要素#1: UEFI 2.3.1平台韌體與韌體 和強大的安全性對策
- UEFI 2.3.1是一個架構規格書。
- 但真實的安全優勢是在對策的執行。
- OEM-ACTION對策必須定鎖不確信的程式碼包含所有的傳統16-bit程式碼
- 但使用者經驗是接受的關鍵:
- 我們出廠鎖定的安全系統,但有多少的自由度,我想應該給用戶去重新配置?
- 我的UI設計該如何避免用戶混淆使用“不太安全”的系統?
要素#2: 關鍵性資料的硬體保護
- 硬體保護的關鍵資料庫是不可缺的對於安全的實現。
- OEM-ACTION運作與你的晶片組供應商,和IBV執行關鍵資料的強健保護。
要素#3: 支援來自IBV, IHV與ISV的合作
- OEM-ACTION 系統ROM將需要去涵蓋UEFI驅動程式,對於所有電路板上的裝置(無傳統驅動程式)。
- IHV-ACTION 擴充卡將需要簽證
UEFI驅動程式。
- ISV-ACTION 預開機軟體工具,例如可開機的恢復磁碟,此工具將需要被簽證。
要素#4: 工廠供應
- 需要幾個新的步驟在製造廠流程的結尾處。
- OEM-ACTION供應:
- OS合作夥伴的密鑰
- OEM支援與更新密鑰
- 安裝平台的密鑰去鎖系統。
還有區域支援工具
- 簽證可執行的UEFI(使用UEFI Shell, 非DOS)
- 出廠時預先簽證經由OEM的密鑰。
- 考慮用戶將來會重新初始化更換主機板?
- 能讓企業買家不鎖新系統與重新供應利用你的工具?
要素#5: 安全的韌體更新
OEM-ACTION
- 簽證所有韌體更新影像檔。
- 韌體更新處理必須發生在安全的韌體控制裡(不是在OS)。
- H/W快閃記憶體保護必須拒絕任何寫入的動作,對於未被授權的來源。
總結
- 企業過渡從傳統到UEFI將衝擊所有產業部分在這年。
- UEFI 2.3.1規格書更新添加有效數字的新值,允許改進過的UEFI系統的防護。
- 驅動程式簽證與鑑定變數是密鑰工具,為了建造UEFI安全開機。
- OEMs需要執行UEFI安全開機,如同一個完整的策略的部分在
IHV與ISV的合作會議。
下載新的UEFI 2.3.1規格書從www.uefi.org
- OEMs需要執行UEFI開機與使用UEFI 2.3.1安全特色去讓它們的系統變強健。
- OEMs必須與IBV、IHV,還有ISV合作運行在協調一致的途徑。
沒有留言:
張貼留言