研报总结
本文探讨了在开放计算项目(OCP)设备中,固件所有权和控制权的问题。核心观点在于,固件所有权对于设备安全至关重要,需要明确所有权的定义和控制机制。
问题背景与目标
文章指出,固件所有权是设备安全的关键,若设备固件被非授权方控制,则设备安全将受到威胁。因此,需要解决以下问题:
- 如何安全地转移固件所有权?
- 如何在未知下一所有者的情况下转移所有权?
- 如何防止攻击者建立设备所有权?
所有权定义与挑战
文章定义了设备所有权的三个角色:
- 所有者:控制设备上允许运行的固件,拥有设备的知识产权或购买权。
- 管理员:在物理上控制设备。
- 操作员:拥有设备的操作权限。
文章指出,一个设备可能拥有多个所有者,且所有权可能随着设备生命周期发生变化。此外,固件所有权与安全启动、认证更新和上电自检等功能密切相关。
固件初始化问题
文章分析了固件初始化过程中可能存在的攻击方式,包括:
- 硬件克隆:攻击者通过硬件克隆欺骗所有者,使其认为恶意硬件是合法的。
- 软件克隆:攻击者通过软件克隆欺骗所有者,使其认为恶意软件是合法的。
- 虚假凭证:攻击者通过中间人攻击或伪造凭证,获取设备的控制权。
文章提出了两种固件初始化方案:
- 临时传输密钥:使用临时密钥作为所有者,适用于双方可信任的场景。
- 永久密钥:在制造过程中为设备分配永久密钥,适用于设备在出厂前已知至少一个所有者的情况。
所有权维护与转移
文章提出了维护和转移所有权的基本要求:
- 记住并保护所有者的公钥。
- 验证使用所有者私钥签名的固件数字签名。
文章还介绍了所有权转移的两种方式:
- 直接转移:所有者直接将设备所有权转移给新的所有者。
- 间接转移:所有者指定一个继任者,设备所有权逐步转移给继任者。
所有权转移方案
文章详细介绍了直接转移和间接转移的具体流程,包括:
- 直接转移:所有者通过数字签名请求转移设备所有权。
- 间接转移:所有者指定继任者,设备所有权逐步转移给继任者。
方案评估
文章评估了所提出方案的优势:
- 安全性:提高了供应链的安全性,设备能够管理自己的更新过程。
- 可扩展性:方案足够小,适用于适配器等组件,并可作为许多设备的一部分。
- 远程管理:支持远程管理,可记录较长的历史记录。
- 开放性:白皮书使技术和方法公开透明,便于他人了解和使用。
- 效率:存储空间小于6KB,签名验证码可能已经存在,命令处理和状态机高效。
OCP原则
文章强调了OCP的原则,包括:
- 开放性:技术公开透明,便于社区参与。
- 可扩展性:方案适用于多种设备。
- 效率:方案高效且资源占用小。
参与方式
文章最后提供了参与OCP安全项目的途径:
