TW202326482A - 在一開蓋竄改事件中使一安全啟動失敗的電腦系統 - Google Patents

在一開蓋竄改事件中使一安全啟動失敗的電腦系統 Download PDF

Info

Publication number
TW202326482A
TW202326482A TW111106331A TW111106331A TW202326482A TW 202326482 A TW202326482 A TW 202326482A TW 111106331 A TW111106331 A TW 111106331A TW 111106331 A TW111106331 A TW 111106331A TW 202326482 A TW202326482 A TW 202326482A
Authority
TW
Taiwan
Prior art keywords
computer system
random bytes
secure boot
microcontroller unit
hardware
Prior art date
Application number
TW111106331A
Other languages
English (en)
Other versions
TWI841919B (zh
Inventor
周佳德
林宗毅
永達 陳
吳信儒
廖健宇
黃哲宇
方宗立
吳國偵
陳志宇
Original Assignee
四零四科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 四零四科技股份有限公司 filed Critical 四零四科技股份有限公司
Publication of TW202326482A publication Critical patent/TW202326482A/zh
Application granted granted Critical
Publication of TWI841919B publication Critical patent/TWI841919B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • G06F7/588Random number generators, i.e. based on natural stochastic processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)

Abstract

一種電腦系統,包含有一微控制器單元;一信賴平台模組,用來產生用於該電腦系統的一安全啟動的複數個隨機位元組;一啟動加載器,用來儲存資訊,以及執行該安全啟動,其中該資訊包含有該複數個隨機位元組;一作業系統,用來執行該安全啟動;以及至少一偵測器,用來偵測該電腦系統中的一開蓋竄改事件,以及傳送用來觸發該複數個隨機位元組的一刪除的一訊號。根據一電源供應,該微控制器單元刪除被儲存在該微控制器單元及該至少一硬體中的該複數個隨機位元組,使該安全啟動失敗,以回應被該至少一偵測器傳送的該訊號。

Description

在一開蓋竄改事件中使一安全啟動失敗的電腦系統
本發明相關於一種電腦系統,尤指一種在一開蓋竄改事件(case tampering event)中使一安全啟動(secure boot)失敗的電腦系統。
當包覆一電腦系統的外殼被偵測到竄改(tamper)時,電腦系統的開蓋竄改的機制被應用,以保護電腦系統的資料不被竄改。然而,當電腦系統被斷電時,電腦系統如何在一開蓋竄改事件中使一安全啟動失敗仍然未知。因此,如何在電腦系統斷電時的開蓋竄改事件中使安全啟動失敗為亟待解決的問題。
因此,本發明提供一種在電腦系統的開蓋竄改事件中使安全啟動失敗的方法,以解決上述問題。
本發明揭露一種用在一開蓋竄改事件中使一安全啟動失敗的電腦系統,包含有一微控制器單元(microcontroller unit,MCU);一信賴平台模組(trusted platform module,TPM),若該微控制器單元未包含有複數個隨機位元組(random byte),用來產生用於該電腦系統的一安全啟動的該複數個隨機位元組;一啟動加載器(bootloader),用來在該微控制器單元及該電腦系統的至少一硬體中,儲存資訊,以及執行該安全啟動,其中該資訊包含有該複數個隨機位元組,以及該信賴平台模組被包含在該啟動加載器中;一作業系統(operating system,OS),用來執行該安全啟動;以及至少一偵測器(sensor),耦接到該微控制器單元,用來偵測該電腦系統中的一開蓋竄改事件,以及若在該電腦系統中,該開蓋竄改事件發生,傳送用來觸發該複數個隨機位元組的一刪除(deletion)的一訊號。根據一電源供應(power supply),該微控制器單元刪除被儲存在該微控制器單元及該至少一硬體中的該複數個隨機位元組,使該安全啟動失敗,以回應被該至少一偵測器傳送的該訊號。
本發明另揭露一種在電腦系統的開蓋竄改事件中使安全啟動失敗的方法,包含有執行該電腦系統的一安全啟動;若一微控制器單元不包含有複數個隨機位元組,產生用於該安全啟動的該複數個隨機位元組;在該微控制器單元及該電腦系統的至少一硬體中,儲存資訊,其中該資訊包含有該複數個隨機位元組;在該電腦系統中,偵測一開蓋竄改事件;若在該電腦系統中,該開蓋竄改事件發生,傳送用來觸發該複數個隨機位元組的一刪除的一訊號;以及根據一電源供應,刪除被儲存在該微控制器單元及該至少一硬體中的該複數個隨機位元組,使該安全啟動失敗,以回應被該至少一偵測器傳送的該訊號。
第1圖為本發明實施例一信賴平台模組(trusted platform module,TPM)10的示意圖。信賴平台模組10可為提升一電腦系統的安全(security)的一被動硬體元件(passive hardware element),以及被用來維持電腦系統順利地運作。如第1圖所示,信賴平台模組10包含有一密碼處理器(cryptographic processor)100及一儲存裝置110。密碼處理器100包含有一隨機位元組產生器(random byte generator)102、一密鑰產生器(key generator)104、一雜湊產生器(hash generator)106及一加密-解密-簽章引擎(encryption-decryption-signature engine)108。隨機位元組產生器102可產生用於一安全啟動(secure boot)的隨機位元組(random byte)。隨機位元組可包含有數字、字母或標點符號。密鑰產生器104可產生用於加密(encryption)的公開密鑰(public key)及用於解密(decryption)的私有密鑰(private key)。根據被隨機位元組產生器102產生的隨機位元組,雜湊產生器106可產生雜湊(hash)。加密-解密-簽章引擎108可管理用於簽署(signing)及驗證(verification)的公開密鑰及私有密鑰。儲存裝置110可被用來儲存一背書密鑰(endorsement key,EK)、一儲存根密鑰(storage root key,SRK)、確認識別密鑰(attestation identity keys,AIKs)及儲存密鑰(storage keys)。此外,儲存裝置110包含有平台組態暫存器(platform configuration registers,PCRs)112。平台組態暫存器112儲存被隨機位元組產生器102產生的隨機位元組,以及根據一密碼雜湊函數(cryptographic hash function)及隨機位元組,產生雜湊。即使隨機位元組(即平台組態暫存器112的輸入)相似,根據密碼雜湊函數而產生的雜湊截然不同。
根據不同的雜湊,平台組態暫存器112可初始化信賴平台模組10的不同函數,以及可建立用於信賴平台模組10的一平台組態暫存器方針(PCR policy)。在一啟動流程(boot process)中,信賴平台模組10可在平台組態暫存器112中儲存資訊(例如中央處理單元識別(central processing unit identity,CPU ID)、媒體存取控制位址(media access control address,MAC address))、序列編號(serial number)、產品識別(product ID)、…等資訊)。根據上述資訊,平台組態暫存器112產生雜湊。當雜湊正確(即被平台組態暫存器112產生的雜湊與雜湊產生器106產生的雜湊相同,以及根據雜湊,信賴平台模組10可運作)時,被儲存在平台組態暫存器112中的隨機位元組可被取得。
第2圖為本發明實施例一電腦系統20的示意圖。電腦系統20包含有一啟動加載器(bootloader)200、一作業系統(operating system,OS)210、至少一偵測器(sensor)220及一微控制器單元(microcontroller unit,MCU)230。啟動加載器200也可被稱為一基本輸入/輸出系統(basic input/output system,BIOS)。在電腦系統20的通電階段(power-on stage)中,啟動加載器200執行硬體初始化(hardware initialization)。啟動加載器200包含有一信賴平台模組202。信賴平台模組202可為前述的信賴平台模組10,在此不贅述。作業系統210管理電腦系統20的硬體資源及軟體資源,以及提供用於電腦系統20的服務。作業系統210可為一Windows作業系統(Windows OS)或一Linux作業系統(Linux OS),但不限於此。啟動加載器200及作業系統210可應用非對稱/對稱密鑰(asymmetric/symmetric keys)到電腦系統20。該非對稱/對稱密鑰可用於加密(例如使用公開密鑰)及解密(例如使用私有密鑰)。至少一偵測器220可被設定用來偵測事件(例如開蓋竄改事件(case tampering event)),以及通知電腦系統20的啟動加載器200及/或作業系統210。
微控制器單元230可耦接到至少一偵測器220,以及可配備有一電源供應(power supply)。當在電腦系統20的電源故障(power failure)期間有事件(例如開蓋竄改事件(case tampering event))發生時,該電源供應使至少一偵測器220可偵測事件。即使電腦系統20在被斷電,從至少一偵測器220,微控制器單元230可接收一訊號,以及執行對應的運作。此外,在微控制器單元230中,啟動加載器200可儲存被信賴平台模組202的一隨機位元組產生器產生的隨機位元組。
第3圖為本發明實施例一流程30之流程圖,用於電腦系統20中,用來偵測一開蓋竄改事件。流程30可被編譯成程式代碼,其包含以下步驟:
步驟300:開始。
步驟302:啟動加載器200及作業系統210執行電腦系統20的一安全啟動。
步驟304:若微控制器單元230不包含有複數個隨機位元組,信賴平台模組202產生用於該安全啟動的該複數個隨機位元組。
步驟306:在微控制器單元230及電腦系統20的至少一硬體中,儲存資訊,其中該資訊包含有該複數個隨機位元組。
步驟308:在電腦系統20中,至少一偵測器220偵測一開蓋竄改事件。
步驟310:若在電腦系統20中,該開蓋竄改事件發生,至少一偵測器220傳送用來觸發該複數個隨機位元組的一刪除(deletion)的一訊號。
步驟312:根據一電源供應,微控制器單元230刪除被儲存在微控制器單元230及該至少一硬體中的該複數個隨機位元組,使該安全啟動失敗,以回應被至少一偵測器220傳送的該訊號。
步驟314:結束。
根據流程30,當安全啟動被執行時,微控制器單元230是否包含有複數個隨機位元組被(例如啟動加載器200)檢查。若微控制器單元230不包含有複數個隨機位元組,信賴平台模組202產生複數個隨機位元組。在微控制器單元230及至少一硬體中,啟動加載器200儲存包含有複數個隨機位元組的資訊。至少一偵測器220偵測電腦系統20中的開蓋竄改事件。若開蓋竄改事件在電腦系統20中發生,至少一偵測器220傳送用來觸發刪除複數個隨機位元組的訊號。在電腦系統20斷電(或者電腦系統20遭遇電源故障)的情形下,啟動加載器200及作業系統210無法如常執行運作。因此,根據(例如藉由使用)電源供應,微控制器單元230可刪除被儲存在微控制器單元230及至少一硬體中的複數個隨機位元組,以回應被至少一偵測器220傳送的訊號。換言之,若開蓋竄改事件發生以及電腦系統20被斷電,配備有電源供應的微控制器單元230可取代啟動加載器200及作業系統210。為了電腦系統20的安全,被儲存在微控制器單元230及至少一硬體中的複數個隨機位元組被微控制器單元230刪除。
需注意的是,被信賴平台模組202產生的複數個隨機位元組不被電腦系統20的外部使用者知道(例如獲得)。除此之外,即使是電腦系統20的內部開發者也不會知道(例如獲得)複數個隨機位元組。換言之,複數個隨機位元組不會被電腦系統20的外部使用者獲得,也不會被電腦系統20的內部開發者獲得。此機制可防止電腦系統20被竄改。此外,當開蓋竄改事件發生時,微控制器單元230可僅刪除被儲存在微控制器單元230及至少一硬體中的複數個隨機位元組。複數個隨機位元組以外的資訊未被涉及,以及可被保留。
在一實施例中,根據被儲存在微控制器單元230及至少一硬體中的資訊,啟動加載器200及作業系統210執行安全啟動。也就是說,若在執行安全啟動期間,開蓋竄改事件未發生,電腦系統20如一般安全啟動完成該安全啟動。
在一實施例中,若在電腦系統20中,開蓋竄改事件未發生,微控制器單元230打亂(scramble)被儲存在至少一硬體中的複數個隨機位元組。也就是說,若在電腦系統20中,開蓋竄改事件未發生,安全啟動被完成,以及被儲存在至少一硬體中的複數個隨機位元組被微控制器單元230打亂,以防止作業系統210取得複數個隨機位元組。
在一實施例中,電腦系統20的至少一硬體包含有一平台組態暫存器。平台組態暫存器被包含在信賴平台模組202中。根據複數個隨機位元組,平台組態暫存器產生第一複數個雜湊。在一實施例中,若第一複數個雜湊正確,電腦系統20的安全啟動被完成。也就是說,若複數個隨機位元組未被刪除(即開蓋竄改事件未發生),表示第一複數個雜湊為正確的(即信賴平台模組202可根據第一複數個雜湊來運作)。因此,信賴平台模組202可運作,使得安全啟動可被完成。需注意的是,在安全啟動被完成之後,作業系統210可提供服務予電腦系統20的一使用者。在一實施例中,若第一複數個雜湊不正確,電腦系統20的安全啟動失敗。也就是說,若複數個隨機位元組被刪除(例如已被竄改),表示第一複數個雜湊為不正確的(即信賴平台模組202無法根據第一複數個雜湊來運作)。因此,信賴平台模組202無法運作,以及電腦系統20無法運作到作業系統210,導致安全啟動失敗。
在一實施例中,在使安全啟動失敗後,根據電腦系統20的一密碼(password)及第一複數個雜湊,啟動加載器200獲得用於安全啟動的複數個隨機位元組。在微控制器單元230及至少一硬體中,啟動加載器200儲存複數個隨機位元組,以及根據複數個隨機位元組,恢復安全啟動。也就是說,為了恢復因開蓋竄改事件而失敗的安全啟動,若被平台組態暫存器產生的第一複數個雜湊正確,從信賴平台模組202,複數個隨機位元組可被獲得。電腦系統20辨識該密碼(例如一基本輸入/輸出系統密碼(BIOS password))是從啟動加載器200被傳送到被包含在信賴平台模組202中的平台組態暫存器,以及允許啟動加載器200從信賴平台模組202獲得用於安全啟動的複數個位元組。若電腦系統20辨識該密碼不是從啟動加載器200被傳送(例如從作業系統210被傳送),或者若該密碼對平台組態暫存器不正確,電腦系統20不允許複數個隨機位元組被取得,以及安全啟動不會被恢復。
在一實施例中,根據複數個隨機位元組及第二複數個雜湊,微控制器單元230與(電腦系統20的)啟動加載器200通訊。也就是說,當電腦系統20執行安全啟動時,作業系統210未被允許獲得複數個隨機位元組。為了防止作業系統210藉由暴力破解(brute-force attack)取得複數個隨機位元組,當與啟動加載器200建立通訊協定(communication protocol)時,微控制器單元230可使用(例如部分的)複數個隨機位元組及第二複數個雜湊。換言之,根據第二複數個雜湊的一存在(existence),微控制器單元230可分辨啟動加載器200及作業系統210。在一實施例中,第二複數個雜湊可與第一複數個雜湊相同,以及可包含有複數個SHA-1數值。複數個SHA-1數值可被包含在信賴平台模組202中的平台組態站存器產生,或者可被一軟體產生。複數個SHA-1數值可為用於啟動加載器200及微控制器單元230互相通訊的資訊。在一實施例中,僅藉由將一隨機位元組分為兩半,複數個SHA-1數值可被產生,以及根據複數個SHA-1數值的每個SHA-1數值,啟動加載器200及微控制器單元230互相確認對方身分。
第4圖為本發明實施例電腦系統20的安全模式(secure mode)及非安全模式(non-secure mode)的示意圖。在一實施例中,啟動加載器200傳送指令及雜湊(例如第二複數個雜湊)到微控制器單元230。由於雜湊(例如第二複數個雜湊)的存在,微控制器單元230可辨識該指令是從啟動加載器200被傳送。電腦系統20進入一安全模式,以及所有來自啟動加載器200的指令(例如包含有取得複數個隨機位元組)為可用的。在一實施例中,作業系統210傳送指令到微控制器單元230。由於缺少雜湊,微控制起單元230可辨識該指令是從作業系統210被傳送。電腦系統20進入一非安全模式,以及僅有來自作業系統210的特定指令(例如不包含有取得複數個隨機位元組)為可用的。
本領域具通常知識者當可依本創作的精神加以結合、修飾或變化以上所述的實施例,而不限於此。前述的陳述、步驟及/或流程(包含建議步驟)可透過模組實現,模組可為硬體、軟體、韌體(為硬體裝置與電腦指令與資料的結合,且電腦指令與資料屬於硬體裝置上的唯讀軟體)、電子系統、或上述裝置的組合。該裝置的一實例可為電腦系統20。
硬體可為類比電路、數位電路及/或混合式電路。例如,硬體可為特定應用積體電路、現場可程式邏輯閘陣列(Field Programmable Gate Array,FPGA)、可程式化邏輯元件(programmable logic device)、耦接的硬體元件,或上述硬體的組合。在其他實施例中,硬體可為通用處理器(general-purpose processor)、微處理器、控制器、數位訊號處理器(digital signal processor,DSP),或上述硬體的組合。
軟體可為程式代碼的組合、指令的組合及/或函數(功能)的組合,其儲存於一儲存單元中,例如一電腦可讀取介質(computer-readable medium)。舉例來說,電腦可讀取介質可為用戶識別模組、唯讀式記憶體、快閃記憶體、隨機存取記憶體、光碟唯讀記憶體(CD-ROM/DVD-ROM/BD-ROM)、磁帶、硬碟、光學資料儲存裝置、非揮發性儲存單元(non-volatile storage unit),或上述元件的組合。電腦可讀取介質(如儲存單元)可以內建地方式耦接於至少一處理器(如與電腦可讀取介質整合的處理器)或以外接地方式耦接於至少一處理器(如與電腦可讀取介質獨立的處理器)。上述至少一處理器可包含有一或多個模組,以執行電腦可讀取介質所儲存的軟體。程式代碼的組合、指令的組合及/或函數(功能)的組合可使至少一處理器、一或多個模組、硬體及/或電子系統執行相關的步驟。
電子系統可為系統單晶片(system on chip,SoC)、系統級封裝(system in package,SiP)、嵌入式電腦(computer on module,CoM)、電腦可程式產品、裝置、行動電話、筆記型電腦、平板電腦、電子書、可攜式電腦系統,以及電腦系統20。
綜上所述,本發明提供用在一開蓋竄改事件中使一安全啟動失敗的電腦系統。當在電腦系統的電源故障期間,開蓋竄改事件發生時,根據電源供應,微控制器單元刪除被儲存在微控制器單元及硬體中的隨機位元組。因此,本領域的問題可被解決。 以上所述僅為本發明之較佳實施例,凡依本發明申請專利範圍所做之均等變化與修飾,皆應屬本發明之涵蓋範圍。
10,202:信賴平台模組 100:密碼處理器 102:隨機位元組產生器 104:密鑰產生器 106:雜湊產生器 108:加密-解密-簽章引擎 110:儲存裝置 112:平台組態暫存器 20:電腦系統 200:啟動加載器 210:作業系統 220:至少一偵測器 230:微控制器單元 30:流程 300,302,304,306,308,310,312,314:步驟
第1圖為本發明實施例一信賴平台模組的示意圖。 第2圖為本發明實施例一電腦系統的示意圖。 第3圖為本發明實施例一流程的流程圖。 第4圖為本發明實施例一電腦系統的一安全模式及一非安全模式的示意圖。
30:流程
300,302,304,306,308,310,312,314:步驟

Claims (18)

  1. 一種電腦系統,用在一開蓋竄改事件(case tampering event)中使一安全啟動(secure boot)失敗,包含有: 一微控制器單元(microcontroller unit,MCU); 一信賴平台模組(trusted platform module,TPM),若該微控制器單元未包含有複數個隨機位元組(random byte),用來產生用於該電腦系統的一安全啟動的該複數個隨機位元組; 一啟動加載器(bootloader),用來在該微控制器單元及該電腦系統的至少一硬體中,儲存資訊,以及執行該安全啟動,其中該資訊包含有該複數個隨機位元組,以及該信賴平台模組被包含在該啟動加載器中; 一作業系統(operating system,OS),用來執行該安全啟動;以及 至少一偵測器(sensor),耦接到該微控制器單元,用來偵測該電腦系統中的一開蓋竄改事件,以及若在該電腦系統中,該開蓋竄改事件發生,傳送用來觸發該複數個隨機位元組的一刪除(deletion)的一訊號; 其中該微控制器單元執行以下運作: 根據一電源供應(power supply),刪除被儲存在該微控制器單元及該至少一硬體中的該複數個隨機位元組,使該安全啟動失敗,以回應被該至少一偵測器傳送的該訊號。
  2. 如請求項1所述的電腦系統,其中根據被儲存在該微控制器單元及該至少一硬體中的該資訊,該啟動加載器及該作業系統執行該安全啟動。
  3. 如請求項1所述的電腦系統,其中該微控制器單元另執行以下運作: 若在該電腦系統中,該開蓋竄改事件未發生,打亂(scramble)被儲存在該至少一硬體中的該複數個隨機位元組。
  4. 如請求項1所述的電腦系統,其中該電腦系統的該至少一硬體包含有一平台組態暫存器(platform configuration register,PCR)。
  5. 如請求項4所述的電腦系統,其中根據該複數個隨機位元組,該平台組態暫存器產生第一複數個雜湊(hash)。
  6. 如請求項5所述的電腦系統,其中若該第一複數個雜湊正確,該電腦系統的該安全啟動被完成,以及若該第一複數個雜湊不正確,該電腦系統的該安全啟動失敗。
  7. 如請求項6所述的電腦系統,其中該啟動加載器另執行以下運作: 在該開蓋竄改事件發生後,根據該電腦系統的一密碼(password)及該第一複數個雜湊,獲得用於該安全啟動的該複數個隨機位元組; 在該微控制器單元及該至少一硬體中,儲存該複數個隨機位元組;以及 根據該複數個隨機位元組,恢復該安全啟動。
  8. 如請求項5所述的電腦系統,其中根據該複數個隨機位元組及第二複數個雜湊,該微控制器單元與該啟動加載器通訊。
  9. 如請求項8所述的電腦系統,其中該第二複數個雜湊包含有至少一SHA-1數值。
  10. 一種在一電腦系統的一開蓋竄改事件(case tampering event)中使一安全啟動(secure boot)失敗的方法,包含有: 執行該電腦系統的一安全啟動; 若一微控制器單元(microcontroller unit,MCU)不包含有複數個隨機位元組(random byte),產生用於該安全啟動的該複數個隨機位元組; 在該微控制器單元及該電腦系統的至少一硬體中,儲存資訊,其中該資訊包含有該複數個隨機位元組; 在該電腦系統中,偵測一開蓋竄改事件; 若在該電腦系統中,該開蓋竄改事件發生,傳送用來觸發該複數個隨機位元組的一刪除(deletion)的一訊號;以及 根據一電源供應(power supply),刪除被儲存在該微控制器單元及該至少一硬體中的該複數個隨機位元組,使該安全啟動失敗,以回應被該至少一偵測器傳送的該訊號。
  11. 如請求項10所述的方法,其中根據被儲存在該微控制器單元及該至少一硬體中的該資訊,該安全啟動被執行。
  12. 如請求項10所述的方法,其中該方法另包含有: 若在該電腦系統中,該開蓋竄改事件未發生,該微控制器單元打亂(scramble)被儲存在該至少一硬體中的該複數個隨機位元組。
  13. 如請求項10所述的方法,其中該電腦系統的該至少一硬體包含有一平台組態暫存器(platform configuration register,PCR)。
  14. 如請求項13所述的方法,其中該方法另包含有: 根據被儲存在該至少一硬體中的該資訊,該平台組態暫存器產生第一複數個雜湊(hash)。
  15. 如請求項14所述的方法,其中若該第一複數個雜湊正確,該電腦系統的該安全啟動被完成,以及若該第一複數個雜湊不正確,該電腦系統的該安全啟動失敗。
  16. 如請求項15所述的方法,其中該方法另包含有: 在該開蓋竄改事件發生後,根據該電腦系統的一密碼(password)及該第一複數個雜湊,獲得用於該安全啟動的該複數個隨機位元組; 在該微控制器單元及該至少一硬體中,儲存該複數個隨機位元組;以及 根據該複數個隨機位元組,恢復該安全啟動。
  17. 如請求項14所述的方法,其中該方法另包含有: 根據該複數個隨機位元組及第二複數個雜湊,與該電腦系統通訊。
  18. 如請求項17所述的方法,其中該第二複數個雜湊包含有至少一SHA-1數值。
TW111106331A 2021-12-30 2022-02-22 在一開蓋竄改事件中使一安全啟動失敗的電腦系統 TWI841919B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/565,458 2021-12-30
US17/565,458 US20230214492A1 (en) 2021-12-30 2021-12-30 Computer System for Failing a Secure Boot in a Case Tampering Event

Publications (2)

Publication Number Publication Date
TW202326482A true TW202326482A (zh) 2023-07-01
TWI841919B TWI841919B (zh) 2024-05-11

Family

ID=79731026

Family Applications (1)

Application Number Title Priority Date Filing Date
TW111106331A TWI841919B (zh) 2021-12-30 2022-02-22 在一開蓋竄改事件中使一安全啟動失敗的電腦系統

Country Status (4)

Country Link
US (1) US20230214492A1 (zh)
EP (1) EP4206966A1 (zh)
CN (1) CN116415248A (zh)
TW (1) TWI841919B (zh)

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030120923A1 (en) * 2001-12-21 2003-06-26 Avaya Technology Corp. Secure data authentication apparatus
US9245113B2 (en) * 2010-10-22 2016-01-26 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Out of band vital product data collection
EP2729870A4 (en) * 2011-07-08 2014-12-17 Openpeak Inc SYSTEM AND METHOD FOR VALIDATING COMPONENTS DURING A STARTING PROCESS
US8782387B2 (en) * 2011-12-31 2014-07-15 International Business Machines Corporation Secure boot of a data breakout appliance with multiple subsystems at the edge of a mobile data network
US9262342B2 (en) * 2012-12-20 2016-02-16 Rambus Inc. Process authenticated memory page encryption
US20150365227A1 (en) * 2014-06-11 2015-12-17 International Business Machines Corporation Shared security utility appliance for secure application and data processing
US10516533B2 (en) * 2016-02-05 2019-12-24 Mohammad Mannan Password triggered trusted encryption key deletion
KR20190029280A (ko) * 2017-09-12 2019-03-20 삼성전자주식회사 트리 구조를 이용하는 무결성 검증 방법 및 장치
EP3750272A4 (en) * 2018-02-06 2021-12-15 Nb Research Llc SYSTEM AND PROCEDURE FOR SECURING A RESOURCE
TWI774902B (zh) * 2018-12-28 2022-08-21 新唐科技股份有限公司 密鑰保護方法及密鑰保護系統

Also Published As

Publication number Publication date
EP4206966A1 (en) 2023-07-05
TWI841919B (zh) 2024-05-11
US20230214492A1 (en) 2023-07-06
CN116415248A (zh) 2023-07-11

Similar Documents

Publication Publication Date Title
US10516533B2 (en) Password triggered trusted encryption key deletion
EP3458999B1 (en) Self-contained cryptographic boot policy validation
US9658969B2 (en) System and method for general purpose encryption of data
US20230195900A1 (en) Rollback Resistant Security
TWI238357B (en) Providing a secure execution mode in a pre-boot environment
CN103718165B (zh) Bios闪存攻击保护和通知
US7421588B2 (en) Apparatus, system, and method for sealing a data repository to a trusted computing platform
US8127146B2 (en) Transparent trust validation of an unknown platform
US8375437B2 (en) Hardware supported virtualized cryptographic service
KR101066727B1 (ko) 컴퓨팅 장치의 보안 부팅
TWI544356B (zh) 用於在隱藏式執行環境中提供完整性驗證與認證之技術的裝置、方法及系統
JP4848458B2 (ja) 永続的セキュリティシステム及び永続的セキュリティ方法
TW201500960A (zh) 在配有適用統一可延伸韌體介面(uefi)之韌體之計算裝置中的安全性變數變化檢測技術
US9147075B1 (en) Apparatus and method for securely logging boot-tampering actions
US20150324612A1 (en) System and method for recovering from an interrupted encryption and decryption operation performed on a volume
US9015454B2 (en) Binding data to computers using cryptographic co-processor and machine-specific and platform-specific keys
KR20120101611A (ko) 물리적으로 분리 가능한 키 저장 장치를 갖는 하드웨어 암호화 저장 장치
US10346179B2 (en) Information processing apparatus, server apparatus, information processing system, control method, and computer program
KR102395258B1 (ko) 부트 메모리 버스의 경로 절체 기능을 이용한 시큐어 부팅 방법 및 이를 이용한 장치
WO2023179745A1 (zh) 可信验证方法及装置
JP4724107B2 (ja) リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ
TWI841919B (zh) 在一開蓋竄改事件中使一安全啟動失敗的電腦系統
TWI844823B (zh) 在一開蓋竄改事件中使一安全啟動失敗的電腦系統和方法
Muramoto et al. Improving Hardware Security on Talos II Architecture Through Boot Image Encryption
CN111357003A (zh) 预操作系统环境中的数据保护