CN114424166A - 加密表签名 - Google Patents
加密表签名 Download PDFInfo
- Publication number
- CN114424166A CN114424166A CN201980100832.1A CN201980100832A CN114424166A CN 114424166 A CN114424166 A CN 114424166A CN 201980100832 A CN201980100832 A CN 201980100832A CN 114424166 A CN114424166 A CN 114424166A
- Authority
- CN
- China
- Prior art keywords
- signature
- bios
- computing device
- caller
- uefi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 claims abstract description 25
- 230000004044 response Effects 0.000 claims abstract description 16
- 238000012360 testing method Methods 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 21
- 238000012546 transfer Methods 0.000 claims description 10
- 230000006870 function Effects 0.000 description 10
- 230000003287 optical effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 239000004984 smart glass Substances 0.000 description 2
- 239000000853 adhesive Substances 0.000 description 1
- 230000001070 adhesive effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- ORQBXQOJMQIAOY-UHFFFAOYSA-N nobelium Chemical compound [No] ORQBXQOJMQIAOY-UHFFFAOYSA-N 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
在一些示例中,计算设备包括处理资源,以及存储指令的存储器资源,所述指令使处理资源生成具有对应签名的表,在加电自检(POST)序列期间由计算设备的基本输入/输出系统(BIOS)加密签名,以及响应于输入解密签名。
Description
背景技术
计算设备可以在计算设备的启动序列期间利用接口来初始化被包括在计算设备中的硬件。例如,基本输入/输出系统(BIOS)可以为操作系统(OS)和/或其他程序提供运行时服务。统一可扩展固件接口(UEFI)可以附加地用作计算设备的OS和计算设备的固件之间的接口。
附图说明
图1图示了与本公开一致的用于加密表签名的计算设备的示例;
图2示出了与本公开一致的用于加密表签名的计算设备的示例;
图3示出了与本公开一致的示例系统的框图;
图4示出了与本公开一致的用于加密表签名的方法的示例。
具体实施方式
计算设备可以利用BIOS来执行某些动作。如本文所使用的,术语“BIOS”指代在计算设备的启动序列期间执行硬件初始化并且为OS和/或其他程序提供运行时服务的非易失性固件。例如,当计算设备启动(例如,引导(boot))时,BIOS可以初始化计算设备的硬件。
如本文所使用的,除了其他类型的计算设备之外,术语“计算设备”还可以是例如膝上型计算机、笔记本计算机、台式计算机和/或移动设备(例如,智能电话、平板电脑、个人数字助理、智能眼镜、腕戴式设备等)。如本文所使用的,移动设备可以包括由用户携带和/或穿戴的设备。例如,除了其他类型的计算设备之外,移动设备还可以是电话(例如,智能电话)、平板电脑、个人数字助理(PDA)、智能眼镜和/或腕戴式设备(例如,智能手表)。
如上所述,计算设备可以利用UEFI在计算设备的OS和计算设备的固件之间进行对接。如本文所使用的,术语“UEFI”指代定义OS和平台固件之间的软件接口的规范。例如,UEFI可以定义计算设备的OS和计算设备的固件之间的软件接口。如本文所使用的,术语“操作系统”指代支持计算设备的基本功能的软件,所述基本功能诸如调度任务、执行应用程序和/或控制外围设备。如本文所使用的,术语“固件”指代提供对计算设备的特定硬件的低级控制的软件。
如上所述,UEFI可以是定义计算设备的OS和硬件之间的接口的规范。UEFI规范可以定义被包括在BIOS的存储器中的签名。如本文所使用的,术语“签名”指代验证可执行指令的真实性的认证符。如上所述,BIOS可以包括向计算设备的OS和/或其他程序提供服务的可执行指令。BIOS可以包括指向存储在BIOS中的可执行指令的函数指针。如本文所使用的,术语“函数指针”指代在其处存储可执行指令的存储器位置的映射。
由UEFI规范定义的签名可以是未加密的和预定义的。因此,这些签名可以是公开的。因此,如果诸如黑客之类的恶意用户可以访问BIOS存储器,则恶意用户可以通过搜索签名来确定函数指针。在一些示例中,恶意用户可以将函数指针重定向到可以被执行的恶意代码。
根据本公开,加密表签名可以允许在计算设备的加电自检(POST)期间加密对应于表的签名。加密表签名可以防止用户通过搜索签名来确定函数指针,因为签名是加密的。加密的表签名可以防止恶意用户将函数指针重定向到恶意代码。根据本公开加密表签名可以提供强大的安全性,而无需额外的硬件、应用、OS改变、驱动程序改变和/或对计算设备的用户体验的任何影响。
图1图示了与本公开一致的用于加密表签名的计算设备的示例。计算设备102可以包括BIOS 104、调用者UEFI驱动程序105和表106。
如图1中图示的,计算设备102可以包括表106。如本文所使用的,术语“表”指代数据的排列。表106可以是可扩展固件接口(EFI)表。如本文所使用的,术语“EFI表”指代与UEFI标准相关的数据的排列。例如,EFI表106可以是UEFI数据。表106可以是EFI系统表、EFI引导服务表、EFI运行时服务表和/或任何其他EFI表。
计算设备102可以由bios 104在加电自检(POST)序列期间生成EFI表106。如本文所使用的,术语“POST序列”指代在计算设备加电之后由固件和/或软件例程执行的确定计算设备的硬件是否正常工作的进程。例如,计算设备102可以在加电时运行POST序列,以确定计算设备102的某些硬件(例如,随机存取存储器(RAM)、磁盘驱动程序、外围设备和/或其他硬件)是否正常工作。
如上所述,UEFI规范可以定义签名。签名可以对应于不同的EFI表类型。例如,第一签名可以对应于EFI系统表,第二签名可以对应于EFI引导服务表,第三签名可以对应于EFI运行时服务表,等等。
BIOS 104可以在POST序列期间加密对应于EFI表106的签名。本文使用的术语“加加密”指代使用密钥将明文数据转换成密码数据。例如,BIOS 104可以将签名从明文数据加密成密码数据。加密对应于EFI表的签名可以防止恶意用户读取明文签名,因为用户不能确定密码数据(例如,加密签名)的含义。在一些示例中,BIOS 104可以经由逐位加密对签名进行加密。在一些示例中,BIOS 104可以通过利用预定签名替换UEFI签名对签名进行加密。例如,EFI表106的明文签名可以是“IBITSYS”,并且BIOS 104可以通过利用预定签名(例如,“CNETSYS”)替换UEFI签名(例如IBITSYS)来加密明文签名。
尽管以上将加密方案描述为包括逐位加密和/或利用预定签名替换UEFI签名,但是本公开的示例不限于此。例如,BIOS 104可以经由任何其他加密方法对签名进行加密。
BIOS 104可以响应于输入解密签名。该输入可以是例如从调用者UEFI驱动程序105对BIOS的调用和/或硬件控制转移,如本文进一步描述的。
在一些示例中,该输入可以是从调用者UEFI驱动程序105对BIOS 104的调用。如本文所使用的,术语“调用”指代对服务的请求。如本文所使用的,术语“驱动程序”指代操作和/或控制计算设备的特定设备的计算机程序。例如,调用者UEFI驱动程序105可以通过向BIOS 104传输调用来请求来自BIOS 104的服务,如本文进一步描述的。在POST序列期间,在EFI表106被安装在存储器中之后,调用者UEFI驱动程序105可以向BIOS 104传输调用。
调用者UEFI驱动程序105可以是特定的调用者UEFI驱动程序。特定的调用者UEFI驱动程序105可以指向使用EFI表106的加密签名,并且可以调用BIOS 104来解密EFI表106的加密签名。因此,BIOS 104可以响应于特定调用者UEFI驱动程序105的调用,来解密EFI表106的签名。如本文所使用的,术语“解密”指代使用密钥将密码数据转换成明文数据。例如,加密签名可以是CNETSYS,并且BIOS 104可以将加密签名解密为其明文形式(例如,IBITSYS)。
在被特定调用者UEFI驱动程序105使用之后,BIOS 104可以重新加密EFI表106的签名。例如,特定调用者UEFI驱动程序105可以利用EFI表106的签名来在计算设备102的POST序列期间引起计算设备102的特定设备的操作,并且一旦完成,BIOS 104可以重新加密EFI表106的签名。例如,BIOS 104可以将EFI表106的明文签名(例如,IBITSYS)重新加密为密码签名(例如,CNETSYS)。
另一调用者UEFI驱动程序(例如,调用者UEFI驱动程序105,或者与调用者UEFI驱动程序105不同的调用者UEFI驱动程序)可以调用BIOS 104。例如,该另一调用者UEFI驱动程序可以利用EFI表106的签名来在计算设备102的POST序列期间引起计算设备102的另一设备的操作。该另一调用者UEFI驱动程序可以通过向BIOS 104传输调用来从BIOS 104请求服务(例如,解密),从而解密EFI表106的签名。
BIOS 104可以在被另一调用者UEFI驱动程序使用后重新加密EFI表106的签名。例如,该另一调用者UEFI驱动程序可以利用EFI表106的签名来在计算设备102的POST序列期间引起计算设备102的另一设备的操作,并且一旦完成,BIOS 104可以重新加密EFI表106的签名。例如,BIOS 104可以将EFI表106的明文签名(例如,IBITSYS)重新加密为密码签名(例如,CNETSYS)。
在一些示例中,输入可以是从BIOS 104到计算设备102的OS的硬件控制转移。例如,在POST期间,BIOS 104可以控制计算设备的硬件(例如,当BIOS 104确定计算设备102的某些硬件是否正常工作时。根据UEFI标准,EFI表106的签名将在POST被完成和硬件控制转移到计算设备102的OS之前被解密。因此,在BIOS 104在将硬件控制转移到OS之前,BIOS104可以解密EFI表106的签名。
根据本公开,加密表签名可以允许在计算设备的POST序列期间由计算设备的BIOS加密对应于EFI表的签名。在POST序列期间加密对应于EFI表的签名可以防止恶意用户将函数指针重定向到恶意代码,从而在没有额外的硬件、应用、OS改变、驱动程序改变和/或对计算设备的用户体验的任何影响的情况下提供强大的安全性。BIOS可以在POST序列结束并将计算设备硬件的控制转移到OS之前解密签名。
图2图示了与本公开一致的用于加密表签名的计算设备202的示例。如本文所述,计算设备202可以执行与加密表签名相关的功能。尽管图2中未图示,但是计算设备202可以包括处理器和机器可读存储介质。尽管以下描述涉及单个处理器和单个机器可读存储介质,但是这些描述也可以适用于具有多个处理器和多个机器可读存储介质的系统。在这样的示例中,计算设备202可以跨多个机器可读存储介质分布,并且计算设备202可以跨多个处理器分布。换句话说,由计算设备202执行的指令可以跨多个机器可读存储介质存储,并且跨多个处理器执行,例如在分布式或虚拟计算环境中。
处理资源208可以是中央处理单元(CPU)、基于半导体的微处理器和/或适于检索和执行存储在存储器资源210中的机器可读指令212、214、216的其他硬件设备。处理资源208可以获取、解码和执行指令212、214、216。作为检索和执行指令212、214、216的替代或除了检索和执行指令212、214、216之外,处理资源208可以包括多个电子电路,所述电子电路包括用于执行指令212、214、216的功能的电子组件。
存储器资源210可以是存储可执行指令212、214、216和/或数据的任何电子、磁性、光学或其他物理存储设备。因此,存储器资源210可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储驱动器和光盘等。如图2所示,存储器资源210可以部署在计算设备202内。另外,存储器资源210可以是例如便携式、外部或远程存储介质,其使得计算设备202从便携式/外部/远程存储介质下载指令212、214、216。
计算设备202可以包括存储在存储器资源210中并且由处理资源208可执行的生成指令212,以生成具有对应签名的表。该表可以是EFI表,诸如EFI系统表、EFI引导服务表、EFI运行时服务表和/或任何其他EFI表。计算设备202可以通过计算设备202的BIOS在计算设备202的POST序列期间生成该表。
计算设备202可包括存储在存储器资源210中并且由处理资源208可执行的加密指令214,以通过计算设备202的BIOS在POST序列期间加密签名。例如,签名可以是明文数据,并且计算设备202的BIOS可以使用密钥将明文数据转换成密码数据。BIOS可以使用逐位加密、利用预定签名替换签名和/或任何其他类型的加密方法对签名进行加密。
计算设备202可以包括存储在存储器资源210中并且由处理资源208可执行的解密指令216,以响应于输入来解密签名。在一些示例中,输入可以是从调用者UEFI驱动程序对BIOS的调用。例如,调用者UEFI驱动程序可以从BIOS请求解密服务,使得BIOS解密签名以供调用者UEFI驱动程序使用,并且在调用者UEFI驱动程序使用签名之后重新加密该签名。在一些示例中,输入可以是硬件控制转移。例如,根据UEFI标准,表的签名将在POST被完成和硬件控制从BIOS转移到计算设备202的OS之前被解密。因此,在BIOS将硬件控制转移到OS之前,BIOS可以解密该表的签名,以完成POST序列。
图3图示了与本公开一致的示例系统318的框图。在图3的示例中,系统318包括计算设备302。计算设备302可以包括处理资源320和机器可读存储介质322。尽管以下描述涉及单个处理资源和单个机器可读存储介质,但是这些描述也可以适用于具有多个处理器和多个机器可读存储介质的系统。在这样的示例中,指令可以跨多个机器可读存储介质分布,并且指令可以跨多个处理器分布。换句话说,指令可以跨多个机器可读存储介质存储,并且跨多个处理器执行,诸如在分布式计算环境中。
处理资源320可以是中央处理单元(CPU)、微处理器和/或适于检索和执行存储在机器可读存储介质322中的指令的其他硬件设备。在图3所示的特定示例中,处理资源320可以接收、确定和发送指令324、326和328。作为检索和执行指令的替代或者除了检索和执行指令之外,处理资源320可以包括电子电路,所述电子电路包括用于执行机器可读存储介质322中的指令的操作的多个电子组件。关于本文描述和示出的可执行指令表示或框,应当理解,一个框内包括的部分或全部可执行指令和/或电子电路可以被包括在图中所示的不同框中或未示出的不同框中。
机器可读存储介质322可以是存储可执行指令的任何电子、磁性、光学或其他物理存储设备。因此,机器可读存储介质322可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储驱动器和光盘等。可执行指令可以“安装”在图3中图示的系统318上。机器可读存储介质322可以是例如便携式、外部或远程存储介质,其允许系统318从便携式/外部/远程存储介质下载指令。在这种情况下,可执行指令可以是“安装包”的一部分。如本文所述,机器可读存储介质322可以利用与加密表签名相关联的可执行指令来编码。
当由诸如处理资源320的处理器执行时,生成EFI表指令324可以使得系统318通过计算设备302的BIOS在POST序列期间生成EFI表。EFI表可以是例如EFI系统表、EFI引导服务表、EFI运行时服务表和/或任何其他EFI表。
当由诸如处理资源320的处理器执行时,加密签名指令326可以使得系统318在POST序列期间加密对应于EFI表的签名。例如,签名可以是明文数据,并且计算设备302的BIOS可以使用密钥将明文数据转换成密码数据。BIOS可以使用逐位加密、利用预定签名替换签名和/或任何其他类型的加密方法对签名进行加密。
当由诸如处理资源320的处理器执行时,解密签名指令328可以使系统318响应于输入来解密签名。在一些示例中,输入可以是从调用者UEFI驱动程序对BIOS的调用。例如,调用者UEFI驱动程序可以从BIOS请求解密服务,使得BIOS解密签名以供调用者UEFI驱动程序使用,并且在调用者UEFI驱动程序使用签名之后重新加密该签名。在一些示例中,输入可以是硬件控制转移。例如,根据UEFI标准,在POST被完成和硬件控制从BIOS转移到计算设备302的OS之前,表的签名将被解密。因此,在BIOS将硬件控制转移到OS之前,BIOS可以解密该表的签名,以完成POST序列。
图4图示了与本公开一致的用于加密表签名的方法430的示例。例如,方法430可以由计算设备(例如,先前分别结合图1-图3描述的计算设备102、202、302)来执行。
在432,方法430包括响应于计算设备的POST序列,由计算设备生成具有对应签名的EFI表。EFI表可以是例如EFI系统表、EFI引导服务表、EFI运行时服务表和/或任何其他EFI表。
在434,方法430包括响应于计算设备的POST序列开始,由计算设备的BIOS加密签名。该签名可以是例如根据UEFI规范的明文数据,并且计算设备的BIOS可以使用密钥将明文数据转换成密码数据。BIOS可以使用逐位加密、利用预定签名替换签名和/或任何其他类型的加密方法对签名进行加密。
在436,方法430包括响应于从调用者UEFI驱动程序对BIOS的调用,由计算设备的BIOS解密签名以供调用者UEFI驱动程序使用。例如,调用者UEFI驱动程序可以从BIOS请求解密服务,使得BIOS解密签名以供调用者UEFI驱动程序使用。
在一些示例中,方法430包括由BIOS在由调用者UEFI驱动程序使用之后加密签名。例如,在调用者UEFI驱动程序使用签名之后,BIOS可以重新加密签名。在调用者UEFI驱动程序使用之后重新加密签名可以在POST序列的剩余部分期间保持签名被加密,直到调用者UEFI驱动程序或另一调用者UEFI驱动程序要利用该签名,和/或POST序列停止并且硬件的控制要从BIOS转移到计算设备的OS。
在本公开的前述详细描述中,参考了形成本公开一部分的附图,并且在附图中通过图示的方式示出了本公开的示例可以如何实践。对这些示例进行了足够详细的描述,以使得本领域普通技术人员能够实践本公开的示例,并且应当理解,可以利用其他示例,并且可以在不脱离本公开的范围的情况下进行工艺、电气和/或结构改变。此外,如本文所使用的,“一个”可以指代一个这样的事物或多于一个这样的事物。
本文的附图遵循编号惯例,其中第一个数字对应于附图编号,其余数字标识附图中的元件或部件。例如,附图标记102可以指图1中的元件102,并且类似的元件可以由图2中的附图标记202来标识。可以添加、交换和/或删除本文各图中所示的元件,以提供本公开的附加示例。此外,附图中提供的元件的比例和相对尺度旨在说明本公开的示例,而不应被理解为是限制性的。
可以理解,当元件被称为“在另一元件上”、“连接到”、“耦合到”另一元件或“与另一元件耦合”时,它可以直接在另一元件上、连接到另一元件或与另一元件耦合,或者可以存在中间元件。相反,当对象“直接耦合到”另一元件或与另一元件“直接耦合”时,应当理解为没有中间元件(粘合剂、螺钉、其他元件)等。
上面的说明书、示例和数据提供了方法和应用的描述,以及本公开的系统和方法的用途。由于在不脱离本公开的系统和方法的精神和范围的情况下可以做出许多示例,因此本说明书仅阐述了许多可能的示例配置和实现中的一些。
Claims (15)
1. 一种计算设备,包括:
处理资源;和
存储非暂时性机器可读指令的存储器资源,以使所述处理资源:
生成具有对应签名的表;
由计算设备的基本输入/输出系统(BIOS)在加电自检(POST)序列期间加密签名;和
响应于输入解密签名。
2.根据权利要求1所述的计算设备,其中所述输入是从调用者统一可扩展固件接口(UEFI)驱动程序对BIOS的调用。
3.根据权利要求2所述的计算设备,包括使所述处理资源响应于所述调用者UEFI驱动程序的调用由bios解密所述签名的指令。
4.根据权利要求3所述的计算设备,包括使所述处理资源在由所述调用者UEFI驱动程序使用之后由bios加密所述签名的指令。
5.根据权利要求1所述的计算设备,其中所述输入是从BIOS到计算设备的操作系统(OS)的硬件控制转移。
6.根据权利要求5所述的计算设备,包括使所述处理资源在所述BIOS将硬件控制转移到所述OS之前由bios解密所述签名的指令。
