JP2023541881A - 電子装置のブート方法 - Google Patents
電子装置のブート方法 Download PDFInfo
- Publication number
- JP2023541881A JP2023541881A JP2023515736A JP2023515736A JP2023541881A JP 2023541881 A JP2023541881 A JP 2023541881A JP 2023515736 A JP2023515736 A JP 2023515736A JP 2023515736 A JP2023515736 A JP 2023515736A JP 2023541881 A JP2023541881 A JP 2023541881A
- Authority
- JP
- Japan
- Prior art keywords
- electronic device
- activation mechanism
- hardware
- activation
- booting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000004913 activation Effects 0.000 claims abstract description 89
- 230000007246 mechanism Effects 0.000 claims abstract description 89
- 238000000034 method Methods 0.000 claims abstract description 46
- 238000004590 computer program Methods 0.000 claims abstract description 31
- 230000003213 activating effect Effects 0.000 claims abstract description 6
- 238000013500 data storage Methods 0.000 claims description 2
- 230000009849 deactivation Effects 0.000 claims description 2
- 230000002123 temporal effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 11
- 230000008672 reprogramming Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 1
- 238000007664 blowing Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
電子装置(100)のブート方法であって、 - 第1の、改ざんに対して保護された第1のアクティブ化機構(10)をブートするステップと、 - 電子装置(100)のコンピュータプログラム製品(30a...30c)をアクティブ化するために適応されており、改ざんに対して保護された少なくとも1つのさらなるアクティブ化機構(20)を、時間的に規定通りに重ね合わせてブートするステップとを備えた、方法。
Description
本発明は電子装置のブート方法に関する。本発明はさらに電子装置に関する。本発明はさらにコンピュータプログラム製品に関する。
電子機器は、意図しない、悪意での、および善意での改ざんにますます曝されるようになっている。もっともこれらの脅威は、(なかでもインターネットを介した)電子機器の次第に広がっていくネットワーク化の過程において、そうこうするうちに新たな次元に到達し、これに関してはデータ窃盗も深刻な脅威であり得る。このテーマは、任意の、なかでも相互にネットワーク化された電気機器および電子機器(例えばモノのインターネットも)に当てはまり、だんだんと自動車産業にも強く当てはまるようになっている。改ざんを目的とした上記の電子機器への攻撃は、とりわけ、ソフトウェアおよび/または電子機器のコンフィギュレーションを変更することを目的とする。これに関し、データセットにおけるコンフィギュレーションは、ソフトウェアの存在または不在によっても表現され得る。
昨今のマイクロコントローラは、プログラミング後のプログラムメモリ(フラッシュ)の領域を、ハードウェアメカニズムを介して変更不能に設定する可能性を提供することが知られている。これは、ワンタイムプログラミング可能な(英語:one-time-programmable、OTP)メモリの挙動に相当する。
プログラムメモリが、ハードウェアパスワードを事前に入力する場合にしか再プログラミングまたは再フラッシュされ得ないように、プログラムメモリ(フラッシュ)をハードウェアパスワードによって保護する可能性も知られている。多くの既知の比較的新しい自動車用マイクロコントローラは、OTPおよびハードウェアパスワードといったメモリ保護のための機能を備えたプログラムメモリ(フラッシュ)を有する。
さらに、ハードウェアパスワードが機器ごとに個別に与えられ得ることも知られている。機器シリーズ全体への攻撃を困難にするため、ハードウェアパスワードは、一般的に機器ごとに個別に与えられ、しかも、1つのハードウェアパスワードから、例えば乱数または暗号鍵導出関数の適用により、この機器シリーズの別のハードウェアパスワードが類推され得ないように与えられる。
本発明の課題は、電子装置の改善された、とりわけより安全なブート方法を提供することである。
本課題は第1の態様に基づき、電子装置のブート方法であって、
- 第1の、改ざんに対して保護された第1のアクティブ化機構をブートするステップと、
- 電子装置のコンピュータプログラム製品をアクティブ化するために適応されており、改ざんに対して保護された少なくとも1つのさらなるアクティブ化機構を、時間的に規定通りに重ね合わせてブートするステップと、
を有する、方法によって解決される。
- 第1の、改ざんに対して保護された第1のアクティブ化機構をブートするステップと、
- 電子装置のコンピュータプログラム製品をアクティブ化するために適応されており、改ざんに対して保護された少なくとも1つのさらなるアクティブ化機構を、時間的に規定通りに重ね合わせてブートするステップと、
を有する、方法によって解決される。
このようにして、電子装置の高速かつ安全なブートプロセスが促進されている。これは、両方のアクティブ化機構が、安全なやり方でブートされ得ることによって達成される。これは、ライトプロテクトにより、両方のアクティブ化機構のためにそれぞれ並行する安全なブートが提供されることで達成される。これにより結果的に、「上位への安全なブートチェーン」が促進されており、すなわち、さらなるコンピュータプログラム製品の1つが(例えば実地でのハッカー攻撃によって)改ざんされた場合、この事態が第1または第2のアクティブ化機構によって認識され、これにより、第1または第2のさらなるコンピュータプログラム製品が第1または第2のアクティブ化機構によってブートされない。
このようにして、意図せず改ざんされたプログラムコードの意図しないアクティブ化に対する安全性も提供されることが有利である。
したがって結果的に、提案される方法により、実地作業でのプログラムコードの意図しない改ざんが阻止され得る。電子装置の高速ブートが、両方の改ざん防止されたアクティブ化機構の形態での2つの安全な基点から実施され得ることが有利である。「改ざん防止された」とは、本発明との関連では、両方のアクティブ化機構のプログラムコードが変更され得ないということである。
したがって結果的に、提案される方法により、実地作業でのプログラムコードの意図しない改ざんが阻止され得る。電子装置の高速ブートが、両方の改ざん防止されたアクティブ化機構の形態での2つの安全な基点から実施され得ることが有利である。「改ざん防止された」とは、本発明との関連では、両方のアクティブ化機構のプログラムコードが変更され得ないということである。
第2の態様に基づき本課題は、
- 改ざんに対して保護された第1のアクティブ化機構と、
- 第1のアクティブ化機構に対して時間的に規定通りに重なり合ってブート可能で、電子装置の少なくとも1つのコンピュータプログラム製品をアクティブ化するために適応されており、改ざんに対して保護された少なくとも1つのさらなるアクティブ化機構と、
を有する電子装置によって解決される。
- 改ざんに対して保護された第1のアクティブ化機構と、
- 第1のアクティブ化機構に対して時間的に規定通りに重なり合ってブート可能で、電子装置の少なくとも1つのコンピュータプログラム製品をアクティブ化するために適応されており、改ざんに対して保護された少なくとも1つのさらなるアクティブ化機構と、
を有する電子装置によって解決される。
本課題は第3の態様に基づき、提案される電子装置上で動作するか、またはコンピュータ可読のデータ記憶媒体上で保存されている場合の、提案される方法を実施するために適応された、プログラムコード手段を備えたコンピュータプログラムによって解決される。
提案される方法の有利な変形形態は引用形式請求項の対象である。
本方法の有利な一変形形態は、第1のアクティブ化機構のブートおよび第2のアクティブ化機構のブートが同時に実施されることを企図する。このようにして、両方のアクティブ化機構のブートの特に好ましい重なり合った範囲が実現される。このようにして、両方のアクティブ化機構の可能な限り時間効率の良いアクティブ化が促進されていることが有利である。
本方法の有利な一変形形態は、第1のアクティブ化機構のブートおよび第2のアクティブ化機構のブートが同時に実施されることを企図する。このようにして、両方のアクティブ化機構のブートの特に好ましい重なり合った範囲が実現される。このようにして、両方のアクティブ化機構の可能な限り時間効率の良いアクティブ化が促進されていることが有利である。
本方法のさらなる有利な一変形形態は、第2のアクティブ化機構が、さらなるコンピュータプログラム製品をチェックするため、第1のアクティブ化機構のチェック機能を呼び出し、かつ第1のアクティブ化機構により、コンピュータプログラム製品をチェックするためのチェック機能が提供されることを企図する。これにより、さらなるコンピュータプログラム製品の意図しない改ざんについての効率的なチェックが促進されていることが有利である。
電子装置のさらなる有利な一変形形態は、第2のアクティブ化機構の改ざん防止が、ハードウェア保護機構によって提供されることを特色とする。このやり方では、ハードウェア保護機構への第2のアクティブ化機構のアクセスは、ハードウェアパスワードを用いてのみ可能である。これは、さらなるコンピュータプログラム製品の本来のアクティブ化にはまったく必要なく、工場での再プログラミングのためにだけ必要である。例えば、上記のハードウェアパスワードは第2のアクティブ化機構のフラッシュメモリに格納され得る。
ハードウェアパスワードが、各々の電子装置に対して個別に提供され得ることが有利である。これは例えばITトラストセンターで行うことができ、ITトラストセンターでは、各々の電子装置に対し、機器ごとに個別に1つのパスワードが生成および格納される。このようにして、ソフトウェアおよび/またはデータの意図しない改ざんに対し、すべての電子装置の最大限の保護が促進されている。
電子装置のさらなる有利な一変形形態は、第2のアクティブ化機構の改ざん防止が、第2のアクティブ化機構のワンタイムプログラミングによって提供されることを特色とする。これにより、第2のアクティブ化機構の代替的な改ざん防止が提供されることが有利である。これは例えば、再修復不可能な破壊または電子ヒューズの焼き切りによって実現され得る。
電子装置のさらなる有利な一変形形態は、第1のアクティブ化機構がハードウェアセキュリティモジュールであることを特色とする。このハードウェアセキュリティモジュールは、とりわけ、ハードウェアセキュリティモジュールだけがその専用フラッシュメモリへのアクセスを有することを特色とし、これにより、高度の改ざん防止が促進されている。
電子装置のさらなる有利な一変形形態は、各々の電子装置に対し、ハードウェア保護機構のための個別のパスワードが提供されていることを特色とする。これにより、電子装置のための高度の改ざん防止が促進されていることが有利である。
電子装置のさらなる有利な一変形形態は、ハードウェア保護機構の非アクティブ化のためにハードウェアパスワードが必要であることを特色とする。これによっても、電子装置のための高度の改ざん防止が促進されていることが有利である。
電子装置のさらなる有利な一変形形態は、両方のアクティブ化機構およびコンピュータプログラム製品が同じチップ上に配置されていることを特色とする。このようにして、電子装置のために、効率的に動作するオンチップ解決策が提供されている。
以下に、さらなる特徴および利点と共に、2つの図に基づいて本発明を詳細に説明する。これらの図は、なかでも本発明の本質をなす原理をはっきりさせるために考えられている。
開示された方法の特徴は、相応の開示された装置の特徴から類似的に明らかであり、またその逆でもある。これはとりわけ、電子装置をブートするための提案している方法に関する特徴、技術的利点、および実施形態が、電子装置に関する相応の実施形態、特徴、および利点から類似的に明らかであり、またその逆でもあることを意味する。
上で挙げた改ざんに対する措置は、例えば、ソフトウェアの起動前に、このソフトウェアを完全性および真正性についてチェックすることにあり得る。完全性および真正性が正常であればソフトウェアは起動され、そうでなければ起動されない。ソフトウェアのためのこの方法が、機器のパワーオン以降、最初の起動されるソフトウェアに、そしてその後に起動されるソフトウェアに適用される場合には、それ自体で知られている「セキュアブート」(=機器の安全なブート)のことである。
アクティブ化されるべきソフトウェアの完全性および/または真正性についてのチェックのための時間は、多くの適用事例にとって長すぎる可能性がある。機器の機能が自由に使えるのが、予期しない再起動の場合も含めて遅すぎるかもしれない。したがって機器起動後に先ずは一旦ソフトウェアをチェックなしでアクティブ化し、その後でようやく、ランタイムと並行してソフトウェアのチェックを実施する方法もある。ソフトウェアの改ざんが認識されると、この情報に基づいて次の機器起動時にソフトウェアの新たなアクティブ化が阻止され得る。
それ自体で知られているこの方法は「オーセンティックブート」と呼ばれ、この方法には幾つかの種類がある。セキュアブートもオーセンティックブートも、等級付け可能であり、かつ混合して適用可能であり、この混合形態では、オーセンティックブートがセキュアブートの後に続き、その逆ではないことが望ましい。
多くの電子機器は、パワーオン後に最初に起動されるソフトウェアとしてブートマネージャを有しており、ブートマネージャは、特定の条件に依存して、続いて起動すべきソフトウェアを選択およびアクティブ化する。これに基づいてアクティブ化されるソフトウェアもまた、ブートマネージャもしくはブートローダの機能を有し得るかまたは本来の機器機能の意味において機能を果たし得る。ブートマネージャはしばしば非常に小さくて単純なソフトウェアユニットであり、このソフトウェアユニットも高速に実行されるべきである。
ソフトウェアを備えた機器のためのセキュアブートを実現するには、機器のブートが安全な基点から起動されなければならず、かつ上述のように、さらなるソフトウェアのアクティブ化の前に、暗号手段を用いて先ずはチェックされることが望ましい。起動すべきソフトウェアの暗号を用いたチェックは、起動すべきソフトウェアについての必要な情報(例えば占められたアドレス領域、および自由に使えるリファレンスチェックデータについての情報、これに関しブートマネージャは、ハードウェアセキュリティモジュールのサービス(これについてはさらに下を参照)も使用し得る)が自由に使える場合、ブートマネージャが自発的に実施し得る。
例えば、改ざんから保護されたデジタルルート証明書および/または有効ルート証明書、公開鍵、秘密鍵、その他の機密データを、安全に保存、処理、および送信し得るように、セキュリティマテリアルを安全に、つまりまったくまたは非常に困難にしか改ざんまたは攻撃できないように保存することに関し、例えばKlaus Schmeh著、Kryptographie(Verfahren,Protokolle,Infrastrukturen)(暗号学(方法、プロトコル、インフラストラクチャー))、dpunkt出版、第6版、2016年4月から、いわゆるハードウェアセキュリティモジュール(HSM)が知られている。
幾つかの現在のマイクロコントローラファミリでは、いわゆるハードウェアセキュリティモジュールが使用されており、このハードウェアセキュリティモジュールは、専用プロセッサを備え、実行可能なプログラムコード(プログラムフラッシュ内に保存されている)、不揮発性データ(例えばデータフラッシュ内に保存されている)、コードおよび揮発性データ(例えばRAM)のための専用の排他的なメモリ領域を備え、暗号化アルゴリズムのためのハードウェアアクセラレータなどを備えた、オンチップユニットとして実現されている。ハードウェアセキュリティモジュールは、マスタプロセッサに対するオンチップコプロセッサとして形成されている。普通はより大きなマスタプロセッサおよびそのオンチップ環境は、以下に「ホスト」と呼ばれる。したがってホストは、同じチップ上により小さなハードウェアセキュリティモジュールも収容している。
1つのハードウェアセキュリティモジュールによって実現されている、または1つのハードウェアセキュリティモジュールをベースとして実現されているセキュアブート機能が知られている。この場合、使用前に習熟フェーズにおいて、例えば、保護すべきソフトウェアについてハードウェアセキュリティモジュール内で暗号学的ハッシュが計算され、かつハードウェアセキュリティモジュール内で安全に保存される。
セキュアブートフェーズ中に、ソフトウェアのチェックのためにハッシュが使用される。
ハードウェアセキュリティモジュール自体のセキュアブートのための出発点として、コプロセッサハードウェアセキュリティモジュール内のソフトウェアとしての、ハードウェアセキュリティモジュールソフトウェアの一部が、いわゆる「安全なアンカーソフトウェア」として規定されている。セキュアブートの際は、パワーオン後に、ハードウェアセキュリティモジュールのこのアンカーソフトウェアが起動し、その後、さらなるハードウェアセキュリティモジュールソフトウェアが相応のセキュアブートチェックによって、その後、ハードウェアセキュリティモジュールの外のさらなるソフトウェアがセキュアブートチェックまたはオーセンティックブートチェックによってアクティブ化する。
ハードウェアセキュリティモジュール自体のセキュアブートのための出発点として、コプロセッサハードウェアセキュリティモジュール内のソフトウェアとしての、ハードウェアセキュリティモジュールソフトウェアの一部が、いわゆる「安全なアンカーソフトウェア」として規定されている。セキュアブートの際は、パワーオン後に、ハードウェアセキュリティモジュールのこのアンカーソフトウェアが起動し、その後、さらなるハードウェアセキュリティモジュールソフトウェアが相応のセキュアブートチェックによって、その後、ハードウェアセキュリティモジュールの外のさらなるソフトウェアがセキュアブートチェックまたはオーセンティックブートチェックによってアクティブ化する。
最初にハードウェアセキュリティモジュール自体が、その後、ホストブートマネージャがチェックされるセキュアブートプロセスは、この逐次的な手順に基づき、両方のプロセッサの並行ブートより長くかかる。
ホストブートマネージャをパワーオン後すぐに起動することが提案される。これにより結果的に、システムの可用性までに、貴重な時間、例えば数ミリ秒~数十ミリ秒が獲得され得る。ホストブートマネージャを、ホスト上での、セキュアブートプロセスまたはオーセンティックブートプロセスのための信頼に値する基点(英語:Root-of-Trust(ルートオブトラスト))として実現し、それにもかかわらず再プログラミングに関して柔軟であり続けさせるために、ホストブートマネージャのプログラムコードのための、ハードウェアパスワードによるハードウェアメモリ保護の使用が提案される。この場合、ホストブートマネージャが、そのためにハードウェアセキュリティモジュールの「許可」を必要とせずにブートし得る。このようにして結果的に、ホストブートマネージャおよびハードウェアセキュリティモジュールを並行ブートすることができ、これが結果的に、ブートプロセスにおける貴重な時間獲得をもたらし得る。
これにより、確かにチップハードウェアの、ホストブートマネージャに対するハードウェア保護を解除するためのハードウェアパスワードは分かっている(およびチップハードウェア内で、ハードウェア保護を解除するための受信データに対する比較値として保存されている)が、しかしながらチップ上のソフトウェアのそれは、つまりホスト上のソフトウェアのそれもハードウェアセキュリティモジュール上のソフトウェアのそれも分かっていない。ホストブートマネージャのハードウェアの必要なまたは意図した再プログラミングは、必要の際に(例えば工場、ITトラストセンターなどにおいて)、ハードウェアパスワードの提供によって可能にされる。これにより結果的に、ハードウェアセキュリティモジュールによるセキュアブートなしでのホストの高速ブートが促進されており、この場合、ホストソフトウェアの安全なブートまたはアクティブ化のための安全なルートオブトラストが提供される。
ハードウェアパスワードは、機器メーカにより、例えばそれぞれ機器ごとに個別に与えることができ、このハードウェアパスワードは、機器製造中にチップのハードウェア内にしまい込まれてアクティブ化され、かつこの新たに製造された機器の外の、保護されたITインフラストラクチャー(例えばITトラストセンター)内で、機器識別データと一緒に保存され得る。
再プログラミングプロセスの前に、ホストブートマネージャに対するハードウェア保護を非アクティブ化するため、先ずはハードウェアパスワードがホストブートマネージャのハードウェアに伝えられなければならない。ハードウェアパスワードは、機器の外に配置された再プログラミング機構が、安全なITインフラストラクチャーに対して真正性を証明することによってようやく、このITインフラストラクチャーから取得し、これは、例えば機器製造工場内で行われ得る。
したがって、(この場合にはホストブートマネージャのための)新機能を導入するためにもう一度再プログラミングされなければならない製造中の機器、(半分完成しているかもしくは既に完成して出荷待ちの)在庫中の機器、または分析のために再プログラミングされる返品機器、または品質チェックのために抽出された機器の、意図した、かつ許可された再プログラミングに対しては、立ち塞がるものは何もない。
現場でのホストブートマネージャの再プログラミングを可能にするため、相手先ブランド製造企業(英語:Original Equipment Manufacturer、OEM)に、制御機器ごとに個別のパスワードが知られていなければならず、かつ相手先ブランド製造企業はこのパスワードをホストブートマネージャの再プログラミングの際に使用しなければならない。このために、一連の保護されたM2M(英語:Machine-to-Machine)インターフェイスのハードウェアパスワードを、機器メーカのトラストセンターからOEMのトラストセンターに届けることが望ましく、その後、OEMのトラストセンターがこのハードウェアパスワードを、再プログラミングの際に、また制御機器ごとに個別に、作業場の試験者に伝えることが有意義である。
図1は、提案される方法および提案している電子装置100の作用方式によるシステム原理図を示す。
例えばマイクロコントローラの形態でのハードウェアユニット3を備えた電子装置100が認識される。電子装置100はさらに、ハードウェアセキュリティモジュールの形態での第1のアクティブ化機構10およびホストブートマネージャの形態での第2のアクティブ化機構20を含む。第1のアクティブ化機構10は、例えば、一般的に第1のアクティブ化機構10のマイクロコントローラ実装の範疇で既に存在しているハードウェア保護機構11により、改ざんに対して保護されている。これに加え、さらなるコンピュータプログラム製品30a...30cが認識され、これらは、第2のアクティブ化機構20によってアクティブ化され、かつアクティブ化が行われることによりハードウェアユニット3上で動作する。
例えばマイクロコントローラの形態でのハードウェアユニット3を備えた電子装置100が認識される。電子装置100はさらに、ハードウェアセキュリティモジュールの形態での第1のアクティブ化機構10およびホストブートマネージャの形態での第2のアクティブ化機構20を含む。第1のアクティブ化機構10は、例えば、一般的に第1のアクティブ化機構10のマイクロコントローラ実装の範疇で既に存在しているハードウェア保護機構11により、改ざんに対して保護されている。これに加え、さらなるコンピュータプログラム製品30a...30cが認識され、これらは、第2のアクティブ化機構20によってアクティブ化され、かつアクティブ化が行われることによりハードウェアユニット3上で動作する。
ステップ1aでは、第1のアクティブ化機構10のブートまたはアクティブ化が、そのブート領域によって実施される。第1のアクティブ化機構10のブート領域(不図示)は、ハードウェア保護機構11により改ざんに対して保護されている。よって結果的に、第1のアクティブ化機構10のブートは、ルートオブトラストの意味において安全である。
ステップ1aでの第1のアクティブ化機構10のアクティブ化と時間的に規定通りに重なり合って、好ましくは同時に、ステップ1bで第2のアクティブ化機構20のブートが行われ、第2のアクティブ化機構20のハードウェア(例えばフラッシュメモリ)は、ハードウェア保護機構21によって保護されており、したがって第2のアクティブ化機構20のハードウェアの再プログラミングは、ハードウェア保護機構21なしでは不可能である。ハードウェア保護機構21の保護機能を非アクティブ化するために、ハードウェアパスワードが必要であることが好ましい。その代わりに、第2のアクティブ化機構20の改ざん防止は、第2のアクティブ化機構20のハードウェアのワンタイムプログラミングによって提供されていてもよく、ただし後者の場合には第2のアクティブ化機構20の再プログラミング可能性は排除されている。
第1のアクティブ化機構10は、さらなるコンピュータプログラム製品(不図示)をアクティブ化することを企図されている。このさらなるコンピュータプログラム製品は、第1のアクティブ化機構10の一部でもあり得る。第2のアクティブ化機構20は、さらなるコンピュータプログラム製品30a...30cをアクティブ化することを企図されている。これにより結果的に、両方のアクティブ化機構10、20により、規定通りの改ざん防止されたアクティブ化チェーンが促進されており、両方のアクティブ化機構10、20はそれぞれ、信用に値するルートオブトラストを有し、これにより、意図せず改ざんされたコンピュータプログラム製品11、30a...30cのアクティブ化はほぼ阻止されている。
アクティブ化機構10、20の並行ブートの過程で、第2のアクティブ化機構20から第1のアクティブ化機構10への問合せに基づき、第2のアクティブ化機構20による、第1のアクティブ化機構10のチェック機能または検証サービスの利用2が行われる。これにより、第1のアクティブ化機構10によって、さらなるコンピュータプログラム製品30a、30b、30cの完全性についてのチェックがその使用前に実施され、それに基づいて第2のアクティブ化機構20により、さらなるコンピュータプログラム製品の1つ30a、30b、30cがアクティブ化またはブートされる。この場合、コンピュータプログラム製品30aまたはコンピュータプログラム製品30bまたはコンピュータプログラム製品30cのアクティブ化またはブートが行われる。
すべての上記のブートプロセスは、それ自体で知られているセキュアブートプロセスもしくはそれ自体で知られているオーセンティックブートプロセスによってか、または挙げたプロセスの混合形態によって実施され得る。このチェックの過程で、さらなるコンピュータプログラム製品の1つ30a、30b、30cが意図せず改ざんされていることが突き止められると、第2のアクティブ化機構20による、意図せず改ざんされたコンピュータプログラム製品30a、30b、30cのアクティブ化は実施されない。
したがって結果的に、このようにして(例えば自動車の電子制御機器の形態での)電子装置100の高速かつ安全な起動またはブートが可能である。例えば、電子制御機器は自動車のレーダ制御機器であり得る。
両方のアクティブ化機構10、20の改ざん防止に基づき、実地作業での電子装置100の積極的な意図しない改ざんに対する効率的な保護も提供されることが有利である。
上では、提案している方法は2つのアクティブ化機構10、20と共に開示されているが、提案される方法が2つより多くのアクティブ化機構によって実施されてもよいことは自明である。
上では、提案している方法は2つのアクティブ化機構10、20と共に開示されているが、提案される方法が2つより多くのアクティブ化機構によって実施されてもよいことは自明である。
図2は、電子装置100をブートするための提案している方法のフロー原理図を示す。
ステップ200では、第1の、改ざんに対して保護された第1のアクティブ化機構10のブートを行う。
ステップ200では、第1の、改ざんに対して保護された第1のアクティブ化機構10のブートを行う。
ステップ210では、電子装置100のコンピュータプログラム製品30a...30cをアクティブ化するために適応されており、改ざんに対して保護された少なくとも1つのさらなるアクティブ化機構20の、時間的に規定通りに重なり合ったブートが行われる。
したがって両方のプロセスステップ200、210は、時間的に規定通りに重なり合って、好ましくは一斉にまたは同時にまたは並行して実行される。
提案される方法が、電子装置100のための適切なプログラムコード手段を有するソフトウェアプログラムの形態で実現され得ることが有利である。このようにして、本方法の簡単な適応性が促進されている。
提案される方法が、電子装置100のための適切なプログラムコード手段を有するソフトウェアプログラムの形態で実現され得ることが有利である。このようにして、本方法の簡単な適応性が促進されている。
電子装置100が、とりわけ自動車分野における電子制御機器のために使用され得ることが有利であり、この電子制御機器は、プログラミング可能なプログラムメモリを備えたマイクロコントローラを有する。
これにより当業者は、本発明の核心から逸脱することなく、本発明の特徴を適切なやり方で変更および/または相互に組み合わせるであろう。
Claims (12)
- 電子装置(100)のブート方法であって、
- 第1の、改ざんに対して保護された第1のアクティブ化機構(10)をブートするステップと、
- 前記電子装置(100)のコンピュータプログラム製品(30a...30c)をアクティブ化するために適応されており、改ざんに対して保護された少なくとも1つのさらなるアクティブ化機構(20)を、時間的に規定通りに重ね合わせてブートするステップと、
を備えた方法。 - 前記第1のアクティブ化機構(10)の前記ブートおよび前記第2のアクティブ化機構(20)の前記ブートが同時に実施される、請求項1に記載の方法。
- 前記第2のアクティブ化機構(20)が、前記さらなるコンピュータプログラム製品(30a...30c)をチェックするため、前記第1のアクティブ化機構(10)のチェック機能を呼び出し、かつ前記第1のアクティブ化機構(10)により、前記コンピュータプログラム製品(30a...30c)をチェックするための前記チェック機能が提供される、請求項2に記載の方法。
- - 改ざんに対して保護された第1のアクティブ化機構(10)と、
- 前記第1のアクティブ化機構(10)に対して時間的に規定通りに重なり合ってブート可能で、電子装置(100)の少なくとも1つのコンピュータプログラム製品(30a...30c)をアクティブ化するために適応されており、改ざんに対して保護された少なくとも1つのさらなるアクティブ化機構(20)と、
を有する電子装置(100)。 - 前記第2のアクティブ化機構(20)の改ざん防止が、ハードウェア保護機構(21)によって提供されることを特徴とする請求項4に記載の電子装置(100)。
- 前記第2のアクティブ化機構(20)の前記改ざん防止が、前記第2のアクティブ化機構(20)のワンタイムプログラミングによって提供されることを特徴とする請求項5に記載の電子装置(100)。
- 前記第1のアクティブ化機構(10)がハードウェアセキュリティモジュールであることを特徴とする請求項4~6のいずれか一項に記載の電子装置(100)。
- 各々の電子装置(100)に対し、前記ハードウェア保護機構(21)のための個別のパスワードが提供されていることを特徴とする請求項4~7のいずれか一項に記載の電子装置(100)。
- 前記ハードウェア保護機構(21)の非アクティブ化のために前記ハードウェアパスワードが必要であることを特徴とする請求項8に記載の電子装置(100)。
- 前記両方のアクティブ化機構(10、20)および前記コンピュータプログラム製品(11、30a...30c)が同じチップ上に配置されていることを特徴とする請求項4~9のいずれか一項に記載の電子装置(100)。
- 自動車分野における電子制御機器の動作のための、請求項4~10のいずれか一項に記載の電子装置(100)の使用。
- 請求項4~11のいずれか一項に記載の電子装置(100)上で動作するか、またはコンピュータ可読のデータ記憶媒体上で保存されている場合の、請求項1~3のいずれか一項に記載の方法を実施するために適応された、プログラムコード手段を備えたコンピュータプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102020211346.7 | 2020-09-10 | ||
| DE102020211346.7A DE102020211346A1 (de) | 2020-09-10 | 2020-09-10 | Verfahren zum Booten einer elektronischen Vorrichtung |
| PCT/EP2021/069581 WO2022053205A1 (de) | 2020-09-10 | 2021-07-14 | Verfahren zum booten einer elektronischen vorrichtung |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023541881A true JP2023541881A (ja) | 2023-10-04 |
| JP7523677B2 JP7523677B2 (ja) | 2024-07-26 |
Family
ID=77042934
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023515736A Active JP7523677B2 (ja) | 2020-09-10 | 2021-07-14 | 電子装置のブート方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20230244789A1 (ja) |
| EP (1) | EP4211583A1 (ja) |
| JP (1) | JP7523677B2 (ja) |
| KR (1) | KR20230066060A (ja) |
| CN (1) | CN116134440A (ja) |
| DE (1) | DE102020211346A1 (ja) |
| WO (1) | WO2022053205A1 (ja) |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1412879B1 (en) * | 2001-06-29 | 2012-05-30 | Secure Systems Limited | Security system and method for computers |
| US20040107358A1 (en) * | 2003-09-26 | 2004-06-03 | Peter Shiakallis | [DataVault X4 Multi-Network Secure Computer] |
| US7711942B2 (en) | 2004-09-23 | 2010-05-04 | Hewlett-Packard Development Company, L.P. | Computer security system and method |
| US20080189539A1 (en) * | 2007-02-02 | 2008-08-07 | Ming-Tso Hsu | Computer system for authenticating requested software application through operating system and method thereof |
| US8560845B2 (en) * | 2011-01-14 | 2013-10-15 | Apple Inc. | System and method for tamper-resistant booting |
| JP2014021953A (ja) | 2012-07-24 | 2014-02-03 | Ricoh Co Ltd | 情報処理装置、画像処理装置、起動制御方法及び起動制御プログラム |
| US9280687B2 (en) * | 2013-03-15 | 2016-03-08 | Lenovo (Singapore) Pte. Ltd. | Pre-boot authentication using a cryptographic processor |
| WO2016073411A2 (en) * | 2014-11-03 | 2016-05-12 | Rubicon Labs, Inc. | System and method for a renewable secure boot |
| KR102291719B1 (ko) * | 2015-03-18 | 2021-08-23 | 삼성전자주식회사 | 애플리케이션 보호 방법 및 장치 |
| JP6217728B2 (ja) * | 2015-10-19 | 2017-10-25 | トヨタ自動車株式会社 | 車両システムおよび認証方法 |
| US9740867B2 (en) * | 2015-11-16 | 2017-08-22 | Dell Products, L.P. | Securely passing user authentication data between a pre-boot authentication environment and an operating system |
| JP6260067B1 (ja) * | 2016-08-09 | 2018-01-17 | Kddi株式会社 | 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム |
| KR101887974B1 (ko) * | 2016-12-01 | 2018-08-13 | 현대오트론 주식회사 | 엔진제어기의 안전부팅을 위한 시스템 및 방법 |
| US10591975B2 (en) * | 2017-10-30 | 2020-03-17 | Qualcomm Incorporated | Memory access management for low-power use cases of a system on chip via secure non-volatile random access memory |
| US11880468B2 (en) * | 2018-01-12 | 2024-01-23 | Unm Rainforest Innovations | Autonomous, self-authenticating and self-contained secure boot-up system and methods |
| US11086997B1 (en) * | 2018-02-26 | 2021-08-10 | United States Of America As Represented By The Secretary Of The Air Force | Active attestation of embedded systems |
| JP7179482B2 (ja) | 2018-04-19 | 2022-11-29 | キヤノン株式会社 | 情報処理装置、制御方法、およびそのプログラム |
| TWI684887B (zh) * | 2018-06-26 | 2020-02-11 | 和碩聯合科技股份有限公司 | 自動驗證方法與系統 |
| JP2020027341A (ja) * | 2018-08-09 | 2020-02-20 | キオクシア株式会社 | ストレージ装置およびデータ改ざん検証方法 |
| US11314868B2 (en) * | 2018-08-31 | 2022-04-26 | Fungible, Inc. | Rapidly establishing a chain of trust in a computing system |
| JP7170482B2 (ja) | 2018-09-20 | 2022-11-14 | キヤノン株式会社 | 情報処理装置及びその制御方法、並びにプログラム |
| US11455397B2 (en) | 2018-11-13 | 2022-09-27 | Microchip Technology Incorporated | Secure boot assist for devices, and related systems, methods and devices |
| JP6971958B2 (ja) * | 2018-12-10 | 2021-11-24 | 株式会社東芝 | 情報処理装置、情報処理方法、および情報処理プログラム |
| US11290437B2 (en) * | 2018-12-27 | 2022-03-29 | Beijing Voyager Technology Co., Ltd. | Trusted platform protection in an autonomous vehicle |
| US11520595B2 (en) * | 2019-07-12 | 2022-12-06 | Schlumberger Technology Corporation | Industrial internet of things gateway boot methods |
| US11100229B2 (en) * | 2019-07-18 | 2021-08-24 | Infineon Technologies Ag | Secure hybrid boot systems and secure boot procedures for hybrid systems |
| US11496518B2 (en) * | 2019-08-02 | 2022-11-08 | Dell Products L.P. | System and method for distributed network access control |
| KR20210097379A (ko) * | 2020-01-30 | 2021-08-09 | 삼성전자주식회사 | 보안 장치, 전자 장치, 보안 부트 관리 시스템, 부트 이미지 생성 방법 및 부트 체인 실행 방법 |
| US11636210B2 (en) * | 2020-07-01 | 2023-04-25 | Meta Platforms Technologies, Llc | Artificial reality system with multi-stage boot process |
| US11770246B2 (en) * | 2020-09-02 | 2023-09-26 | Motorola Solutions, Inc. | Securely transferring key materials between processors in a multi-processor device |
| US20230073884A1 (en) * | 2021-09-09 | 2023-03-09 | GM Global Technology Operations LLC | Method and system to perform a secure boot procedure using a multi-stage security verification in a microcontroller of a vehicle |
-
2020
- 2020-09-10 DE DE102020211346.7A patent/DE102020211346A1/de active Pending
-
2021
- 2021-07-14 CN CN202180062241.7A patent/CN116134440A/zh active Pending
- 2021-07-14 JP JP2023515736A patent/JP7523677B2/ja active Active
- 2021-07-14 US US18/001,555 patent/US20230244789A1/en active Pending
- 2021-07-14 WO PCT/EP2021/069581 patent/WO2022053205A1/de unknown
- 2021-07-14 KR KR1020237011960A patent/KR20230066060A/ko active Search and Examination
- 2021-07-14 EP EP21745732.4A patent/EP4211583A1/de active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| DE102020211346A1 (de) | 2022-03-10 |
| CN116134440A (zh) | 2023-05-16 |
| EP4211583A1 (de) | 2023-07-19 |
| KR20230066060A (ko) | 2023-05-12 |
| US20230244789A1 (en) | 2023-08-03 |
| WO2022053205A1 (de) | 2022-03-17 |
| JP7523677B2 (ja) | 2024-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109840430B (zh) | Plc的安全处理单元及其总线仲裁方法 | |
| EP3522059B1 (en) | Perform security action based on inventory comparison | |
| CN109937419B (zh) | 安全功能强化的设备的初始化方法及设备的固件更新方法 | |
| TWI607376B (zh) | 用於處理改變依照統一可延伸韌體介面計算裝置中之系統安全資料庫及韌體儲存區請求的系統及方法 | |
| US11030347B2 (en) | Protect computing device using hash based on power event | |
| JP5373062B2 (ja) | システム管理コマンドを提供するシステム及び方法 | |
| JP2007293873A (ja) | 電子装置の安全性を保証する方法、セキュリティシステム及び電子装置 | |
| US20170060779A1 (en) | Method and memory module for security-protected write processes and/or read processes on the memory module | |
| TWI745629B (zh) | 電腦系統以及初始化電腦系統的方法 | |
| US11270003B2 (en) | Semiconductor device including secure patchable ROM and patch method thereof | |
| US9262631B2 (en) | Embedded device and control method thereof | |
| WO2020159925A1 (en) | Method for handling data in a secure container | |
| US11514168B2 (en) | Active attestation of embedded systems | |
| CN109814934B (zh) | 数据处理方法、装置、可读介质和系统 | |
| CN113204769A (zh) | 安全设备、电子设备、以及安全启动管理系统 | |
| CN113935011A (zh) | 用于执行控制设备的安全启动序列的方法 | |
| KR20200070450A (ko) | 차량 제어기의 보안 강화 방법 및 장치 | |
| CN113935013A (zh) | 用于对控制设备进行安全更新的方法 | |
| JP7192138B2 (ja) | メモリ装置内に保存されているデータを処理するための方法及び装置 | |
| JP7523677B2 (ja) | 電子装置のブート方法 | |
| JP7508571B2 (ja) | 車両の安全始動方法、安全始動装置、電子制御ユニット及び記憶媒体 | |
| EP3460705B1 (en) | Distributed deployment of unique firmware | |
| CN112861137A (zh) | 安全固件 | |
| CN114091008A (zh) | 用于对控制设备进行安全更新的方法 | |
| US10067770B2 (en) | Platform key hierarchy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230412 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240430 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240430 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240524 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240603 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240627 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240711 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240716 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7523677 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |