança, oprocesso terminará sem o programa 500 ser carregado ou ins-talado no sistema.
Como é evidente a partir da descrição acima, todoo sistema e método da presente invenção, ou partes deles,podem ser incorporadas em hardware, software, ou uma combi-nação de ambos. Quando incorporado em software, os métodos eaparelhos da presente invenção, ou certos aspectos ou partesdos mesmos, podem ser incorporados na forma de código deprograma (isto é, instruções). Esse código de programa podeser armazenado em um meio legivel por computador, em quequando o código de programa é carregado e executado por umamáquina, tal como um computador 110, a máquina se torna umaparelho para a prática da invenção. Meios legiveis por com-putador incluem, mas não são limitados a, RAM, ROM, EEPROM,memória flash ou outra tecnologia de memória, CD-ROM, discosversáteis digitais (DVD) ou outro armazenamento de disco ó-tico, cartões de memória, bastões de memória, cassetes mag-néticos, fita magnéticas, armazenamento de disco magnéticoou outros dispositivos de armazenamento magnético, ou qual-quer outro meio que possa ser usado para armazenar a infor-mação e que possa ser acessado pelo computador 110. O códigode programa pode ser implementado em uma linguagem de pro-gramação orientada para objeto ou procedimento de alto ní-vel. Alternativamente, o código de programa pode ser imple-mentado em uma linguagem de montagem ou máquina. Em qualquercaso, o código de programa pode ser executado na forma com-pilada ou por intermédio de interpretação.
Como ilustrado pelo anterior mencionado, a presen-te invenção se refere aos sistemas e métodos para garantirque apenas programas verificados sejam executados no sistemae que o código de programa não foi modificado ou alteradoantes da execução. Entende-se que mudanças podem ser feitasnas modalidades descritas acima sem se afastar dos seus con-ceitos inventivos, abrangentes. Por exemplo, embora a inven-ção tenha sido descrita acima como incorporada em um compu-tador 110, entende-se que a presente invenção pode ser in-corporada em muitos outros tipos de dispositivos de computa-ção incluindo, como exemplo e sem qualquer limitação preten-dida, receptores de satélite, conversores de sinais de fre-qüência, jogos, computadores pessoais (PCs), telefones por-táteis, assistentes pessoais digitais (PDAs), e outros dis-positivos portáteis. Como tal, a invenção pode ser aplicadaa uma variedade de formas de dados digitais e código de pro-grama tal como simulações, imagens, video, áudio, texto, jogos, sistemas operacionais, programas de aplicação ou quais-quer outras formas de software. Além disso, o método e sis-tema da presente invenção podem ser aplicados facilmente oumodificados para uso no controle de acesso aos dados digi-tais e código de programa em relação a quase qualquer tipode rede, distribuída ou qualquer tipo de meios ou por inter-médio de quase que qualquer tipo de meio de propagação, in-cluindo, por exemplo, transmissões de radiofreqüência e si-nais óticos, sem limitação. Conseqüentemente, pretende-seque a presente invenção não seja limitada às modalidades es-pecificas reveladas, porém pretende-se que cubra todas asmodificações que estejam abrangidas pelo espirito e escopoda invenção conforme definidos pelas reivindicações anexas.
Claims (20)
1. Método para verificar um programa,CARACTERIZADO por compreender:realizar uma função no programa para gerar umaprimeira representação do programa;criptografar a primeira representação com uma cha-ve localmente armazenada;antes de executar o programa, realizar a função noprograma para gerar uma segunda representação;decriptografar a primeira representação criptogra-fada para gerar uma primeira representação decriptografada;ecomparar a segunda representação com a primeirarepresentação decriptografada;em que o programa pode ser uma parte do programa.
2. Método, de acordo com a reivindicação 1,CARACTERIZADO pelo fato de que a chave localmente armazenadaé uma chave privada.
3. Método, de acordo com a reivindicação 2,CARACTERIZADO pelo fato de que a etapa de decriptografar em-prega o uso de uma chave pública que é associada à chaveprivada.
4. Método, de acordo com a reivindicação 1,CARACTERIZADO pelo fato de que o programa é um BIOS.
5. Método, de acordo com a reivindicação 1,CARACTERIZADO pelo fato de que o programa é um programa uti-litário de carga.
6. Método, de acordo com a reivindicação 1,CARACTERIZADO pelo fato de que o programa é um núcleo.
7. Método, de acordo com a reivindicação 1,CARACTERIZADO pelo fato de que o programa é um arquivo exe-cutável.
8. Método, de acordo com a reivindicação 1,CARACTERIZADO pelo fato de que a função é um algoritmo deconversão.
9. Método, de acordo com a reivindicação 1,CARACTERIZADO por compreender ainda:permitir que o programa execute se a comparação dasegunda representação com a primeira representação decripto-grafada resultar em uma coincidência.
10. Meio legivel por computador CARACTERIZADO porter código de programa armazenado no mesmo para uso em umsistema compreendendo um processador.e uma memória, o códigode programa fazendo com que o processador realize as seguin-tes etapas:realizar uma função em um programa para gerar umaprimeira representação do programa;criptografar a primeira representação com uma cha-ve localmente armazenada;antes de executar o programa, realizar a função noprograma para gerar uma segunda representação;decriptografar a primeira representação criptogra-fada para gerar uma primeira representação decriptografada;ecomparar a segunda representação com a primeirarepresentação decriptografada;em que o programa pode ser uma parte do programa.
11. Meio legível por computador, de acordo com a reivindicação 10, CARACTERIZADO pelo fato de que a etapa de decriptografar emprega o uso de uma chave que é associada àchave localmente armazenada.
12. Meio legivel por computador, de acordo com a reivindicação 10, CARACTERIZADO pelo fato de que o programa é um BIOS.
13. Meio legivel por computador, de acordo com a 10 reivindicação 10, CARACTERIZADO pelo fato de que o programa é um programa utilitário de carga.
14. Meio legivel por computador, de acordo com a reivindicação 10, CARACTERIZADO pelo' fato de que o programa é um núcleo.
15. Meio legivel por computador, de acordo com a reivindicação 10, CARACTERIZADO pelo fato de que o código de programa faz com que o processador realize ainda a seguinte etapa:permitir que o programa execute se a comparação da segunda representação com a primeira representação decriptografada resultar em uma coincidência.
16. Sistema de computador CARACTERIZADO por compreender:uma memória;um processador;código de controle armazenado na primeira parte da memória compreendendo instruções legíveis por computador capazes de realizar as seguintes etapas:realizar uma função em um programa para gerar uma primeira representação do programa;criptografar a primeira representação com uma chave localmente armazenada;antes de executar o programa, realizar a função no programa para gerar uma segunda representação;decriptografar a primeira representação criptografada para gerar uma primeira representação decriptografada; ecomparar a segunda representação com a primeira representação decriptografada;em que o programa pode ser uma parte do programa.
17. Sistema de computador, de acordo com a reivindicação 16, CARACTERIZADO pelo fato de que a etapa de de-criptograf ar emprega o uso de uma chave pública que é associada à chave localmente armazenada.
18. Sistema de computador, de acordo com a reivindicação 16, CARACTERIZADO pelo fato de que o programa é um BIOS.
19. Sistema de computador, de acordo com a reivindicação 16, CARACTERIZADO pelo fato de que o programa é um programa utilitário de carga.
20. Sistema de computador, de acordo com a reivindicação 16, CARACTERIZADO pelo fato de que o programa é um núcleo.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/106,756 US20060236122A1 (en) | 2005-04-15 | 2005-04-15 | Secure boot |
| US11/106.756 | 2005-04-15 | ||
| PCT/US2006/013007 WO2006113167A2 (en) | 2005-04-15 | 2006-04-06 | Secure boot |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| BRPI0608821A2 true BRPI0608821A2 (pt) | 2010-01-26 |
Family
ID=37109951
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BRPI0608821-0A BRPI0608821A2 (pt) | 2005-04-15 | 2006-04-06 | inicialização segura |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US20060236122A1 (pt) |
| EP (1) | EP1872231A4 (pt) |
| JP (1) | JP2008537224A (pt) |
| KR (1) | KR20080005482A (pt) |
| CN (1) | CN101199159A (pt) |
| AU (1) | AU2006236956A1 (pt) |
| BR (1) | BRPI0608821A2 (pt) |
| CA (1) | CA2598616A1 (pt) |
| MX (1) | MX2007011377A (pt) |
| NO (1) | NO20074060L (pt) |
| RU (1) | RU2007138019A (pt) |
| WO (1) | WO2006113167A2 (pt) |
| ZA (1) | ZA200707404B (pt) |
Families Citing this family (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7779482B1 (en) | 2003-02-07 | 2010-08-17 | iGware Inc | Delivery of license information using a short messaging system protocol in a closed content distribution system |
| US8131649B2 (en) | 2003-02-07 | 2012-03-06 | Igware, Inc. | Static-or-dynamic and limited-or-unlimited content rights |
| US20100017627A1 (en) | 2003-02-07 | 2010-01-21 | Broadon Communications Corp. | Ensuring authenticity in a closed content distribution system |
| US20070055859A1 (en) * | 2005-09-02 | 2007-03-08 | Mediatek Inc. | Boot systems and methods |
| EP1826697A1 (en) * | 2006-02-24 | 2007-08-29 | Giga Games System, SL | Method for booting and using software for AWP and B type amusing gaming machines, and for C type casino machines |
| JP2009535735A (ja) | 2006-05-02 | 2009-10-01 | ブロードオン コミュニケーションズ コーポレーション | コンテンツ・マネージメント・システムおよび方法 |
| US7904278B2 (en) * | 2006-05-02 | 2011-03-08 | The Johns Hopkins University | Methods and system for program execution integrity measurement |
| US7624276B2 (en) | 2006-10-16 | 2009-11-24 | Broadon Communications Corp. | Secure device authentication system and method |
| US7613915B2 (en) | 2006-11-09 | 2009-11-03 | BroadOn Communications Corp | Method for programming on-chip non-volatile memory in a secure processor, and a device so programmed |
| US8904552B2 (en) * | 2007-04-17 | 2014-12-02 | Samsung Electronics Co., Ltd. | System and method for protecting data information stored in storage |
| US20080271145A1 (en) * | 2007-04-30 | 2008-10-30 | Schiller Mark R | Tamper indication system and method for a computing system |
| FR2926149B1 (fr) | 2008-01-07 | 2010-01-29 | Bull Sas | Dispositif, systemes et procede de demarrage securise d'une installation informatique |
| US8793477B2 (en) * | 2008-02-12 | 2014-07-29 | Mcafee, Inc. | Bootstrap OS protection and recovery |
| US9286080B2 (en) * | 2008-07-02 | 2016-03-15 | Hewlett-Packard Development Company, L.P. | Memory management for hypervisor loading |
| US8843742B2 (en) | 2008-08-26 | 2014-09-23 | Hewlett-Packard Company | Hypervisor security using SMM |
| CN102640160B (zh) * | 2009-10-09 | 2015-02-11 | 诺基亚公司 | 用于控制资源访问的方法和装置 |
| CN102262717B (zh) * | 2011-07-18 | 2014-05-07 | 百度在线网络技术(北京)有限公司 | 用于更改原始安装信息及检测安装信息的方法、装置及设备 |
| US20130036103A1 (en) * | 2011-08-04 | 2013-02-07 | The Boeing Company | Software Part Validation Using Hash Values |
| US9262631B2 (en) * | 2011-11-15 | 2016-02-16 | Mstar Semiconductor, Inc. | Embedded device and control method thereof |
| JP5519712B2 (ja) * | 2012-01-20 | 2014-06-11 | レノボ・シンガポール・プライベート・リミテッド | コンピュータをブートする方法およびコンピュータ |
| US8627097B2 (en) | 2012-03-27 | 2014-01-07 | Igt | System and method enabling parallel processing of hash functions using authentication checkpoint hashes |
| US9942257B1 (en) * | 2012-07-11 | 2018-04-10 | Amazon Technologies, Inc. | Trustworthy indication of software integrity |
| US9465943B2 (en) * | 2013-01-31 | 2016-10-11 | Red Hat, Inc. | Extension of a platform configuration register with a known value |
| US20150019852A1 (en) * | 2013-07-12 | 2015-01-15 | International Games System Co., Ltd. | Verification method for system execution environment |
| CN104636662B (zh) * | 2013-11-15 | 2018-07-03 | 华为技术有限公司 | 一种数据处理方法和终端设备 |
| CN104796771B (zh) * | 2014-01-22 | 2018-04-06 | 中国电信股份有限公司 | 控件下载方法和系统以及下载引导模块 |
| US9672361B2 (en) | 2014-04-30 | 2017-06-06 | Ncr Corporation | Self-service terminal (SST) secure boot |
| CN104019783B (zh) * | 2014-06-13 | 2017-01-18 | 冠亿精密工业(昆山)有限公司 | 一种外径检测装置 |
| CN105704514B (zh) * | 2014-11-27 | 2018-06-29 | 中国电信股份有限公司 | 用于实现安全支付的方法、机顶盒和系统 |
| US9727737B1 (en) | 2015-07-27 | 2017-08-08 | Amazon Technologies, Inc. | Trustworthy indication of software integrity |
| JP2017102566A (ja) * | 2015-11-30 | 2017-06-08 | 日本電信電話株式会社 | 不正ファイル検知装置、不正ファイル検知方法、および、不正ファイル検知プログラム |
| SG10201602449PA (en) | 2016-03-29 | 2017-10-30 | Huawei Int Pte Ltd | System and method for verifying integrity of an electronic device |
| CN106845212A (zh) * | 2017-01-17 | 2017-06-13 | 北京北信源软件股份有限公司 | 一种视窗操作系统下的软件验证方法 |
| US10664599B2 (en) | 2017-05-01 | 2020-05-26 | International Business Machines Corporation | Portable executable and non-portable executable boot file security |
| US11138315B2 (en) | 2018-01-17 | 2021-10-05 | Hewlett Packard Enterprise Development Lp | Data structure measurement comparison |
| JP6706278B2 (ja) * | 2018-03-27 | 2020-06-03 | キヤノン株式会社 | 情報処理装置、及び情報処理方法 |
| US11714910B2 (en) * | 2018-06-13 | 2023-08-01 | Hewlett Packard Enterprise Development Lp | Measuring integrity of computing system |
| WO2020037612A1 (zh) * | 2018-08-23 | 2020-02-27 | 深圳市汇顶科技股份有限公司 | 嵌入式程序的安全引导方法、装置、设备及存储介质 |
| JP7171339B2 (ja) * | 2018-09-26 | 2022-11-15 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及び、プログラム |
| KR102126931B1 (ko) * | 2018-11-07 | 2020-06-25 | 시큐리티플랫폼 주식회사 | 시큐어 부팅 장치 및 방법 |
| EP3696698A1 (en) * | 2019-02-18 | 2020-08-19 | Verimatrix | Method of protecting a software program against tampering |
| US11036267B2 (en) * | 2019-02-26 | 2021-06-15 | Microsoft Technology Licensing, Llc | Field replaceable touch display module |
| JP7092071B2 (ja) * | 2019-03-05 | 2022-06-28 | トヨタ自動車株式会社 | 車両用制御装置、車両用制御装置の起動方法及び車両用制御プログラム |
| EP3772842A1 (de) * | 2019-08-07 | 2021-02-10 | Siemens Aktiengesellschaft | Erkennung von manipulierten clients eines leitsystems |
| CN110955442B (zh) * | 2019-11-11 | 2023-03-07 | 郑州信大先进技术研究院 | 一种适用于PCI-E密码卡的Bootloader |
| CN112231694A (zh) * | 2020-10-27 | 2021-01-15 | 北京人大金仓信息技术股份有限公司 | 一种数据库的检测方法、装置、设备及介质 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3744034A (en) * | 1972-01-27 | 1973-07-03 | Perkin Elmer Corp | Method and apparatus for providing a security system for a computer |
| US5121345A (en) * | 1988-11-03 | 1992-06-09 | Lentz Stephen A | System and method for protecting integrity of computer data and software |
| US4975950A (en) * | 1988-11-03 | 1990-12-04 | Lentz Stephen A | System and method of protecting integrity of computer data and software |
| EP0449242A3 (en) * | 1990-03-28 | 1992-10-28 | National Semiconductor Corporation | Method and structure for providing computer security and virus prevention |
| US5421006A (en) * | 1992-05-07 | 1995-05-30 | Compaq Computer Corp. | Method and apparatus for assessing integrity of computer system software |
| US5864698A (en) * | 1994-08-24 | 1999-01-26 | Packard Bell Nec | Disk based bios |
| US5537540A (en) * | 1994-09-30 | 1996-07-16 | Compaq Computer Corporation | Transparent, secure computer virus detection method and apparatus |
| US5643086A (en) * | 1995-06-29 | 1997-07-01 | Silicon Gaming, Inc. | Electronic casino gaming apparatus with improved play capacity, authentication and security |
| US5757915A (en) * | 1995-08-25 | 1998-05-26 | Intel Corporation | Parameterized hash functions for access control |
| US5953502A (en) * | 1997-02-13 | 1999-09-14 | Helbig, Sr.; Walter A | Method and apparatus for enhancing computer system security |
| US6185678B1 (en) * | 1997-10-02 | 2001-02-06 | Trustees Of The University Of Pennsylvania | Secure and reliable bootstrap architecture |
| US6735696B1 (en) * | 1998-08-14 | 2004-05-11 | Intel Corporation | Digital content protection using a secure booting method and apparatus |
| US6263431B1 (en) * | 1998-12-31 | 2001-07-17 | Intle Corporation | Operating system bootstrap security mechanism |
| US6715074B1 (en) * | 1999-07-27 | 2004-03-30 | Hewlett-Packard Development Company, L.P. | Virus resistant and hardware independent method of flashing system bios |
| US6625729B1 (en) * | 2000-03-31 | 2003-09-23 | Hewlett-Packard Company, L.P. | Computer system having security features for authenticating different components |
| US6928548B1 (en) * | 2000-09-29 | 2005-08-09 | Intel Corporation | System and method for verifying the integrity of stored information within an electronic device |
| FI114416B (fi) * | 2001-06-15 | 2004-10-15 | Nokia Corp | Menetelmä elektroniikkalaitteen varmistamiseksi, varmistusjärjestelmä ja elektroniikkalaite |
| US7398389B2 (en) * | 2001-12-20 | 2008-07-08 | Coretrace Corporation | Kernel-based network security infrastructure |
| US6907522B2 (en) * | 2002-06-07 | 2005-06-14 | Microsoft Corporation | Use of hashing in a secure boot loader |
| US7174465B2 (en) * | 2002-06-26 | 2007-02-06 | Lenovo Singapore Pte, Ltd | Secure method for system attribute modification |
| US7305710B2 (en) * | 2003-04-29 | 2007-12-04 | Pitney Bowes Inc. | Method for securely loading and executing software in a secure device that cannot retain software after a loss of power |
| US20040250086A1 (en) * | 2003-05-23 | 2004-12-09 | Harris Corporation | Method and system for protecting against software misuse and malicious code |
| US7380136B2 (en) * | 2003-06-25 | 2008-05-27 | Intel Corp. | Methods and apparatus for secure collection and display of user interface information in a pre-boot environment |
| US8332652B2 (en) * | 2003-10-01 | 2012-12-11 | International Business Machines Corporation | Computing device that securely runs authorized software |
-
2005
- 2005-04-15 US US11/106,756 patent/US20060236122A1/en not_active Abandoned
-
2006
- 2006-04-06 KR KR1020077019435A patent/KR20080005482A/ko not_active Application Discontinuation
- 2006-04-06 JP JP2008506537A patent/JP2008537224A/ja active Pending
- 2006-04-06 WO PCT/US2006/013007 patent/WO2006113167A2/en active Application Filing
- 2006-04-06 BR BRPI0608821-0A patent/BRPI0608821A2/pt not_active IP Right Cessation
- 2006-04-06 AU AU2006236956A patent/AU2006236956A1/en not_active Abandoned
- 2006-04-06 CA CA002598616A patent/CA2598616A1/en not_active Abandoned
- 2006-04-06 CN CNA2006800062389A patent/CN101199159A/zh active Pending
- 2006-04-06 RU RU2007138019/09A patent/RU2007138019A/ru not_active Application Discontinuation
- 2006-04-06 ZA ZA200707404A patent/ZA200707404B/xx unknown
- 2006-04-06 EP EP06749499A patent/EP1872231A4/en not_active Withdrawn
- 2006-04-06 MX MX2007011377A patent/MX2007011377A/es not_active Application Discontinuation
-
2007
- 2007-08-07 NO NO20074060A patent/NO20074060L/no not_active Application Discontinuation
Also Published As
| Publication number | Publication date |
|---|---|
| KR20080005482A (ko) | 2008-01-14 |
| US20060236122A1 (en) | 2006-10-19 |
| EP1872231A2 (en) | 2008-01-02 |
| CN101199159A (zh) | 2008-06-11 |
| MX2007011377A (es) | 2007-10-03 |
| ZA200707404B (en) | 2009-06-24 |
| WO2006113167A2 (en) | 2006-10-26 |
| NO20074060L (no) | 2007-11-14 |
| WO2006113167A3 (en) | 2008-01-03 |
| JP2008537224A (ja) | 2008-09-11 |
| AU2006236956A1 (en) | 2006-10-26 |
| RU2007138019A (ru) | 2009-04-20 |
| EP1872231A4 (en) | 2009-07-29 |
| CA2598616A1 (en) | 2006-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| BRPI0608821A2 (pt) | inicialização segura | |
| US10516533B2 (en) | Password triggered trusted encryption key deletion | |
| US10740468B2 (en) | Multiple roots of trust to verify integrity | |
| CN111638943B (zh) | 具有受保护的访客机验证主机控制的装置和方法 | |
| CA2507793C (en) | System and method for protected operating system boot using state validation | |
| US8782801B2 (en) | Securing stored content for trusted hosts and safe computing environments | |
| CN110851231A (zh) | 使用扩展分页和存储器完整性的安全公用云 | |
| US9824220B2 (en) | Secure execution of software modules on a computer | |
| KR20170095161A (ko) | 시큐어 시스템 온 칩 | |
| US20030126454A1 (en) | Authenticated code method and apparatus | |
| TWI514186B (zh) | 用以設定保護平台免受惡意軟體之政策的使用者可控制平台層級觸發技術 | |
| TW201535145A (zh) | 使用保護讀取儲存器安全地儲存韌體數據之系統及方法 | |
| Zhao et al. | TEE-aided write protection against privileged data tampering | |
| Regenscheid | BIOS protection guidelines for servers | |
| Frazelle | Securing the Boot Process: The hardware root of trust | |
| Frazelle | Securing the boot process | |
| US11409541B2 (en) | Systems and methods for binding secondary operating system to platform basic input/output system | |
| Pontes et al. | Attesting AMD SEV-SNP Virtual Machines with SPIRE | |
| Van Oorschot et al. | Reducing unauthorized modification of digital objects | |
| Muramoto et al. | Improving Hardware Security on Talos II Architecture Through Boot Image Encryption | |
| Brož | Authenticated and resilient disk encryption | |
| Yao et al. | Configuration | |
| Holoubková | Rešerše a ukázka zabezpečení platformy (TPM) | |
| Zhao | Authentication and Data Protection under Strong Adversarial Model | |
| WO2022006353A1 (en) | Secure key storage systems methods and devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B08F | Application fees: application dismissed [chapter 8.6 patent gazette] |
Free format text: REFERENTE AS 5A E 6A ANUIDADES. |
|
| B08K | Patent lapsed as no evidence of payment of the annual fee has been furnished to inpi [chapter 8.11 patent gazette] |
Free format text: REFERENTE AO DESPACHO 8.6 PUBLICADO NA RPI 2161 DE 05/06/2012. |