7.根据权利要求1所述的计算设备,其中所述表是可扩展固件接口(EFI)表。
8.一种存储指令的非暂时性机器可读介质,所述指令由处理资源可执行以使所述处理资源:
由基本输入/输出系统(BIOS)在上电自检(POST)序列期间生成可扩展固件接口(EFI)表;
在POST序列期间加密对应于EFI表的签名;和
响应于输入对解密签名。
9. 根据权利要求8所述的介质,其中:
所述输入是从特定调用者统一可扩展固件接口(UEFI)驱动程序对BIOS的调用;和
解密签名的指令包括响应于从特定调用者UEFI驱动程序对BIOS的调用而解密签名的指令。
10.根据权利要求9所述的介质,包括在由特定的调用者UEFI驱动程序使用之后由BIOS重新加密签名的指令。
11. 根据权利要求10所述的介质,其中:
输入是另一调用者UEFI驱动程序对BIOS的调用;和
解密签名的指令包括响应于从所述另一调用者UEFI驱动程序对BIOS的调用来解密签名的指令。
12.根据权利要求11所述的介质,包括在由所述另一调用者UEFI驱动程序使用之后由BIOS重新加密签名的指令。
13.一种方法,包括:
响应于计算设备的加电自检(POST)序列,由计算设备生成具有对应签名的可扩展固件接口(EFI)表;
响应于计算设备的加电自检(POST)序列的开始,由计算设备的基本输入/输出系统(BIOS)加密签名;和
响应于从统一可扩展固件接口(UEFI)调用者驱动程序对BIOS的调用,由BIOS解密签名以供调用者UEFI驱动程序使用。
14.根据权利要求13所述的方法,其中所述方法包括在由调用者UEFI驱动程序使用后,由BIOS加密签名。
15. 根据权利要求13所述的方法,其中所述方法包括通过以下各项中的至少一个来加密签名:
逐位加密;和
利用预定的签名替换所述签名。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2019/048471 WO2021040701A1 (en) | 2019-08-28 | 2019-08-28 | Encrypting table signatures |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114424166A true CN114424166A (zh) | 2022-04-29 |
Family
ID=74684629
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980100832.1A Pending CN114424166A (zh) | 2019-08-28 | 2019-08-28 | 加密表签名 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220198020A1 (zh) |
| EP (1) | EP4022430A4 (zh) |
| CN (1) | CN114424166A (zh) |
| WO (1) | WO2021040701A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11514166B2 (en) * | 2020-10-20 | 2022-11-29 | Dell Products L.P. | Systems and methods to protect unified extensible firmware interface protocol serviceability |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1306714A (zh) * | 1998-06-23 | 2001-08-01 | 微软公司 | 生成加密签名以及与产品副本一起使用此类签名的技术 |
| US6684326B1 (en) * | 1999-03-31 | 2004-01-27 | International Business Machines Corporation | Method and system for authenticated boot operations in a computer system of a networked computing environment |
| CN101630353A (zh) * | 2008-06-30 | 2010-01-20 | 英特尔公司 | 在移动因特网设备上安全引导uefi固件和uefi感知操作系统的系统和方法 |
| US8656146B2 (en) * | 2008-02-29 | 2014-02-18 | Globalfoundries Inc. | Computer system comprising a secure boot mechanism |
| US20140365755A1 (en) * | 2013-06-07 | 2014-12-11 | Dell Inc. | Firmware authentication |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7376968B2 (en) * | 2003-11-20 | 2008-05-20 | Microsoft Corporation | BIOS integrated encryption |
| US9208105B2 (en) * | 2013-05-30 | 2015-12-08 | Dell Products, Lp | System and method for intercept of UEFI block I/O protocol services for BIOS based hard drive encryption support |
| US9524390B2 (en) * | 2014-09-09 | 2016-12-20 | Dell Products, Lp | Method for authenticating firmware volume and system therefor |
| US9742568B2 (en) * | 2015-09-23 | 2017-08-22 | Dell Products, L.P. | Trusted support processor authentication of host BIOS/UEFI |
| US10628168B2 (en) * | 2016-01-14 | 2020-04-21 | Hewlett-Packard Development Company, L.P. | Management with respect to a basic input/output system policy |
| US10726131B2 (en) * | 2016-11-21 | 2020-07-28 | Facebook, Inc. | Systems and methods for mitigation of permanent denial of service attacks |
| WO2018199893A1 (en) * | 2017-04-24 | 2018-11-01 | Hewlett-Packard Development Company, L.P. | Displaying a bios update progress |
| US10824724B2 (en) * | 2017-06-02 | 2020-11-03 | Dell Products, L.P. | Detecting runtime tampering of UEFI images in an information handling system |
| US10977367B1 (en) * | 2018-02-06 | 2021-04-13 | Facebook, Inc. | Detecting malicious firmware modification |
| US11151255B2 (en) * | 2018-10-26 | 2021-10-19 | Dell Products L.P. | Method to securely allow a customer to install and boot their own firmware, without compromising secure boot |
| US11320990B2 (en) * | 2019-05-24 | 2022-05-03 | Dell Products L.P. | NVDIMM serial interface for out-of-band management by a baseboard management controller and method therefor |
| US11361067B2 (en) * | 2019-08-29 | 2022-06-14 | Mitac Computing Technology Corporation | Cross authentication method for computer system security |
| US11494495B2 (en) * | 2020-05-22 | 2022-11-08 | Dell Products L.P. | System and method for firmware image integrity verification |
| US11416614B2 (en) * | 2020-07-01 | 2022-08-16 | Dell Products L.P. | Statistical detection of firmware-level compromises |
| US11416615B2 (en) * | 2020-09-02 | 2022-08-16 | Dell Products, L.P. | Configuring trusted remote management communications using UEFI |
-
2019
- 2019-08-28 CN CN201980100832.1A patent/CN114424166A/zh active Pending
- 2019-08-28 US US17/606,094 patent/US20220198020A1/en active Pending
- 2019-08-28 EP EP19942691.7A patent/EP4022430A4/en not_active Withdrawn
- 2019-08-28 WO PCT/US2019/048471 patent/WO2021040701A1/en unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1306714A (zh) * | 1998-06-23 | 2001-08-01 | 微软公司 | 生成加密签名以及与产品副本一起使用此类签名的技术 |
| US6684326B1 (en) * | 1999-03-31 | 2004-01-27 | International Business Machines Corporation | Method and system for authenticated boot operations in a computer system of a networked computing environment |
| US8656146B2 (en) * | 2008-02-29 | 2014-02-18 | Globalfoundries Inc. | Computer system comprising a secure boot mechanism |
| CN101630353A (zh) * | 2008-06-30 | 2010-01-20 | 英特尔公司 | 在移动因特网设备上安全引导uefi固件和uefi感知操作系统的系统和方法 |
| US20140365755A1 (en) * | 2013-06-07 | 2014-12-11 | Dell Inc. | Firmware authentication |
Non-Patent Citations (1)
| Title |
|---|
| 曾颖明;谢小权;: "基于UEFI的可信Tiano设计与研究", 计算机工程与设计, no. 11, 16 June 2009 (2009-06-16) * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220198020A1 (en) | 2022-06-23 |
| EP4022430A1 (en) | 2022-07-06 |
| EP4022430A4 (en) | 2023-05-24 |
| WO2021040701A1 (en) | 2021-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10853270B2 (en) | Cryptographic pointer address encoding | |
| US11921860B2 (en) | Rollback resistant security | |
| CN101770386B (zh) | 一种Linux嵌入式系统的安全启动方法 | |
| KR101712784B1 (ko) | 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법 | |
| EP2795829B1 (en) | Cryptographic system and methodology for securing software cryptography | |
| US8918652B2 (en) | System and method for BIOS and controller communication | |
| US20140317394A1 (en) | Provisioning of operating systems to user terminals | |
| US9147076B2 (en) | System and method for establishing perpetual trust among platform domains | |
| US9563773B2 (en) | Systems and methods for securing BIOS variables | |
| KR20090073208A (ko) | 영구 보안 시스템 및 영구 보안 방법 | |
| CN112149144A (zh) | 聚合密码引擎 | |
| US20160048663A1 (en) | Systems and methods for automatic generation and retrieval of an information handling system password | |
| CN114424166A (zh) | 加密表签名 | |
| US9772954B2 (en) | Protecting contents of storage | |
| CN111357003A (zh) | 预操作系统环境中的数据保护 | |
| KR102565414B1 (ko) | 데이터 처리 가속기에 사용되는, 난독화 유닛에 의해 난독화 를 진행하는 데이터 전송 | |
| ES2798077T3 (es) | Sistema criptográfico y metodología para asegurar criptografía de software | |
| CN116361818A (zh) | 用于访问管理控制器的自动安全验证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |