Debacleul PKfail cu neutralizarea securizată a pornirii este mai răspândit decât știa oricine

Mărește (credit: Getty Images)

O defecțiune a lanțului de aprovizionare care compromite protecția Secure Boot pe dispozitivele de calcul din întreaga industrie a producției de dispozitive se extinde la un număr mult mai mare de modele decât cele cunoscute anterior, inclusiv cele utilizate în ATM-uri, terminale de puncte de vânzare și aparate de vot.

Dezastrul a fost rezultatul cheilor platformei de testare non-producție utilizate în sute de modele de dispozitive timp de mai bine de un deceniu. Aceste chei criptografice formează ancora de încredere între dispozitivul hardware și firmware-ul care rulează pe acesta. Cheile de producție de testare – ștampilate cu expresii precum „NU ÎNCREDE” în ​​certificate – nu au fost niciodată destinate să fie utilizate în sistemele de producție. O listă de producători de dispozitive, inclusiv Acer, Dell, Gigabyte, Intel, Supermicro, Aopen, Foremelife, Fujitsu, HP și Lenovo, le-a folosit oricum.

Dispozitive medicale, console de jocuri, bancomate, terminale POS

Cheile de platformă furnizează ancora rădăcină de încredere sub forma unei chei criptografice încorporate în firmware-ul sistemului. Ei stabilesc încrederea între hardware-ul platformei și firmware-ul care rulează pe acesta. Aceasta, la rândul său, oferă baza pentru Secure Boot, un standard industrial pentru aplicarea criptografică a securității în mediul de pre-pornire al unui dispozitiv. Încorporat în UEFI (Unified Extensible Firmware Interface), Secure Boot utilizează criptografia cu cheie publică pentru a bloca încărcarea oricărui cod care nu este semnat cu o semnătură digitală preaprobată.

Citiți 9 paragrafe rămase | Comentarii

Chat Icon
×