KR101782378B1

KR101782378B1 - 서명된 공개 키를 이용한 시큐어 부트 방법

Info

Publication number: KR101782378B1
Application number: KR1020160145706A
Authority: KR
Inventors: 김경모; 박용관
Original assignee: 시큐리티플랫폼 주식회사
Priority date: 2016-11-03
Filing date: 2016-11-03
Publication date: 2017-09-27
Also published as: WO2018084434A1; US20190278915A1; CN110100245A

Abstract

복수 관리자의 검증을 통한 디바이스의 시큐어 부트 방법은, 제1 부트 이미지 및 제1 관리자의 제1 공개 키를 유지하는 단계, 제1 부트 이미지를 실행하는 단계, 제2 부트 이미지 및 제1 관리자에 의해서 서명된 제2 관리자의 제2 공개 키를 유지하는 단계, 제1 공개 키를 이용하여 제2 공개 키의 무결성을 검증하는 단계, 제2 공개 키의 무결성이 검증되면 검증된 제2 공개 키를 이용하여 제2 부트 이미지의 무결성을 검증하는 단계, 제2 부트 이미지의 무결성이 검증되면 제2 부트 이미지를 실행하는 단계, 제2 관리자에 의해서 서명된 제3 부트 이미지를 유지하는 단계, 제2 공개 키를 이용하여 제3 부트 이미지의 무결성을 검증하는 단계, 및 제3 부트 이미지의 무결성이 검증되면 제3 부트 이미지를 실행하는 단계를 포함한다.

Description

서명된 공개 키를 이용한 시큐어 부트 방법{METHOD FOR SECURE BOOT USING SIGNED PUBLIC KEY}

본 발명은 시스템 부팅에 관한 것으로서, 보다 자세하게는, 다수의 주체에 의해서 관리될 수 있는 시스템 시큐어 부트 방법에 관한 것이다.

전자 디바이스는 점차 복잡해지면서 다양한 정보를 포함하고 있으며, 사물인터넷(Internet of Things) 등의 발전으로 인해 하나의 디바이스는 다른 디바이스 또는 사용자와 커뮤니케이션을 하면서 개인 정보 교환, 원격 조작 등이 보안의 결함으로 작용할 수가 있다.

도 1은 종래의 부팅 방법을 설명하기 위한 도면이다.

도 1을 참조하면, 종래의 시스템 부팅은 일반적으로 제조사에 해당하는 제1 관리자가 자신의 제1 비밀 키(PrK1)로 서명한 펌웨어(FW)를 제공하며, 디바이스에는 제1 비밀 키에 대응하는 제1 공개 키(PuK1)를 저장한다. 따라서, 1차 로더(LD1)가 실행되면서 저장된 제1 공개 키(PuK1)로 펌웨어(FW)의 서명을 검증하며, 펌웨어(FW)가 제1 비밀 키(PrK1)로 서명된 것이 확인되면 펌웨어(FW)를 실행시키는 과정을 거친다.

이러한 경우, 공개 키로 무결성을 검증한다는 점에서 어느 정도 안전한 부팅이 가능하다. 하지만, 위와 같은 종래의 시스템 부팅은 특정의 경우 몇가지 문제점을 가질 수 있다. 구체적으로, 종래의 방법에서는 최초 서명한 비밀 키를 소유한 주체만 서명할 수 있으며, 펌웨어에 대한 제어권을 단일 주체로 제한할 수 있지만, 디바이스에 대한 소유나 관리 권한이 복수 주체에 걸쳐있는 경우 문제가 될 수 있다.

일 예로, 다수의 제조사에 제조를 위탁하는 디바이스 판매자 또는 사업자가 있다고 할 때, 이들 디바이스에서 시큐어 부트를 적용해야 하는 경우, 상기 판매자 또는 사업자는 여러 제조사들에게 자신의 서명용 비밀 키를 나누어 줘야 하는데, 이 경우 보안의 문제가 있다.

또한, 반대로 하나의 제조사로부터 공급되는 디바이스를 복수의 판매자 또는 사업자가 사용한다고 할 때, 역시 시큐어 부트를 적용하기 위해서 공개 키를 하나로 고정해야 하는데, 여러 사업자에게 공급된 디바이스를 하나의 공개 키로 서명이 가능하다면 보안에 문제가 발생하는 것은 물론, 각 사업자마다 다른 비밀 키로 서명을 하게 한다면, 어느 일 사업자용으로 제작한 디바이스를 다른 사업자용으로 변경할 수 없다는 문제점이 있으며, 결국 재고 관리의 비용이 발생할 수 있다는 문제점도 있다.

또한, 시큐어 부트를 적용한 개발킷 또는 디바이스를 개인에게 판매할 경우, 개인이 서명의 주체가 되는데 구매한 개인들에게 동일한 비밀 키를 나누어주면 비밀 키로서의 의미가 퇴색되어 이 역시 문제가 될 수 있다.

본 발명은 다수의 제조사에 제조를 위탁하는 디바이스 판매자 또는 사업자가 있는 경우 또는 하나의 제조사로부터 공급되는 디바이스를 복수의 판매자 또는 사업자가 사용하는 경우에, 특정 비밀 키를 공유할 필요 없이 각자의 비밀 키로 안정된 서명을 생성 및 인증할 수 있는 시큐어 부트 방법을 제공한다.

본 발명은 COTS(Commercial, off-the-shelf)와 같은 디바이스나 기타 개발킷을 개인이 구매하여도, 동일한 비밀 키를 공유할 필요 없이 각자의 비밀 키를 이용하여 안정된 디바이스 부팅을 구현할 수 있는 시큐어 부트 방법을 제공한다.

상술한 본 발명의 목적들을 달성하기 위한 본 발명의 예시적인 일 실시예에 따르면, 복수 관리자의 검증을 통한 디바이스의 시큐어 부트 방법은, 제1 부트 이미지 및 제1 관리자의 제1 공개 키를 유지하는 단계, 제1 부트 이미지를 실행하는 단계, 제2 부트 이미지 및 제1 관리자에 의해서 서명된 제2 관리자의 제2 공개 키를 유지하는 단계, 제1 공개 키를 이용하여 제2 공개 키의 무결성을 검증하는 단계, 제2 공개 키의 무결성이 검증되면 검증된 제2 공개 키를 이용하여 제2 부트 이미지의 무결성을 검증하는 단계, 제2 부트 이미지의 무결성이 검증되면 제2 부트 이미지를 실행하는 단계, 제2 관리자에 의해서 서명된 제3 부트 이미지를 유지하는 단계, 제2 공개 키를 이용하여 제3 부트 이미지의 무결성을 검증하는 단계, 및 제3 부트 이미지의 무결성이 검증되면 제3 부트 이미지를 실행하는 단계를 포함한다.

본 발명에서 부트 이미지라 함은, 1차 로더, 2차 로더, 펌웨어 등을 의미할 수 있으며, 이들 부트 이미지는 특정 비밀 키에 의해서 서명된 상태로 제공될 수 있고, 대칭 키 등을 이용하여 암호화된 상태로 제공될 수가 있다.

또한, 본 발명에서 '유지'라 함은 부트 이미지 또는 보안 키의 실행 또는 사용을 위해 영구적으로 또는 일시적으로 저장하고 있는 상태를 의미하며, 부트 이미지 또는 보안 키를 유지하기 위해서, ROM 등의 저장장치에 저장된 내용을 호출할 수도 있고, 네트워크를 통해서 실시간으로 또는 정기적, 비정기적으로 전송을 받을 수도 있다.

또한, 제1 관리자 및 제2 관리자와 같이 2개 이상의 관리 주체를 대상으로 할 수 있으며, 제1 관리자가 제조사이고 제2 관리자가 사업자 또는 판매자가 될 수도 있지만, 반대로 제1 관리자가 사업자이고 제2 관리자가 제조사인 경우도 가능하다.

본 실시예에서, 제1 관리자의 제1 공개 키는 제2 관리자의 제2 공개 키의 서명을 검증하는 데에 사용되며, 제2 관리자는 제1 관리자에게 자신의 비밀 키를 제공할 필요가 없다. 또한, 제1 관리자 및 제2 관리자의 서명이 각각 유효하고 서로 비밀 키를 공유할 필요가 없기 때문에, 제1 관리자는 제2 관리자의 공개 키를 달리하면서 서명함으로써 자신의 비밀 키를 공개할 필요도 없고 제2 관리자 별로 각자 접근할 수 있다.

제2 관리자의 제2 공개 키는 제1 관리자의 비밀 키에 의해서 서명된 상태로 제공될 수 있으며, 제3 부트 이미지는 제2 관리자의 비밀 키에 의해서 서명된 상태로 제공될 수 있다.

본 실시예에서 제1 관리자의 공개 키는 롬(ROM) 또는 OTP 소자 등에 저장될 수 있다.

본 발명의 시큐어 부트 방법은 최초 부트 로더에서 사용하는 제1 관리자의 공개 키와 제2 부트 이미지 또는 2차 로더에서 사용하는 제2 관리자의 공개 키를 분리하고 있으며, 제2 부트 이미지 등에서 사용하는 공개 키가 제1 관리자로부터 위임 받은 것임을 증명하기 위해 제1 관리자의 비밀 키로 제2 공개 키에 서명을 추가하는 것을 포함하고 있다.

따라서, 제1 관리자는 제2 부트 이미지에 해당하는 제2 관리자의 공개 키를 서명하고, 제2 관리자는 자신 만의 펌웨어를 자신의 비밀 키로 서명하여 디바이스의 안전한 부팅을 관리할 수 있다.

또한, 다수의 제조사에 제조를 위탁하는 디바이스 판매자 또는 사업자가 있는 경우 또는 하나의 제조사로부터 공급되는 디바이스를 복수의 판매자 또는 사업자가 사용하는 경우에도, 제조사, 사업자 및 판매자는 특정 비밀 키를 공유할 필요 없이 각자의 비밀 키로 안정된 서명을 생성 및 인증할 수 있다.

도 1은 종래의 부팅 방법을 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 디바이스의 시큐어 부트 방법을 설명하기 위한 도면이다.

이하 첨부된 도면들을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명하지만, 본 발명이 실시예에 의해 제한되거나 한정되는 것은 아니다. 참고로, 본 설명에서 동일한 번호는 실질적으로 동일한 요소를 지칭하며, 상기 규칙 하에서 다른 도면에 기재된 내용을 인용하여 설명할 수 있고, 당업자에게 자명하다고 판단되거나 반복되는 내용은 생략될 수 있다.

도 2는 본 발명의 일 실시예에 따른 디바이스의 시큐어 부트 방법을 설명하기 위한 도면이다.

도 2를 참조하면, 본 실시예에 따른 시큐어 부트 방법은 전원이 들어 오는 처음부터 적용될 수 있으며, 최초 부트-로더 이후 순차적으로 진행되는 부팅 과정 중 일부일 수도 있다. 상기 시큐어 부트 방법에 따르면, 1차 로더(제1 부트 이미지)(LD1)은 롬 형태의 저장장치에 저장될 수 있으며, 제1 공개 키(PuK1)는 1차 로더(LD1)와 함께 저장될 수가 있다.

1차 로더(LD1)는 부트 롬에 위치할 수 있으며, 1차 로더(LD1)는 실행되어 2차 로더(LD2)를 실행하거나, 후술하는 바와 같이, 제2 공개 키(PuK2)를 검증하는 기능을 할 수 있다. 일반적으로 1차 로더(LD1)는 제조사에 의해서 제공될 수 있으며, 제1 공개 키(PuK1)도 제조사가 갖고 있는 제1 비밀 키에 대응할 수 있다.

1차 로더(LD1)는 제1 공개 키(PuK1)를 이용하여 제2 공개 키(PuK2)의 서명을 검증할 수 있다. 제2 공개 키(PuK2)는 제2 관리자의 제2 비밀 키(PrK2)에 대응되는 것으로서, 제1 관리자의 제1 비밀 키(1st PrK)에 의해서 서명될 수 있다. 1차 로더(LD1)는 제1 공개 키(PuK1)로 제2 공개 키(PuK2)의 무결성을 검증할 수 있다.

제2 공개 키(PuK2)의 무결성이 검증되면, 1차 로더(LD1)는 제2 공개 키(PuK2)를 이용하여 2차 로더(LD2)의 무결성을 검증할 수 있다. 2차 로더(LD2)는 제2 관리자에 의해서 서명될 수 있으며, 제2 관리자의 제2 비밀 키(2nd PrK)에 의해서 서명되었기에 제2 공개 키(PuK2)를 이용하여 검증할 수 있다. 2차 로더(LD2)는 제2 관리자에 의해 프로그램되거나 제공될 수 있다.

2차 로더(LD2)의 무결성이 검증되면, 1차 로더(LD1)는 2차 로더(LD2)를 실행할 수 있다. 2차 로더(LD2)는 일반적인 로더가 해야 하는 기능들을 수행할 수 있다. 예를 들어, 펌웨어나 커널이 동작하기 위한 아주 기본적인 초기화나 펌웨어 업데이트 등의 동작을 수행할 수 있으며, 펌웨어 업데이트와 같은 경우 펌웨어가 정상 동작을 하는 동안에는 펌웨어 자신을 업데이트할 수 없기 때문에 업데이트용 파일을 내부의 임시저장공간에 두고 리부트(REBOOT)을 하면 2차 로더(LD2)가 이 파일로 펌웨어를 업데이트할 수 있다. 그 외에도 일반적으로 주변장치용 인터페이스와 관련하여 다양한 기능으로 설정해서 사용할 수 있다. 예를 들어, 보드에 따라서는 다양한 기능 중 하나만 선택해서 사용하는 경우가 있는데, 이런 경우 필요한 하나만 선택하고 사용하는 등의 설정은 2차 로더(LD2)가 수행할 수 있다.

2차 로더(LD2)는 제2 공개 키(PuK2)를 이용하여 제3 부트 이미지, 본 실시예에서는 제2 관리자에 의해서 서명된 펌웨어의 무결성을 검증할 수 있다. 이에 역시 제2 공개 키(PuK2)가 사용될 수 있으며, 2차 로더(LD2)는 제2 공개 키(PuK2)로 펌웨어(FW)가 제2 관리자에 의해서 제공된 것인지를 확인할 수 있다.

펌웨어(FW)의 무결성이 검증되면, 2차 로더(LD2)는 제3 부트 이미지, 예를 들어 펌웨어를 실행할 수 있다. 본 실시예에서 펌웨어(FW)는 플래쉬 메모리에 저장될 수 있으며, 펌웨어(FW) 자체가 그대로 실행이 가능하거나 복호화를 통해 실행이 가능한 파일로 변환해야 하는 경우도 있다.

본 실시예에서, 제1 관리자의 제1 공개 키(PuK1)는 제2 관리자의 제2 공개 키(PuK2)의 서명을 검증하는 데에 사용될 수 있으며, 제1 관리자 및 제2 관리자는 자신의 상호 비밀 키를 제공할 필요가 없다. 또한, 제1 관리자가 하나이고 제2 관리자가 복수여도, 제1 관리자는 제1 부트 이미지에서 제2 부트 이미지로 넘어가는 과정에서만 서명을 검증하고 이후는 제2 관리자 혹의 제3 관리자의 공개 키로 검증을 하기 때문에, 디바이스의 관리를 복수의 관리자가 충돌 없이 수행할 수 있으며, 제1 관리자가 제2 관리자의 공개 키를 서명하기만 하면 되기 때문에, 디바이스가 다른 사업자나 판매자에게 제공되어도 서명되는 공개 키만 달리하여 디바이스를 다른 사업자 등에 호환시킬 수 있다.

제1 관리자는 제2 관리자가 서명한 2차 로더 및 자신의 비밀 키로 서명한 제2 공개 키를 플래쉬 메모리에 저장하거나 네트워크 등으로 제공하여, 2차 로더에서 사용하는 제2 공개 키(PuK2)가 제1 관리자로부터 위임 받은 것임을 증명할 수 있다. 그 이후로는 제2 관리자는 자신의 비밀 키로 2차 로더(LD2)를 서명하고, 자신 만의 펌웨어도 자신의 비밀 키로 서명하여 디바이스의 안전한 부팅을 관리할 수 있다.

상술한 바와 같이, 본 발명의 바람직한 실시예를 참조하여 설명하였지만 해당 기술분야의 숙련된 당업자라면 하기의 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

LD1：1차 로더 LD2 : 2차 로더
PuK1 : 제1 공개 키 PuK2 : 제2 공개 키
FW : 펌웨어

Claims

복수 관리자의 검증을 통한 디바이스의 시큐어 부트 방법에 있어서,
제1 부트 이미지 및 제1 관리자의 제1 공개 키를 유지하는 단계;
상기 제1 부트 이미지를 실행하는 단계;
제2 부트 이미지 및 상기 제1 관리자에 의해서 서명된 제2 관리자의 제2 공개 키를 유지하는 단계;
상기 제1 공개 키를 이용하여 상기 제2 공개 키의 무결성을 검증하는 단계;
상기 제2 공개 키의 무결성이 검증되면, 검증된 상기 제2 공개 키를 이용하여 상기 제2 부트 이미지의 무결성을 검증하는 단계;
상기 제2 부트 이미지의 무결성이 검증되면, 상기 제2 부트 이미지를 실행하는 단계;
상기 제2 관리자에 의해서 서명된 제3 부트 이미지를 유지하는 단계;
상기 제2 공개 키를 이용하여 상기 제3 부트 이미지의 무결성을 검증하는 단계; 및
상기 제3 부트 이미지의 무결성이 검증되면, 상기 제3 부트 이미지를 실행하는 단계;를 포함하는 디바이스의 시큐어 부트 방법.
제1항에 있어서,
상기 제2 관리자의 제2 공개 키는 상기 제1 관리자의 비밀 키에 의해서 서명된 상태로 제공되며, 상기 제3 부트 이미지는 상기 제2 관리자의 비밀 키에 의해서 서명된 상태로 제공되는 것을 특징으로 하는 디바이스의 시큐어 부트 방법.