Ключей прошивка: Доступ ограничен: проблема с IP

Как прошить ключ Ford

Штатные иммобилайзеры примечательны тем, что о них практически забываешь во время эксплуатации автомобиля. Их главное отличие от дополнительных девайсов по безопасности — возможность записать новый ключ в память в случае утери старого. Если вы часто теряете ключи, и после этого не можете завести автомобиль, можно не спешить обращаться к специалистам, а попытаться решить проблему самостоятельно, тем более, что это несложно даже для начинающего автомобилиста. Восстановить доступ к своему автомобилю реально, если правильно прописать ключ «Форд». Мы готовы рассказать, как это сделать своими руками.

Содержание:

Иммобилайзер «Форд» — принципы работы ключа

Все ключи от автомобиля Ford оснащены встроенной пассивной меткой. В связи с этим ими невозможно открыть дверь машины, не послав запрос с помощью иммобилайзера. При отправке запроса ключ отвечает устройству сигналом со своим ID, и система решает, предоставить доступ для открытия или нет. Новое поколение автомобилей «Форд» уже оснащено не только транспондером, но и контроллером, а ключи уже снабжены прошитыми метками. Принцип работы данной системы такой:

1. Транспондер посылает сигнал запроса ко всем меткам ключей и чипов рядом с автомобилем.
2. Устройство принимает сигнал ID с одного ключа или сразу нескольких.
3. Если номер ключа совпадает с номером, прописанном в транспондере, устройство дает команду охранной системе, и двигатель разблокируется. В ином случае мотор невозможно будет запустить даже при условии идеально подходящего ключа зажигания.

Учитывая, что все запасные ключи изготавливают вместе с главным, то запрограммировать иммобилайзер на работу с новым ключом без ключа мастера нельзя. Все, что можно, — это заново прописать дополнительные и мастер-ключ. При необходимости приобрести жало или чип по отдельности можно обратиться в магазин автозапчастей.

Внимательно изучите электронный ключ в разобранном виде. Вы можете узнать артикул жала и чипируемой части — это может пригодиться при покупке новых деталей.

Этапы прописывания ключа в иммобилайзер Ford

В иммобилайзер автомобиля этой марки можно прописать до 8 различных ключей. Этого хватит даже для тех, кто их часто теряет, при условии, что главный ключ с красной меткой спрятан в надежном месте. В процессе прописывания ключей лучше находиться в салоне автомобиля, сидя в водительском кресле, а двери машины плотно запереть. В ином случае процесс может затянуться из-за помех посторонних сигналов.

1. Для программирования нового ключа с отдельным управлением необходимо вставить ключ для запуска мотора.
2. Далее проверните ключ в замке зажигания 4 раза на 6 секунд до положения 2.
3. Верните ключ к нулевому положению. Вы должны услышать звук зуммера. С этого момента система готова к тому, чтобы прописать другие ключи «Форд».
4. Возьмите новый ключ и проверьте любую кнопку пульта. Если услышите звук — сигнал принят и запись подтвердилась.
5. Те же манипуляции проведите с остальными ключами. При каждой успешной записи должен быть слышен зуммер. Главный ключ из замка зажигания не следует вынимать все это время.
6. Включите зажигание, поверните ключ на вторую позицию. Другие ключи при этом не следует трогать. После этого можно запускать мотор.

Если вы хотите увидеть наглядный и поэтапный пример того, как можно прописать ключи «Форд», посмотрите тематические видео на эту тему.

После окончания данной процедуры новый ключ будет прописан в системе иммобилайзера, а вы сможете снова сесть за руль. Теперь вы сможете использовать его для своего автомобиля.

Прошивка ключей автомобиля в Москве с гарантией

Программирование автомобильных ключей

Программирование автоключей – одна из основных услуг, оказываемых нашей компанией. Мы работаем на всей территории Москвы и Московской области и можем прошить ключ для автомобиля как отечественного, так и импортного производства. 

Почему может понадобиться данная услуга?

Сегодня автоключ – это не только элемент открывания/закрывания транспортного средства и запуска его двигателя, но и одна из составляющих противоугонной системы. Дело в том, что замки зажигания современных машин оснащены специальным устройством – иммобилайзером. Иммобилайзер и непосредственно сам ключ имеют идентично закодированную микросхему. Принцип работы прост: код устройства и чипа совпадают – авто заводится, не совпадают – все системы остаются в заблокированном состоянии.

Потребоваться перепрошить ключ может:

• Из-за сбоя кодировки устройства;
• Для повышения уровня защиты машины;
• Ввиду использования иммобилайзера при слишком низкой температуре, при повышенной влажности или в других неблагоприятных условиях; 
• По причине повреждения контактов; 
  
• Ещё одна частая причина – поломка или утеря брелка.  

Возникновение любой из вышеперечисленных ситуаций делает невозможной дальнейшую эксплуатацию машины. Требуется перепрошивка ключа зажигания. 

Как происходит программирование ключей авто?

Если Вы столкнулись с проблемой, как запрограммировать ключ, обратитесь к нам. Работа занимает от 30 минут до 2-х часов в зависимости от марки, модели и поколения авто. Сотрудничество с нами осуществляется по нескольким схемам: 

1. Клиент сам приезжает к нам на своём авто – наша компания имеет удобное местоположение. Если нет возможности завести машину, сообщите нам об этом по телефону – мы поможем с эвакуацией и доставкой транспортного средства; 
2. Специалист и мобильная мастерская выезжают в любую точку Москвы или МО по адресу, где находится клиент; 
3. Если ни один из вышеуказанных вариантов не подходит, к Вам приедет наш курьер, заберет дубликат ключа и иммобилайзер (также дополнительно могут потребоваться замок водительской двери и замок зажигания рулевой колонки), доставит всё мастеру. По окончании работ оперативно вернёт всё обратно.

Важно понимать, что в каждом конкретном случае требуется индивидуальный подход к решению проблемы. Поэтому первым делом необходимо позвонить нам и подробно описать ситуацию. Оператор call-центра выяснит все необходимые детали и расскажет, какой из вариантов сотрудничества подходит именно Вам, проконсультирует относительно дальнейших действий.

Почему прошивку ключа стоит доверить нашей компании?

При возникновении вышеописанной проблемы есть несколько решений. Первое – обратиться к официальному дилеру. Плюсы – для этого не потребуется образец нарезки лезвия и чипа и иммобилайзер. Дилер подаст заявку заводу-производителю Вашего авто лишь с указанием идентификационного номера транспортного средства (VIN-номера). Однако новый комплект будет у Вас не раньше, чем через 1-2 месяца. Поэтому такое решение вряд ли подойдет тем, кому нужна срочная услуга. 

Второе решение – самостоятельное выполнение записи информации в чип с использованием недорогих аналогов программирующего оборудования. Но следует помнить: такие приборы не всегда способны правильно прописать новый автоключ в систему и обеспечить его корректную работу. Во многих случаях подобные попытки приводят к потере всех данных ИММО и необходимости его дополнительного перепрограммирования. 

Если Вы столкнулись с необходимостью перепрошивки чипа, лучшим решением будет:

1. Если есть возможность завести машину, приехать к нам. Мастер на месте оценит предстоящую работу, в зависимости от марки и модели авто определит, какие именно элементы подлежат перекодировке – автоключ, ИММО, ЭБУ и проч., выполнит все необходимые манипуляции;
2. В ситуации, когда нет возможности завести машину, – заказать выезд мобильной мастерской;
3. В случае, если есть образец брелка и возможность самостоятельно демонтировать ИММО, позвонить в нашу компанию, получить консультацию специалиста и выбрать оказание услуги с курьерской доставкой. 

Обращение к нам имеет ряд преимуществ: 

• Работаем в режиме 24/7 – Вы можете обратиться к нам как днем, так и ночью, как в будни, так и в выходные дни; 
• Программируем как ключи клиента, так и образцы, имеющиеся у нас в наличии; 
• Предоставляем официальную гарантию на все прошитые ключи сроком от 1 года.

Прежде чем прописать ключ в иммобилайзер, цена услуги будет согласована с клиентом. 

Звоните нам по указанному телефону или оставляйте онлайн-заявку, если нужно запрограммировать ключ автомобиля в Москве. 

4.2

5

1

5

5

Прошивка ключей автомобиля

KeyUserInfo и прошивка ключа защиты

Утилита KeyUserInfo.exe служит для получения информации о лицензиях, прошитых на ключе, а также для дистанционного изменения прошивки ключей при обновлении или докупке лицензий.

Дистанционное программирование ключей позволяет изменять состав лицензий не прерывая работы с программой, поскольку на всех этапах обновления ключ остается работоспособным.

Утилита находится в программном каталоге \LIRA SAPR 201х\Bin и на дистрибутивном диске в каталоге Guardant\Key. Также, утилита доступна из программы-оболочки дистрибутивного диска в разделе «Драйверы и утилиты для работы с ключами Guardant».

Если ключ защиты не подсоединен к вашему компьютеру или не установлен драйвер, то окно утилиты будет пустым. Если подключено более 1 ключа, то в окне утилиты будет написано «Много ключей»

Утилита не работает по сети. Нельзя просмотреть информацию о прошивке или прошить ключ, находящийся на другой машине в локальной сети

Просмотр информации о ключе

Для просмотра информации о ключе, запустите утилиту KeyUserInfo на машине, к которой подключен ключ. В окне утилиты отобразится следующая информация:

• серийный номер ключа
• модель ключа (локальный или сетевой)
• ID ключа в десятичном и hex формате
• статус ключа (рабочий или ожидает обновление)
• дата последней прошивки
• срок действия если прошивка временная
• Собственно лицензии программ

Если на ключе прошито несколько версий одновременно (например ЛИРА-САПР 2016 и 2017), то записи о лицензиях отображаются в порядке возрастания версии (новые — ниже). Чтобы увидеть всю информацию используйте скролл.

Окно утилиты KeyUserInfo

Дистанционное программирование ключа

Обновление прошивки ключа происходит в 2 этапа:

1. Подготовка файла запроса обновления;
2. Получения файла прошивки и собственно прошивка ключа.

Подготовка ключа защиты к обновлению

Это действие выполняется только по специальному указанию наших представителей или нашей компании. Не выполняйте запрос обновления без необходимости.

Для подготовки ключа защиты к удаленному обновлению памяти, в окне утилиты KeyUserInfo включите радиокнопку «Запрос обновления», и нажмите кнопку «Сохранить»

Запрос обновления

В появившемся окне «Запись файла запроса обновления» выберите каталог, в который вы хотите сохранить файл запроса обновления, и нажмите «Сохранить».

Окно «Запись файла запроса обновления»

Будет сохранен файл запроса с именем Question_номер_ID ключа_время_дата.hit. Отправьте сохраненный файл со своими контактными данными нам или нашим представителям.

Имя файла содержит информацию о запросе. Не изменяйте имя и расширение файла запроса.

Внимание: Запрос обновления следует выполнить только один раз. Если выполнить запрос повторно, то состояние ключа изменится и прошивка, сгенерированная на основе первого запроса не подойдет

После выполнения подготовки ключа защиты к обновлению в окне мастера утилиты KeyUserInfo автоматически выбирается строка «Обновление»

Обновление данных ключа защиты

Конфигурация ключа защиты обновляется с помощью файла обновления конфигурации. Этот файл вы получите по электронной почте от нас или наших представителей в ответ на файл запроса. Файл обновления имеет имя Update_номер_ID ключа_время_дата.hit. Если файл прошивки пришел в виде архива, разархивируйте его.

Обновление ключа защиты следует выполнять на том же компьютере, на котором был сделан запрос обновления этого ключа

Вставьте ключ защиты в порт и запустите утилиту KeyUserInfo.exe. В окне утилиты будет указан статус ключа «Рабочий (ожидает обновление)» и будет выбрана строка «Обновление»

Окно утилиты KeyUserInfo. Ключ ожидает обновление

Нажмите на кнопку с изображением папки. В появившемся окне «Выбор файла обновления» выберите файл обновления ключа и нажмите на кнопку «Открыть».

Окно диалога «Выбор файла обновления»

В окне утилиты KeyUserInfo нажмите на кнопку «Применить». При успешном обновлении ключа утилита выдаст сообщение «Обновление ключа выполнено успешно», статус ключа сменится на «Рабочий», а в окне информации о ключе отобразится новая конфигурация ключа.

Обновление выполнено

Если вы используете утилиту от предыдущих версий ПК ЛИРА-САПР, то прошивка будет выполнена корректно, но в окне утилиты не будет отображаться информация о программах более новых, чем версия прошивки. Чтобы увидеть полную информацию, используйте утилиту последней версии.

После обновления сетевого ключа нужно обязательно перезапустить сервер Guardant, иначе сервер не будет раздавать новые лицензии, а при запуске программы вы увидите сообщение “Сетевой ресурс программы исчерпан”

Прошивка чип-ключей

Со временем любая сфера жизни людей, тем или иным образом, совершенствуется и развивается. И тюнинг авто не является исключением из этого. В нынешнее время уже существует большое количество разных модификаций для модернизации автотранспорта. В зависимости от того, какое их назначение они могут быть, как функциональными, так и эстетическими. В последние годы всё больше набирает популярность модификация авто, так называемая «чип-тюнинг», когда с небольшими материальными затратами улучшаются какие-то компоненты, управляемые бортовым компьютеров. Таким образом имеет смысл рассмотреть один из вариантов такого тюнинга – прошивка ключей авто, то есть их программирование.

Последние двадцать лет практически все автопроизводители стали уделять должное внимание безопасности автомобилей. И самым актуальным стал вопрос об обеспечении защиты автотранспорта от неправомерных действий. Для разрешения таковой проблемы, совместно с блокировкой колёс, сигнализацией и множеством иных систем безопасности, автопроизводителями было осуществлено чипование ключей зажигания посредством их программации при помощи встроенного специального устройства – иммобилайзера.

В основе такой работы лежит то, что ключ основной массы современных машин оснащён персональной закодированной микросхемой, которая при вставлении ключа в замок отправляет специальный сигнал на запрограммированный иммобилайзер. Всё довольно несложно – когда код правильный, то машину возможно завести, а когда код не соответствующий, то это значит, что в машину попал злоумышленник. При этом все системы автомобиля блокируются и передвигаться на нём нельзя.

Бывает так, что всё-таки сбои и неполадки в системе случаются, и такое недоразумение хотелось бы исправить по возможности побыстрей. И, если всё-таки неприятность произошла, то её легко разрешить посредством вызова профессионального мастера из автосервиса к месту расположения авто или же доставить его в специализированный сервис. Даже когда автовладелец утратил ключ и возникла необходимость в его замене, то таком случае поможет только лишь специалист, умеющий прошивать в иммобилайзере новые ключи, как-то при:

• при программации и прописке нового или старого ключа после восстановления;
• при заменении ключа;
• при монтаже новой системы защиты;
• при утрате ключей;
• при смене замка зажигания.

Прошивка, программирование ключа для авто

Прошивка автоключа Днепр

Прошивка автоключей в Днепре

Услуга программирование авто ключей стала актуальной после 1995 года, когда на рынок был выпущен первый транспондерный ключ. По сравнению со старыми механическими автоключами, транспондерные ключи изменили правила игры и представили новую технологию, которая до сих пор используется в современных автомобилях.

С момента своего появления транспондерные ключи значительно повысили безопасность автомобилей, мотоциклов и грузовиков во всем мире, сократив автомобильные кражи на 40% каждый год. Основное отличие подобных ключей заключается в наличии микрочипа, встроенного в пластиковую головку, который позволяет завести машину.

Как микрочип заводит машину

У большинства авто есть иммобилайзер двигателя, который не позволяет силовой установке завестись, когда он не отключен. Каждый транспондерный ключ имеет встроенный микрочип с запрограммированным уникальным серийным номером.

Когда транспондер находится рядом с замком зажигания или вставлен в него, блок управления двигателем (ECU) посылает на транспондер радиосигналы низкой мощности. Поскольку транспондеры не имеют батареи, этот сигнал от ЭБУ питает транспондер.

Если цифровой серийный номер транспондера точно совпадает с запрограммированным в автомобиле, иммобилайзер двигателя отключается, и после поворота ключа в замке зажигания автомобиль заводится. Это исключает возможность автоворов угнать авто, сломав замок зажигания, так как единственный способ завести автомобиль — это иметь правильный транспондерный ключ с уникальным кодом.

Почему

Если вырезать точную механическую копию старого автоключа еще можно на специальном станке, имея минимальную квалификацию, то с программируемыми ключами все становится в сотни раз сложнее. Мало того, что современные авто ключи имеют тысячи вариаций бородки (лезвия), так еще необходимо и правильно прошить ключ к машине.

Для микрочипа нужен точный серийный номер, а это означает, что есть миллионы возможных комбинаций, что значительно снижает вероятность того, что кто-то другой сможет скопировать ваш транспондерный чип ключ.

Слесарь автоключник должен определить тип и подобрать заготовку для вашего нового автоключа. Для этого ему нужно знать марку, модификацию и год выпуска машины, а также VIN код. После того, как специалист сервиса «Авто Ключник» Днепр, определит правильную заготовку ключа и чип транспондера из информации об автомобиле, программирование авто ключа может проходить двумя разными способами:

Полученный новый ключ является точной копией старого ключа, а также данных, которые находятся в чипе транспондера.

• Программирование (прошивка) автомобильного ключа в машине.

Здесь используется специальное оборудование, разработанное для программирования ключей в автомобиле.

С помощью специализированного программного обеспечения автослесарь, автоключник выберет оптимальный метод и приступит либо к изготовлению дубликата авто ключа, либо к программированию его в автомобиле. Часть этого процесса иногда включает программирование пульта дистанционного управления нового ключа для разблокировки автомобиля.

После того, как прошивка ключей авто Днепр закончена, обязательно проходит тестирование нового аксессуара для выявления и устранения возможных проблем в работе.

Благодаря нашей современной технологии программирования и новейшим электронным станкам для изготовления автомобильных ключей, мы всегда гарантируем, что ваш новый автоключ будет вырезан и запрограммирован в соответствии с заводскими спецификациями.

Прошивки, инструкции

Сервис объявлений OLX: сайт объявлений в Украине

Управление ключами доступа к обновлению POWER8 и более поздних версий

Проверьте состояние ключа доступа к обновлению на экране «Отображение состояния прошивки». Если срок действия вашего ключа доступа к обновлению истек, перейдите на веб-сайт, указанный в ответе на вопрос 3, и замените ключ доступа к обновлению. На изображении ниже показано, как это будет выглядеть в выпусках IBM i 7.1 и 7.2. В версии 7.3 текст изменится на «Обновить дату истечения срока действия ключа доступа». Выделенная ниже строка будет отображаться независимо от того, управляется ли система ОС или HMC.

На следующем изображении показана версия 7.3 и изменение текста:

– Клиент может получить доступ к «справке» относительно поля «Состояние обновления»:
Дата истечения срока действия ключа доступа к обновлению – Справка
– Дата истечения срока действия обновить ключ доступа. Пакеты исправлений встроенного ПО сервера с более поздней датой не будут активированы до тех пор, пока не будет определена действительная дата истечения срока действия ключа доступа к обновлению. Для получения дополнительной информации о соответствующей поддержке системы см. Http://www.ibm.com/servers/eserver/ess.
Состояние обновления – Справка
– Показывает состояние обновления временных и постоянных копий микропрограмм сервера. Если статус обновления – «Поэтапное» или «Ожидание», когда IPL сервера не требуется, рекомендуется выполнить IPL-версию сервера, чтобы очистить статус обновления. Это состояние может возникнуть в результате отмены отложенного приложения или удаления PTF микропрограммы сервера. Возможные значения:

Нет – нет текущих или ожидающих обновлений.
Выполняется – В настоящее время выполняется обновление копии операционной системы до соответствующей копии микропрограммы сервера.
Поэтапный – Произведено обновление копии операционной системы до соответствующей копии микропрограммы сервера.
В ожидании – обновление может быть выполнено при выполнении следующей IPL сервера. Это значение действительно только для постоянной копии микропрограммы сервера.
Запрещено – Обновление запрещено, поскольку копия операционной системы несовместима с копией микропрограммы сервера.
Срок действия ключа истек –
Дата истечения срока действия ключа доступа к обновлению более ранняя, чем дата пакета исправлений встроенного ПО сервера.
Пакет исправлений не будет активирован до тех пор, пока не будет обнаружена действительная дата истечения срока действия ключа доступа к обновлению.
Для получения дополнительной информации о соответствующей поддержке системы см. Http://www.ibm.com/servers/eserver/ess

Обновление микропрограммы ключа HASP HL ​​

Устаревшая прошивка HASP HL ​​Key была изменена для поддержки будущих запланированных улучшений безопасности в Sentinel LDK. Sentinel LDK автоматически обновляет прошивку ключей HASP HL ​​с версии 3.21 до последней версии (3.25). Это происходит:

> , когда ключ HASP HL ​​с микропрограммой версии 3.21 присутствует на компьютере, где среда выполнения обновляется до версии 2.0 или более поздней.

> , когда клиент подключает ключ HASP HL ​​с микропрограммой версии 3.21 к компьютеру, на котором ранее была установлена ​​среда выполнения версии 2.0 или более поздней.

(Вы можете определить версию микропрограммы вашего ключа HL, просмотрев ключ на странице Sentinel Keys в Центре управления администратора.)

Для ключей HL с прошивкой до версии 3.21 обновление не происходит автоматически. Клиенты могут обновить микропрограмму до версии 3.25, применив обновление микропрограммы V2C. Он находится на машине, на которой установлены Sentinel LDK Vendor Tools, в каталоге:

% ProgramFiles (x86)% \ Thales \ Sentinel LDK \ Redistribute \ Firmware Update \ HASP HL ​​\

Во время обновления прошивки соответствующая клавиша начнет мигать.Не вынимайте ключ, пока он мигает. Если вы удалите ключ слишком рано, он может больше не отображаться в Центре управления администратора.

ПРИМЕЧАНИЕ. Если ключ больше не отображается в среде выполнения Linux, выполните следующие действия на компьютере с Windows:

1. Установите Sentinel LDK Run-Time Environment.

2. Подключите ключ.

3. Запустить приложение FirmwareUpdate.exe .Он находится в каталоге, описанном выше.

Ключ HL обновлен до микропрограммы версии 3.25 и теперь будет виден в Центре управления администратора Linux.

Руководство по созданию ключа безопасной загрузки Windows и управлению им

• 05.10.2021
• 40 минут на чтение

В этой статье

Этот документ помогает OEM-производителям и ODM-производителям создавать ключи и сертификаты безопасной загрузки и управлять ими в производственной среде.В нем рассматриваются вопросы, связанные с созданием, хранением и извлечением ключей платформы (PK), безопасных ключей обновления прошивки и сторонних ключей обмена ключами (KEK).

Примечание

Эти шаги не относятся к OEM-производителям ПК. Предприятия и клиенты также могут использовать эти шаги для настройки своих серверов для поддержки безопасной загрузки.

Требования Windows для UEFI и безопасной загрузки можно найти в разделе «Требования к сертификации оборудования Windows». Этот документ не вводит новых требований и не представляет официальную программу Windows.Он предназначен в качестве руководства, выходящего за рамки требований сертификации, для помощи в создании эффективных и безопасных процессов для создания ключей безопасной загрузки и управления ими. Это важно, потому что безопасная загрузка UEFI основана на использовании инфраструктуры открытого ключа для проверки подлинности кода перед тем, как разрешить его выполнение.

Ожидается, что читатель знает основы UEFI, базовые знания о безопасной загрузке (глава 27 спецификации UEFI) и модели безопасности PKI.

Требования, тесты и инструменты, проверяющие безопасную загрузку в Windows, доступны сегодня через Комплект сертификации оборудования Windows (HCK).Однако эти ресурсы HCK не касаются создания ключей для развертываний Windows и управления ими. В этом документе управление ключами рассматривается как ресурс, помогающий партнерам развертывать ключи, используемые микропрограммным обеспечением. Он не является директивным руководством и не содержит никаких новых требований.

На этой странице:

Этот документ служит отправной точкой в ​​разработке готовых к работе ПК, заводских инструментов развертывания и основных передовых методов обеспечения безопасности.

1.Безопасная загрузка, Windows и управление ключами

Спецификация UEFI (Unified Extensible Firmware Interface) определяет процесс аутентификации выполнения микропрограммы, называемый Secure Boot. В качестве отраслевого стандарта Secure Boot определяет, как микропрограммное обеспечение платформы управляет сертификатами, аутентифицирует микропрограммное обеспечение и как операционная система взаимодействует с этим процессом.

Secure Boot основан на процессе инфраструктуры открытого ключа (PKI) для аутентификации модулей до того, как им будет разрешено выполнение.Эти модули могут включать драйверы микропрограмм, дополнительные ПЗУ, драйверы UEFI на диске, приложения UEFI или загрузчики UEFI. Благодаря аутентификации образа перед выполнением Secure Boot снижает риск атак вредоносных программ перед загрузкой, таких как руткиты. Microsoft полагается на UEFI Secure Boot в Windows 8 и более поздних версиях в рамках своей архитектуры безопасности Trusted Boot, чтобы повысить безопасность платформы для наших клиентов. Безопасная загрузка требуется для клиентских ПК с Windows 8 и более поздних версий, а также для Windows Server 2016, как определено в Требованиях совместимости оборудования Windows.

Процесс безопасной загрузки работает следующим образом, как показано на Рисунке 1:

1. Компоненты загрузки микропрограммы: Прошивка проверяет, что загрузчик ОС является надежным (Windows или другая доверенная операционная система).
2. Загрузочные компоненты Windows: BootMgr, WinLoad, запуск ядра Windows. Загрузочные компоненты Windows проверяют подпись каждого компонента. Любые ненадежные компоненты не будут загружены, а вместо этого запустят исправление безопасной загрузки.
   • Инициализация антивирусного и вредоносного программного обеспечения: Это программное обеспечение проверяется на наличие специальной подписи, выпущенной Microsoft, подтверждающей, что это надежный драйвер, критичный для загрузки, и запускается в самом начале процесса загрузки.
   • Инициализация драйвера, критического для загрузки: Подпись всех драйверов, критичных для загрузки, проверяется как часть проверки безопасной загрузки в WinLoad.
3. Инициализация дополнительной ОС
4. Экран входа в Windows

Рисунок 1. Архитектура доверенной загрузки Windows

Внедрение UEFI Secure Boot является частью архитектуры надежной загрузки Microsoft, представленной в Windows 8.1. Растущая тенденция в развитии эксплойтов вредоносных программ заключается в том, что путь загрузки является предпочтительным вектором атаки. От этого класса атак трудно защититься, поскольку продукты для защиты от вредоносных программ могут быть отключены вредоносным ПО, которое полностью предотвращает их загрузку. Благодаря архитектуре доверенной загрузки Windows и ее установлению корня доверия с помощью безопасной загрузки, клиент защищен от вредоносного кода, выполняющегося на пути загрузки, гарантируя, что только подписанный, сертифицированный «заведомо исправный» код и загрузчики могут выполняться перед операционной системой. сам грузит.

1.1 Инфраструктура открытых ключей (PKI) и безопасная загрузка

PKI устанавливает аутентичность и доверие в системе. Безопасная загрузка использует PKI для двух целей высокого уровня:

1. Во время загрузки, чтобы определить, доверены ли модули ранней загрузки для выполнения.
2. Для проверки подлинности запросов на обслуживание необходимо внести изменения в базы данных безопасной загрузки и обновления микропрограмм платформы.

PKI состоит из:

• Центр сертификации (ЦС), который выдает цифровые сертификаты.
• Регистрирующий центр, который проверяет личность пользователей, запрашивающих сертификат у ЦС.
• Центральный каталог, в котором хранятся и индексируются ключи.
• Система управления сертификатами.

1.2 Криптография с открытым ключом

Криптография с открытым ключом использует пару математически связанных криптографических ключей, известных как открытый и закрытый ключ. Если вы знаете один из ключей, вы не сможете легко вычислить, что это за другой. Если для шифрования информации используется один ключ, то только соответствующий ключ может расшифровать эту информацию.Для безопасной загрузки закрытый ключ используется для цифровой подписи кода, а открытый ключ используется для проверки подписи на этом коде, чтобы подтвердить его подлинность. Если закрытый ключ скомпрометирован, то системы с соответствующими открытыми ключами перестают быть безопасными. Это может привести к атакам на загрузочный комплект и нанесет ущерб репутации организации, ответственной за обеспечение безопасности закрытого ключа.

В системе с открытым ключом безопасной загрузки у вас есть следующее:

• 1.2.1 Шифрование RSA 2048

  RSA-2048 – асимметричный алгоритм шифрования. Пространство, необходимое для хранения модуля RSA-2048 в необработанном виде, составляет 2048 бит.

• 1.2.2 Самоподписанный сертификат

  Сертификат, подписанный закрытым ключом, который соответствует открытому ключу сертификата, известен как самозаверяющий сертификат. Сертификаты корневого центра сертификации (CA) попадают в эту категорию.

• 1.2.3 Центр сертификации

  Центр сертификации (ЦС) выдает подписанные сертификаты, которые подтверждают идентичность субъекта сертификата и связывают эту идентичность с открытым ключом, содержащимся в сертификате.ЦС подписывает сертификат, используя свой закрытый ключ. Он выдает соответствующий открытый ключ всем заинтересованным сторонам в самозаверяющем сертификате корневого ЦС.

  При безопасной загрузке центры сертификации (CA) включают OEM (или их представителей) и Microsoft. Центры сертификации генерируют пары ключей, которые образуют корень доверия, а затем используют закрытые ключи для подписи законных операций, таких как разрешенные модули EFI для ранней загрузки и запросы на обслуживание микропрограмм. Соответствующие открытые ключи поставляются встроенными в микропрограмму UEFI на ПК с включенной безопасной загрузкой и используются для проверки этих операций.

  (Более подробная информация об использовании центров сертификации и обмене ключами доступна в Интернете, что относится к модели безопасной загрузки.)

• 1.2.4 Открытый ключ

  Открытый ключ платформы поставляется на ПК и является общедоступным. В этом документе мы будем использовать суффикс pub для обозначения открытого ключа. Например, PKpub обозначает публичную половину PK.

• 1.2.5 Закрытый ключ

  Для работы PKI необходимо безопасное управление закрытым ключом.Он должен быть доступен для нескольких высокопоставленных лиц в организации и находиться в физически безопасном месте с строгими ограничениями политик доступа. В этом документе мы будем использовать суффикс “priv” для обозначения закрытого ключа. Например, PKpriv указывает частную половину PK.

• 1.2.6 Сертификаты

  В основном цифровые сертификаты используются для проверки происхождения подписанных данных, таких как двоичные файлы и т. Д. Обычно сертификаты используются для защиты сообщений в Интернете с использованием протокола TLS или протокола защищенных сокетов (SSL).Проверка подписанных данных с помощью сертификата позволяет получателю узнать источник данных и были ли они изменены при передаче.

  Цифровой сертификат обычно содержит на высоком уровне отличительное имя (DN), открытый ключ и подпись. DN идентифицирует объект – например, компанию – которая содержит закрытый ключ, соответствующий открытому ключу сертификата. Подписание сертификата закрытым ключом и размещение подписи в сертификате связывает закрытый ключ с открытым ключом.

  Сертификаты могут содержать некоторые другие типы данных. Например, сертификат X.509 включает в себя формат сертификата, серийный номер сертификата, алгоритм, используемый для подписи сертификата, имя центра сертификации, выдавшего сертификат, имя и открытый ключ объекта, запрашивающего сертификат и подпись ЦС.

• 1.2.7 Связывание сертификатов

  Откуда: Цепочки сертификатов:

  Рисунок 2: Цепочка из трех сертификатов

  Пользовательские сертификаты часто подписываются другим закрытым ключом, например закрытым ключом ЦС.Это представляет собой цепочку из двух сертификатов. Проверка подлинности сертификата пользователя включает проверку его подписи, для чего требуется открытый ключ ЦС из его сертификата. Но прежде чем можно будет использовать открытый ключ ЦС, необходимо проверить прилагаемый сертификат ЦС. Поскольку сертификат ЦС является самоподписанным, для проверки сертификата используется открытый ключ ЦС.

  Сертификат пользователя не обязательно должен быть подписан закрытым ключом корневого ЦС. Он может быть подписан закрытым ключом посредника, чей сертификат подписан закрытым ключом ЦС.Это экземпляр цепочки из трех сертификатов: сертификат пользователя, промежуточный сертификат и сертификат CA. Но частью цепочки может быть более одного посредника, поэтому цепочки сертификатов могут быть любой длины.

1.3 Требования PKI безопасной загрузки

Определенный UEFI корень доверия состоит из ключа платформы и любых ключей, которые OEM или ODM включают в ядро ​​встроенного ПО. Безопасность до UEFI и корень доверия рассматриваются не в процессе безопасной загрузки UEFI, а в публикациях Национального института стандартов и технологий (NIST) и Trusted Computing Group (TCG), упомянутых в этом документе.

• 1.3.1 Требования безопасной загрузки

  Для реализации безопасной загрузки необходимо учитывать следующие параметры:

  • Требования клиентов
  • Требования к аппаратной совместимости Windows
  • Требования к генерации ключей и управлению.

  Вам нужно будет выбрать оборудование для управления ключами безопасной загрузки, такое как аппаратные модули безопасности (HSM), учесть особые требования к ПК для отправки правительствам и другим учреждениям и, наконец, процесс создания, заполнения и управления жизненным циклом различных безопасных загрузок. ключи.

• 1.3.2 Ключи, связанные с безопасной загрузкой

  Ключи, используемые для безопасной загрузки:

  Рисунок 3: Ключи, связанные с безопасной загрузкой

  На рисунке 3 выше представлены подписи и ключи на ПК с безопасной загрузкой. Платформа защищена ключом платформы, который OEM-производитель устанавливает в прошивку во время производства. Другие ключи используются безопасной загрузкой для защиты доступа к базам данных, в которых хранятся ключи, позволяющие или запрещающие выполнение микропрограмм.

  Авторизованная база данных (db) содержит открытые ключи и сертификаты, которые представляют доверенные компоненты микропрограмм и загрузчики операционной системы. База данных запрещенных сигнатур (dbx) содержит хэши вредоносных и уязвимых компонентов, а также скомпрометированные ключи и сертификаты и блокирует выполнение этих вредоносных компонентов. Сила этих политик основана на подписи микропрограмм с использованием Authenticode и инфраструктуры открытых ключей (PKI). PKI – это хорошо отлаженный процесс создания, управления и отзыва сертификатов, которые устанавливают доверие во время обмена информацией.PKI лежит в основе модели безопасности безопасной загрузки.

  Ниже приводится более подробная информация об этих ключах.

• 1.3.3 Ключ платформы (PK)

  Согласно разделу 27.5.1 UEFI 2.3.1 Errata C, ключ платформы устанавливает доверительные отношения между владельцем платформы и встроенным ПО платформы. Владелец платформы регистрирует открытую половину ключа (PKpub) во встроенном ПО платформы, как указано в разделе раздела 7.2.1 UEFI 2.3.1 Errata C .Этот шаг переводит платформу в пользовательский режим из режима настройки. Microsoft рекомендует использовать ключ платформы типа EFI_CERT_X509_GUID с алгоритмом открытого ключа RSA, длиной открытого ключа 2048 бит и алгоритмом подписи sha256RSA. Владелец платформы может использовать тип EFI_CERT_RSA2048_GUID , если пространство для хранения является проблемой. Открытые ключи используются для проверки подписей, как описано ранее в этом документе. Владелец платформы может позже использовать частную половину ключа (PKpriv):

  • Чтобы сменить владельца платформы, вы должны перевести микропрограмму в определенный UEFI режим установки , который отключает безопасную загрузку.Возвращайтесь в режим настройки только в том случае, если это необходимо во время производства.
  • Для настольных ПК OEM-производители управляют PK и необходимой PKI, связанной с ним. Для серверов OEM-производители по умолчанию управляют PK и необходимой PKI. Корпоративные клиенты или клиенты серверов также могут настроить PK, заменив PK, доверенный OEM, на собственный PK, чтобы заблокировать доверие к прошивке UEFI Secure Boot самому себе.

  1.3.3.1 Для регистрации или обновления ключа обмена ключами (KEK) Регистрация ключа платформы

  Владелец платформы регистрирует открытую половину ключа платформы ( PKpub ), вызывая SetVariable () службы загрузки UEFI, как указано в разделе 7.2.1 из UEFI Spec 2.3.1, ошибка C и сброс платформы. Если платформа находится в режиме настройки, то новый PKpub должен быть подписан с его аналогом PKpriv . Если платформа находится в пользовательском режиме, то новый PKpub должен быть подписан текущим PKpriv . Если PK имеет тип EFI_CERT_X509_GUID , то он должен быть подписан непосредственным PKpriv , а не закрытым ключом какого-либо сертификата, выпущенного под PK.

  1.3.3.2 Очистка ключа платформы

  Владелец платформы очищает открытую половину ключа платформы ( PKpub ), вызывая UEFI Boot Service SetVariable () с переменным размером 0 и перезагружая платформу. Если платформа находится в режиме настройки, то пустая переменная не требует аутентификации. Если платформа находится в пользовательском режиме, то пустая переменная должна быть подписана текущим PKpriv ; см. раздел 7.2 (Службы переменных) в спецификации UEFI 2.3.1 Исправление C. Настоятельно рекомендуется никогда не использовать рабочую версию PKpriv для подписания пакета для сброса платформы, поскольку это позволяет программно отключить безопасную загрузку. Это в первую очередь сценарий предпроизводственного тестирования.

  Ключ платформы также можно очистить с помощью безопасного метода, зависящего от платформы. В этом случае глобальная переменная Setup Mode также должна быть обновлена ​​до 1.

  Рисунок 4: Диаграмма состояния клавиш платформы

  1.3.3.3 Поколение ПК

  Согласно рекомендациям UEFI, открытый ключ должен храниться в энергонезависимом хранилище, устойчивом к подделке и удалению на ПК. Закрытые ключи остаются в безопасности у Партнера или в офисе безопасности OEM, и только открытый ключ загружается на платформу. Более подробная информация представлена ​​в разделах 2.2.1 и 2.3.

  Количество генерируемых ПК определяется владельцем платформы (OEM). Эти ключи могут быть:

  1. По одному на ПК .Наличие одного уникального ключа для каждого устройства. Это может потребоваться для государственных учреждений, финансовых учреждений или других клиентов серверов с высокими требованиями к безопасности. Для генерации закрытых и открытых ключей для большого количества компьютеров может потребоваться дополнительное хранилище и вычислительная мощность. Это добавляет сложности сопоставления устройств с их соответствующими PK при распространении обновлений прошивки на устройства в будущем. Существует несколько различных решений HSM для управления большим количеством ключей в зависимости от поставщика HSM.Дополнительные сведения см. В разделе Создание ключа безопасной загрузки с помощью HSM.

  2. По одному на модель . Наличие одного ключа на каждую модель ПК. Компромисс здесь заключается в том, что если ключ будет скомпрометирован, все машины в одной модели будут уязвимы. Microsoft рекомендует это для настольных ПК.

  3. По одной на продуктовую линейку . Если ключ будет скомпрометирован, будет уязвима вся линейка продуктов.

  4. Один на OEM . Хотя это может быть проще всего в настройке, если ключ будет скомпрометирован, каждый компьютер, который вы производите, окажется уязвимым.Чтобы ускорить работу на заводе, ПК и, возможно, другие ключи могут быть предварительно сгенерированы и сохранены в безопасном месте. Позже их можно было извлечь и использовать на сборочной линии. В главах 2 и 3 содержится более подробная информация.

  1.3.3.4 Замена ключа ПК

  Это может потребоваться, если PK будет скомпрометирован, или по требованию клиента, который по соображениям безопасности может решить зарегистрировать свой собственный PK.

  Сдвинуть ключи можно как для модели, так и для ПК в зависимости от того, какой метод был выбран для создания ПК.Все новые ПК будут подписаны с помощью вновь созданного ПК.

  Для обновления PK на производственном ПК потребуется либо обновление переменной, подписанное существующим PK, заменяющее PK, либо пакет обновления прошивки. OEM-производитель также может создать пакет SetVariable () и распространить его с помощью простого приложения, такого как PowerShell, которое просто изменяет PK. Пакет обновления прошивки будет подписан защищенным ключом обновления прошивки и проверен прошивкой. При обновлении прошивки для обновления PK следует позаботиться о сохранении KEK, db и dbx.

  На всех ПК не рекомендуется использовать PK в качестве безопасного ключа обновления прошивки. Если PKpriv скомпрометирован, то это будет ключ безопасного обновления прошивки (поскольку они одинаковы). В этом случае обновление для регистрации нового PKpub может оказаться невозможным, поскольку процесс обновления также был скомпрометирован.

  На ПК с SOC есть еще одна причина не использовать PK в качестве ключа безопасного обновления прошивки. Это связано с тем, что ключ безопасного обновления прошивки постоянно сгорает в предохранителях на компьютерах, которые соответствуют требованиям сертификации оборудования Windows.

• 1.3.4 Ключ обмена ключами (KEK) Ключи обмена ключами устанавливают доверительные отношения между операционной системой и прошивкой платформы. Каждая операционная система (и, возможно, каждое стороннее приложение, которому необходимо взаимодействовать с прошивкой платформы) регистрирует открытый ключ ( KEKpub ) во встроенном ПО платформы.

  1.3.4.1 Регистрация ключей обмена ключами

  Ключи обмена ключами хранятся в базе данных подписей, как описано в 1.4 базы данных подписей (Db и Dbx)). База данных подписей хранится как аутентифицированная переменная UEFI.

  Владелец платформы регистрирует ключи обмена ключами, вызывая SetVariable (), как указано в разделе 7.2 (Службы переменных) в соответствии со спецификацией UEFI 2.3.1 Errata C. с набором атрибутов EFI_VARIABLE_APPEND_WRITE и параметром данных, содержащим новый ключ (s ), или путем чтения базы данных с помощью GetVariable (), добавления нового ключа обмена ключами к существующим ключам и затем записи базы данных с помощью SetVariable (), как указано в разделе 7.2 (Variable Services) согласно спецификации UEFI 2.3.1 Errata C без установленного атрибута EFI_VARIABLE_APPEND_WRITE .

  Если платформа находится в режиме настройки, переменную базы данных подписей не нужно подписывать, но параметры для вызова SetVariable () все равно должны быть подготовлены, как указано для аутентифицированных переменных в Разделе 7.2.1. Если платформа находится в пользовательском режиме, база данных подписей должна быть подписана текущим PKpriv

  .

  1.3.4.2 Очистка KEK

  Есть возможность «очистить» (удалить) KEK.Обратите внимание, что если PK не установлен на платформе, «очистить» запросы не требуется подписывать. Если они подписаны, то для очистки KEK требуется пакет, подписанный PK, а для очистки db или dbx требуется пакет, подписанный любым объектом, присутствующим в KEK.

  1.3.4.3 Microsoft KEK

  Microsoft KEK требуется для включения отзыва плохих образов путем обновления dbx и, возможно, для обновления db для подготовки к новым образам, подписанным Windows.

  Включите Microsoft Corporation KEK CA 2011 в базу данных KEK со следующими значениями:

  • Хэш сертификата SHA-1: 31 59 0b fd 89 c9 d7 4e d0 87 df ac 66 33 4b 39 31 25 4b 30 .
  • GUID владельца подписи: {77fa9abd-0359-4d32-bd60-28f4e78f784b} .
  • Microsoft предоставит сертификат партнерам, и он может быть добавлен как подпись типа EFI_CERT_X509_GUID или EFI_CERT_RSA2048_GUID .

  Сертификат Microsoft KEK можно загрузить по адресу: https://go.microsoft.com/fwlink/?LinkId=321185.

  1.3.4.4 KEKDefault Поставщик платформы может предоставить набор ключей обмена ключами по умолчанию в переменной KEKDefault.Пожалуйста, обратитесь к разделу 27.3.3 спецификации UEFI для получения дополнительной информации.

  1.3.4.5 OEM / сторонний KEK – добавление нескольких KEK

  Клиентам

  и владельцам платформ не обязательно иметь собственный KEK. На ПК, отличных от Windows RT, OEM может иметь дополнительные KEK, чтобы позволить дополнительному OEM или доверенному стороннему лицу управлять db и dbx.

• 1.3.5 Ключ обновления микропрограммы безопасной загрузки Ключ безопасного обновления микропрограммы используется для подписи микропрограммы, когда ее необходимо обновить.Этот ключ должен иметь минимальную стойкость RSA-2048. Все обновления микропрограмм должны быть надежно подписаны производителем оборудования, его доверенным представителем, например ODM или IBV (независимый поставщик BIOS), или службой безопасной подписи.

  Согласно публикации NIST 800-147 обновление прошивки на месте должно поддерживать все элементы рекомендаций:

  Любое обновление флэш-памяти прошивки должно быть подписано создателем.

  Прошивка

  должна проверять подпись обновления.

• 1.3.6 Создание ключей для Secure Firmware Update

  Тот же ключ будет использоваться для подписи всех обновлений прошивки, поскольку публичная половина будет находиться на ПК. Вы также можете подписать обновление прошивки с помощью ключа, который связан с ключом обновления Secure Firmware.

  Может быть один ключ на каждый ПК, например ПК, или один на модель, или один на продуктовую линейку. Если есть один ключ для каждого ПК, это будет означать, что необходимо будет сгенерировать миллионы уникальных пакетов обновлений. В зависимости от наличия ресурсов подумайте, какой метод подойдет вам.Наличие ключа для каждой модели или линейки продуктов – хороший компромисс.

  Открытый ключ Secure Firmware Update (или его хэш для экономии места) будет храниться в каком-либо защищенном хранилище на платформе – обычно защищенной флэш-памяти (ПК) или одноразовых программируемых предохранителях (SOC).

  Если хранится только хэш этого ключа (для экономии места), то обновление прошивки будет включать ключ, и на первом этапе процесса обновления будет проверяться, что открытый ключ в обновлении соответствует хешу, хранящемуся на платформе. .

  Капсулы – это средство, с помощью которого ОС может передавать данные в среду UEFI при перезагрузке. Windows вызывает UEFI UpdateCapsule () для доставки обновлений прошивки системы и ПК. Во время загрузки перед вызовом ExitBootServices () Windows будет передавать все новые обновления прошивки, найденные в хранилище драйверов Windows, в UpdateCapsule (). Системная микропрограмма UEFI может использовать этот процесс для обновления микропрограммы системы и ПК. Используя эту поддержку микропрограмм Windows, OEM-производитель может полагаться на один и тот же общий формат и процесс обновления микропрограмм как для системы, так и для микропрограмм ПК.Прошивка должна реализовывать таблицу ACPI ESRT для поддержки UEFI UpdateCapsule () для Windows.

  Подробнее о реализации поддержки платформы обновления микропрограмм Windows UEFI см. В следующей документации: Платформа обновления микропрограмм Windows UEFI.

  Капсулы обновления могут быть в памяти или на диске. Windows поддерживает обновления памяти.

  1.3.6.1 Капсула (капсула в памяти)

  Ниже приведена последовательность событий для работы капсулы обновлений в памяти.

  1. Капсула помещается в память приложением в ОС
  2. Событие почтового ящика установлено для информирования BIOS об ожидающем обновлении
  3. ПК перезагружается, проверяет образ капсулы, и обновление выполняется BIOS

• 1.3.7 Рабочий процесс типичного обновления прошивки

  1. Загрузите и установите драйвер микропрограммы.
  2. Перезагрузка.
  3. OS Loader обнаруживает и проверяет прошивку.
  Загрузчик ОС
  4. передает двоичный большой двоичный объект в UEFI.
  5. UEFI выполняет обновление прошивки (этот процесс принадлежит поставщику микросхем).
  6. Обнаружение загрузчика ОС успешно завершено.
  7. ОС завершает загрузку.

1.4 Базы данных подписи (Db и Dbx)

• 1.4.1 База данных разрешенных подписей (db)

  Содержимое EFI _IMAGE_SECURITY_DATABASE db определяет, каким изображениям доверять при проверке загруженных изображений. База данных может содержать несколько сертификатов, ключей и хэшей для идентификации разрешенных изображений.

  Microsoft Windows Production PCA 2011 с хэшем сертификата SHA-1 58 0a 6f 4c c4 e4 b6 69 b9 eb dc 1b 2b 3e 08 7b 80 d0 67 8d должен быть включен в базу данных, чтобы разрешить Windows Загрузчик ОС для загрузки. Центр сертификации Windows можно загрузить отсюда: https://go.microsoft.com/fwlink/p/?linkid=321192.

  На ПК без Windows RT OEM должен рассмотреть возможность включения Microsoft Corporation UEFI CA 2011 с хэшем сертификата SHA-1 46 de f6 3b 5c e6 1c f8 ba 0d e2 e6 63 9c 10 19 d0 ed 14 f3 .Подпись драйверов и приложений UEFI с помощью этого сертификата позволит драйверам и приложениям UEFI от сторонних производителей работать на ПК без дополнительных действий со стороны пользователя. UEFI CA можно скачать здесь: https://go.microsoft.com/fwlink/p/?linkid=321194.

  На ПК, отличных от Windows RT, OEM может также иметь дополнительные элементы в базе данных, чтобы разрешить использование других операционных систем или драйверов или приложений UEFI, одобренных OEM, но эти образы не должны каким-либо образом ставить под угрозу безопасность ПК.

• 1.4.2 DbDefault : поставщик платформы может предоставить набор записей по умолчанию для базы данных сигнатур в переменной dbDefault. Дополнительные сведения см. В разделе 27.5.3 спецификации UEFI.

• 1.4.3 База данных запрещенных подписей (dbx)

  Содержимое EFI_IMAGE_SIGNATURE_DATABASE1 dbx должно быть проверено при проверке изображений перед проверкой db, и любые совпадения должны препятствовать выполнению образа.База данных может содержать несколько сертификатов, ключей и хэшей для идентификации запрещенных изображений. В требованиях к сертификации оборудования Windows указано, что dbx должен присутствовать, поэтому любое фиктивное значение, такое как хэш SHA-256, равное 0 , можно использовать в качестве безопасного заполнителя до тех пор, пока Microsoft не начнет доставлять обновления dbx. Щелкните здесь, чтобы загрузить последний список отозванных UEFI от Microsoft.

• 1.4.4 DbxDefault : поставщик платформы может предоставить набор записей по умолчанию для базы данных сигнатур в переменной dbxDefault.Дополнительные сведения см. В разделе 27.5.3 спецификации UEFI.

1,5 ключей, необходимых для безопасной загрузки на всех ПК

Таблица 1: Ключи / БД, необходимые для безопасной загрузки

2.Решения для управления ключами

Ниже приведены некоторые показатели, которые мы использовали для сравнения.

2.1 Используемые метрики

Следующие показатели помогут вам выбрать HSM-ПК в соответствии с требованиями спецификации UEFI 2.3.1 Errata C и вашими потребностями.

Связанные с инфраструктурой открытых ключей (PKI)

• Поддерживает ли он RSA 2048 или выше? – Спецификация UEFI 2.3.1 Errata C рекомендует использовать ключи RSA-2048 или выше.
• Есть ли у него возможность генерировать ключи и подписывать?
• Сколько ключей он может хранить? Хранит ли он ключи в HSM или на подключенном сервере?
• Метод аутентификации для получения ключа.Некоторые ПК поддерживают наличие нескольких объектов аутентификации для получения ключа.

Стоимость

• Какая цена? HSM может варьироваться в цене от 1500 до 70 000 долларов в зависимости от доступных функций.

Производственная среда

• Скорость работы в заводском цехе. Криптопроцессоры могут ускорить создание ключей и доступ к ним.
• Простота настройки, развертывания, обслуживания.
• Требуются навыки и обучение?
• Доступ к сети для резервного копирования и высокой доступности

Стандарты и соответствие

• Какой у него уровень соответствия FIPS? Он устойчив к взлому?
• Поддержка других стандартов, например, API шифрования MS.
• Отвечает ли он требованиям правительства и других агентств?

Надежность и аварийное восстановление

• Разрешает ли резервное копирование ключей?

  Резервные копии могут храниться как на месте в безопасном месте, которое физически отличается от компьютера CA и HSM, так и / или вне офиса.

• Обеспечивает ли это высокую доступность для аварийного восстановления?

2.2 Опции управления ключами

• 2.2.1 Аппаратный модуль безопасности (HSM)

  Исходя из вышеперечисленных критериев, это, вероятно, наиболее подходящее и безопасное решение. Большинство модулей HSM соответствуют уровню 3 FIPS 140-2. Соответствие FIPS 140-2 уровню 3 строго касается аутентификации и требует, чтобы ключи не экспортировались или не импортировались из HSM.

  Они поддерживают несколько способов хранения ключей. Они могут храниться либо локально в самом HSM, либо на сервере, подключенном к HSM. На сервере ключи зашифрованы и хранятся, что предпочтительнее для решений, требующих хранения большого количества ключей.

  Политика безопасности криптографического модуля должна определять политику физической безопасности, включая механизмы физической безопасности, которые реализованы в криптографическом модуле, такие как пломбы с контролем вскрытия, замки, переключатели реакции на вмешательство и обнуления, а также сигналы тревоги. Он также позволяет определять действия, необходимые оператору (операторам) для обеспечения физической безопасности, такие как периодическая проверка пломб с функцией защиты от несанкционированного вскрытия или проверка отклика на вмешательство и переключателей обнуления.

  • 2.2.1.1 Сеть HSM

    Это решение является лучшим в своем классе с точки зрения безопасности, соблюдения стандартов, генерации ключей, хранения и поиска. Большинство этих компьютеров поддерживают высокую доступность и имеют возможность резервного копирования ключей.

    Стоимость этих продуктов может исчисляться десятками тысяч долларов в зависимости от дополнительных услуг, которые они предлагают.

  • 2.2.1.2 Автономный HSM

    Они отлично работают с автономными серверами. Можно использовать Microsoft CAPI и CNG или любой другой безопасный API, поддерживаемый HSM.Эти модули HSM имеют различные форм-факторы, поддерживающие шины USB, PCIe и PCMCIA.

    Они опционально поддерживают резервное копирование ключей и высокую доступность.

• 2.2.2 Поставщики индивидуальных решений

  Криптография с открытым ключом

  может быть сложной задачей и потребовать понимания криптографических концепций, которые могут быть новыми. Существуют поставщики специализированных решений, которые могут помочь в обеспечении безопасной загрузки в производственной среде.

  Существуют различные индивидуальные решения, предлагаемые поставщиками BIOS, компаниями HSM и консалтинговыми компаниями по PKI, чтобы заставить безопасную загрузку PKI работать в производственной среде.

  Некоторые из провайдеров перечислены ниже:

• 2.2.3 Доверенный платформенный модуль (TPM)

  Trusted Platform Module (TPM) – это аппаратный чип на материнской плате, в котором хранятся криптографические ключи, используемые для шифрования. Многие компьютеры включают TPM, но если на компьютере его нет, добавить его невозможно. После включения Trusted Platform Module может помочь защитить продукты полного шифрования диска, такие как возможности Microsoft BitLocker. Он держит жесткие диски заблокированными или запечатанными до тех пор, пока компьютер не завершит процесс проверки или аутентификации системы.

  TPM может создавать, хранить и защищать ключи, используемые в процессе шифрования и дешифрования.

  Недостатки TPM заключаются в том, что он может не иметь быстрых криптопроцессоров для ускорения обработки в производственной среде. Они также не подходят для хранения большого количества ключей. Резервное копирование, высокая доступность и соответствие стандартам FIPS 140-2 уровня 3 могут быть недоступны.

• 2.2.4 Смарт-карты

  Смарт-карта может генерировать и хранить ключи.У них есть общие функции, поддерживаемые HSM, такие как аутентификация и защита от несанкционированного доступа, но они не включают в себя много места для хранения ключей или резервного копирования. Они требуют ручного вмешательства и могут не подходить для автоматизации и использования в производственной среде, поскольку производительность может быть низкой.

  Недостатки смарт-карт аналогичны TPM. У них может не быть быстрых криптопроцессоров для ускорения обработки в производственной среде. Они также не подходят для хранения большого количества ключей. Резервное копирование, высокая доступность и соответствие стандартам FIPS 140-2 уровня 3 могут быть недоступны.

• 2.2.5 Сертификат расширенной валидации

  Сертификаты

  EV – это сертификаты с высоким уровнем надежности, закрытые ключи которых хранятся в аппаратных токенах. Это помогает установить более эффективные методы управления ключами. Сертификаты EV имеют те же недостатки, что и смарт-карты.

• 2.2.6 Программно-ориентированные подходы (НЕ РЕКОМЕНДУЕТСЯ)

  Используйте криптографические API для управления ключами. Это может включать хранение ключа в контейнере ключей на зашифрованном жестком диске и, возможно, для дополнительной изолированности и безопасности использование виртуальной машины.

  Эти решения не так безопасны, как использование HSM, и раскрывают более высокий вектор атаки.

  2.2.6.1 Makecert (НЕ РЕКОМЕНДУЕТСЯ)

  Makecert – это инструмент Microsoft, который можно использовать для генерации ключей следующим образом. Чтобы убедиться, что поверхность атаки сведена к минимуму, вам может понадобиться «воздушный зазор» ПК. Компьютер, на котором включен PKpriv, не должен подключаться к сети. Он должен находиться в безопасном месте и в идеале должен использовать хотя бы считыватель смарт-карт, если не настоящий HSM.

    makecert -pe -ss MY - $ индивидуальный -n "CN = ваше имя здесь" -len 2048 -r
    

  Для получения дополнительной информации см. Средство создания сертификатов (Makecert.exe).

  Это решение не рекомендуется.

2.3 Создание и хранение ключей HSM для ключей безопасной загрузки

• 2.3.1 Хранение закрытых ключей

  Требуемое пространство для каждого ключа RSA-2048 составляет 2048 бит. Фактическое место хранения ключей зависит от выбранного решения.HSM – хороший способ хранить ключи.

  Физическое расположение ПК в производственном цехе должно быть защищенной зоной с ограниченным доступом пользователей, например, безопасной клеткой.

  В зависимости от ваших требований эти ключи также могут храниться в другом географическом месте или иметь резервную копию в другом месте.

  Требования к смене ключей для этих ключей могут различаться в зависимости от клиента (см. Приложение A, где приведены инструкции по изменению ключей федерального центра сертификации мостов).

  Это можно делать один раз в год.Вам может потребоваться доступ к этим ключам на срок до 30 лет (в зависимости от требований к смене ключей и т. Д.).

• 2.3.2 Получение закрытых ключей

  Ключи могут потребоваться по многим причинам.

  1. Возможно, потребуется восстановить ПК, чтобы выпустить обновленный ПК из-за того, что он был скомпрометирован, или для соблюдения постановлений правительства / других агентств.
  2. KEKpri будет использоваться для обновления db и dbx.
  3. Ключ безопасного обновления прошивки –pri будет использоваться для подписи новых обновлений.

• 2.3.3 Аутентификация

  Согласно FIPS 140-2 аутентификация основана на уровне доступа.

  Уровень 2

  Уровень безопасности 2 требует, как минимум, аутентификации на основе ролей, при которой криптографический модуль аутентифицирует авторизацию оператора, чтобы взять на себя определенную роль и выполнить соответствующий набор услуг.

  Уровень 3

  Уровень безопасности 3 требует механизмов аутентификации на основе идентичности, повышая безопасность, обеспечиваемую механизмами аутентификации на основе ролей, указанными для Уровня безопасности 2.Криптографический модуль аутентифицирует личность оператора и проверяет, что идентифицированный оператор уполномочен принимать на себя определенную роль и выполнять соответствующий набор услуг.

  ПК

  , такие как HSM, поддерживают уровень безопасности 3, который требует “k of m аутентификации” на основе идентификации. Это означает, что k объектам предоставляется доступ к HSM с помощью токена, но в данной точке должно присутствовать по крайней мере k из m токенов, чтобы аутентификация работала для получения доступа к закрытым ключам из HSM.

  Например, у вас может быть 3 из 5 токенов, которые должны быть аутентифицированы для доступа к HSM. Эти члены могут быть сотрудниками службы безопасности, авторизатором транзакций и / или членами исполнительного руководства.

  Токены HSM

  У вас может быть политика на HSM, которая требует наличия токена:

  Рекомендуется использовать комбинацию токена и пароля для каждого токена.

2.4 Безопасная загрузка и сторонняя подпись

• 2.4.1 Подпись драйвера UEFI

  Драйверы

  UEFI должны быть подписаны центром сертификации или иметь ключ в базе данных, как описано в другом месте документа, или иметь хэш образа драйвера, включенного в базу данных. Microsoft будет предоставлять службу подписи драйверов UEFI, аналогичную службе подписи драйверов WHQL, с использованием Microsoft Corporation UEFI CA 2011 . Любые драйверы, подписанные этим, будут без проблем работать на любых компьютерах, которые включают Microsoft UEFI CA. OEM также может подписать доверенные драйверы и включить OEM CA в базу данных или включить хэши драйверов в базу данных.Во всех случаях драйвер UEFI (дополнительное ПЗУ) не будет выполняться, если он не является доверенным в базе данных.

  Любые драйверы, включенные в образ микропрограммы системы, не нуждаются в повторной проверке. Наличие части общего образа системы обеспечивает достаточную уверенность в том, что драйверу доверяют на ПК.

  Microsoft сделала это доступным для всех, кто хочет подписать драйверы UEFI. Этот сертификат является частью тестов Windows HCK Secure Boot. Следите за [этим блогом] ((https://blogs.msdn.microsoft.com / windows_hardware_certification / 2013/12/03 / microsoft-uefi-ca-signed-policy-updates /), чтобы узнать больше о политике подписи UEFI CA и обновлениях.

• 2.4.2 Загрузчики загрузчика

  Сертификат подписи драйвера Microsoft UEFI может использоваться для подписи других ОС. Например, загрузчик Fedora Linux будет им подписан.

  Это решение не требует добавления дополнительных сертификатов к ключу Db. Помимо рентабельности, его можно использовать для любого дистрибутива Linux.Это решение будет работать для любого оборудования, поддерживающего Windows, поэтому оно полезно для широкого спектра оборудования.

  UEFI-CA можно загрузить отсюда: https://go.microsoft.com/fwlink/p/?LinkID=321194. По следующим ссылкам можно найти дополнительную информацию о подписании и отправке Windows HCK UEFI:

3. Резюме и ресурсы

Этот раздел предназначен для обобщения вышеуказанных разделов и демонстрации пошагового подхода:

1. Создание безопасного центра сертификации или определение партнера для безопасного создания и хранения ключей

   Если вы не используете стороннее решение:

   1. Установите и настройте программное обеспечение HSM на сервере HSM. Инструкции по установке см. В справочном руководстве HSM. Сервер будет подключен к автономному или сетевому HSM.

      Для получения информации о конфигурации HSM см. Разделы 2.2.1, 2.3 и Приложение C.

      Большинство модулей HSM соответствуют требованиям FIPS 140-2 уровня 2 и 3. Настройте HSM для соответствия уровню 2 или 3. Соответствие уровню 3 предъявляет более строгие требования к аутентификации и доступу с ключами и, следовательно, является более безопасным. Рекомендуется уровень 3.

   2. Настройте HSM для обеспечения высокой доступности, резервного копирования и аутентификации. Обратитесь к справочному руководству по HSM.

      Следуйте инструкциям поставщика HSM по настройке HSM для обеспечения высокой доступности и резервного копирования.

      Кроме того, сетевые HSM обычно имеют несколько сетевых портов для разделения трафика; позволяя серверу обмениваться данными с сетевыми HSM в сети, отдельной от обычной производственной сети.

      После того, как члены команды, входящие в группу безопасности, были идентифицированы и им были назначены жетоны. Вам потребуется настроить аппаратное обеспечение HSM для аутентификации k-of-m.

   3. Ключи безопасной загрузки и предварительное создание сертификата. См. Разделы с 1.3 по 1.5

      Используйте API-интерфейсы HSM, чтобы предварительно сгенерировать (сгенерировать) PK, ключ обновления микропрограммы и сертификаты.

      Требуется – PK (рекомендуется 1 на модель), ключ обновления микропрограммы (рекомендуется 1 на модель), Microsoft KEK, Db, Dbx ПРИМЕЧАНИЕ: Microsoft KEK, db и dbx не обязательно должны создаваться OEM-производителем и упоминаются для Необязательно – OEM / сторонние KEK db, dbx и любые другие ключи, которые войдут в OEM Db.

2. Примените образ Windows к ПК.

3. Установите Microsoft db и dbx . См. Раздел 1.3.6 и Приложение B – API безопасной загрузки.

   1. Установите Microsoft Windows Production PCA 2011 в db.

   2. Установите пустой dbx, если Microsoft его не предоставляет. Windows автоматически обновит DBX до последней версии DBX через Центр обновления Windows при первой перезагрузке.

   Примечание

   Используйте командлеты PowerShell, которые являются частью тестов Windows HCK, или используйте методы, предоставленные поставщиком BIOS.

4. Установите Microsoft KEK . См. Раздел 1.3.3.

   Установить Microsoft KEK в базу данных UEFI KEK

   Осторожно

   Используйте командлеты PowerShell, которые являются частью тестов Windows HCK, или используйте методы, предоставленные поставщиком BIOS.

5. Необязательный шаг – компоненты безопасной загрузки OEM / сторонних производителей . См. Разделы 1.3.4 и 1.4.

   1. Определите, нужно ли вам создавать OEM / сторонние KEK, db и dbx.

   2. Подписать OEM / сторонние db и dbx с OEM / сторонним KEK (сгенерированным ранее) с помощью HSM API.

   3. Установите OEM / сторонние KEK, db и dbx.

6. Подпись драйвера UEFI – см. Раздел 2.4.

   Если поддерживаются карты расширения или другие драйверы / приложения / загрузчики UEFI, установите Microsoft Corporation UEFI CA 2011 в базу данных UEFI.

7. Ключ обновления микропрограммы безопасной загрузки – см. Раздел 1.3.5.

   1. Только для ПК без Windows RT: установите открытый ключ безопасного обновления микропрограммы или его хэш для экономии места.

   2. Только на SoC может потребоваться что-то другое, например, записать защищенный ключ обновления прошивки: общедоступный или его хэш.

8. Включение безопасной загрузки . См. Приложение B – API безопасной загрузки.

   1. Установите OEM / ODM PKpub (сертификат предпочтительнее, но ключ допустим) в UEFI PK.

   2. Зарегистрируйте ПК с помощью API безопасной загрузки. Теперь компьютер должен быть включен для безопасной загрузки.

   Примечание

   Если вы устанавливаете PK в конце, MS KEK, db, dbx не нужно подписывать – SignerInfo не требуется. Это ярлык.

9. Тестирование безопасной загрузки : Выполните все проприетарные тесты и тесты Windows HCK в соответствии с инструкциями. См. Приложение B – API безопасной загрузки.

10. Судовая платформа : PKpriv, скорее всего, больше никогда не будет использоваться, сохраните его.

11. Обслуживание : Будущие обновления микропрограмм будут надежно подписаны с помощью «закрытого» ключа Secure Firmware Update с использованием службы подписи.

3.1 Ресурсы

– https://go.microsoft.com/fwlink/p/?linkid=321288

Отправка Windows HCK – https://go.microsoft.com/fwlink/p/? Linkid = 321287

Приложение A – Контрольный список PKI безопасной загрузки для производства

Ниже приведен общий контрольный список, в котором кратко излагаются шаги, необходимые для включения безопасной загрузки на компьютерах, отличных от Windows RT.

Настройка безопасной загрузки

1. Определите стратегию безопасности (идентифицируйте угрозы, определите упреждающую и реактивную стратегии) ​​в соответствии с техническим документом в разделе 4.

2. Определите группу безопасности в соответствии с информационным документом в разделе 4.

3. Создайте безопасный центр сертификации или определите партнера (рекомендуемое решение) для безопасного создания и хранения ключей.

4. Определите политику частоты смены ключей. Это может зависеть от того, есть ли у вас какие-либо особые требования клиентов, например, правительства или другие агентства.

5. Имейте план действий на случай непредвиденных обстоятельств в случае взлома ключа безопасной загрузки.

6. Определите, сколько PK и других ключей вы будете генерировать согласно разделам 1.3.3 и 1.5.

   Это будет основано на клиентской базе, решении для хранения ключей и безопасности ПК.

   Вы можете пропустить шаги 7-8, если вы используете рекомендованное решение с использованием стороннего производителя для управления ключами.

7. Приобретите сервер и оборудование для управления ключами.- сетевой или автономный HSM согласно разделу 2.2.1. Подумайте, понадобится ли вам один или несколько HSM для обеспечения высокой доступности, и определите стратегию резервного копирования ключей.

8. Определите как минимум 3-4 члена группы, у которых будет токен аутентификации для аутентификации в HSM.

9. Используйте HSM или стороннее предприятие для предварительного создания ключей и сертификатов, связанных с безопасной загрузкой. Ключи будут зависеть от типа ПК: SoC, Windows RT или не-Windows RT. Для получения дополнительной информации см. Разделы с 1.3 по 1.5.

10. Залейте прошивку соответствующими ключами.

11. Зарегистрируйте ключ платформы безопасной загрузки, чтобы включить безопасную загрузку. См. Приложение B для более подробной информации.

12. Выполните все проприетарные тесты и тесты безопасной загрузки HCK в соответствии с инструкциями. См. Приложение B для более подробной информации.

13. Отправьте ПК. PKpriv, скорее всего, больше никогда не будет использоваться, держите его в безопасности.

Сервисное обслуживание (Обновление прошивки)

Вам может потребоваться обновить микропрограммное обеспечение по нескольким причинам, например, для обновления компонента UEFI или исправления компрометации ключа безопасной загрузки или периодической смены ключей ключей безопасной загрузки.

Для получения дополнительной информации см. Раздел 1.3.5 и Раздел 1.3.6.

Приложение B – API безопасной загрузки

1. API безопасной загрузки

   Следующие API связаны с UEFI / Secure Boot:

   1. GetFirmwareEnvironmentVariableEx: извлекает значение указанной переменной среды микропрограммы.

   2. SetFirmwareEnvironmentVariableEx: устанавливает значение указанной переменной среды микропрограммы.

   3. GetFirmwareType: извлекает тип прошивки.

2. Установка ПК

   Используйте командлет Set-SecureBootUEFI, чтобы включить безопасную загрузку. После того, как ваш код установит PK, принудительное применение безопасной загрузки системой не вступит в силу до следующей перезагрузки. Перед перезагрузкой ваш код мог вызвать GetFirmwareEnvironmentVariableEx () или командлет PowerShell: Get-SecureBootUEFI для подтверждения содержимого баз данных безопасной загрузки.

3. Проверка

   Вы можете использовать Msinfo32.exe или PowerShell для проверки состояния переменной безопасной загрузки. Интерфейса WMI нет. Вы также можете проверить, попросив кого-нибудь вставить загрузочный USB-накопитель с неверной подписью (например, из теста Windows HCK Secure Boot Manual Logo Test) и убедиться, что он не загружается.

4. Командлеты Powershell для безопасной загрузки

   • Confirm-SecureBootUEFI : включена ли безопасная загрузка UEFI, верна она или нет?

     SetupMode == 0 && SecureBoot == 1

   • Set-SecureBootUEFI : установка или добавление аутентифицированных переменных SecureBoot UEFI

   • Get-SecureBootUEFI : получить аутентифицированные значения переменных SecureBoot UEFI

   • Format-SecureBootUEFI : Создает сериализации EFI_SIGNATURE_LIST и EFI_VARIABLE_AUTHENTICATION_2

5. Windows HCK и инструкции по безопасной загрузке

   Следующие шаги относятся к системным тестам и тестам ПК с драйверами, не относящимися к классу.

   1. Отключить защиту безопасной загрузки.

      Введите конфигурацию BIOS и отключите безопасную загрузку.

   2. Установите программное обеспечение клиента HCK.

   3. Запустить все тесты Windows HCK, кроме следующего:

      • BitLocker TPM и тесты пароля восстановления с PCR [7]
      • BitLocker TPM и тесты пароля восстановления для компьютеров ARM с безопасной загрузкой
      • Тест логотипа безопасной загрузки
      • Тестирование логотипа вручную по безопасной загрузке

   4. Введите конфигурацию BIOS, включите безопасную загрузку и восстановите для безопасной загрузки конфигурацию по умолчанию.

   5. Запустите следующие тесты BitLocker и безопасной загрузки:

      • BitLocker TPM и тесты пароля восстановления с PCR [7]
      • BitLocker TPM и тесты пароля восстановления для компьютеров ARM с безопасной загрузкой
      • Тест логотипа безопасной загрузки (автоматизированный)

   6. Войдите в конфигурацию BIOS и очистите конфигурацию безопасной загрузки. Это вернет компьютер в режим настройки, удалив PK и другие ключи.

      Примечание

      Поддержка очистки требуется для компьютеров x86 / x64.

   7. Запустите проверку логотипа вручную при безопасной загрузке.

      Примечание

      Для безопасной загрузки

      требуются подписанные Windows HCK или драйверы VeriSign на ПК, отличных от Windows RT

6. Тест логотипа безопасной загрузки Windows HCK (автоматический)

   Этот тест проверяет правильность заводской конфигурации безопасной загрузки. Сюда входят:

   • Безопасная загрузка включена.
   • ПК не известный, тестовый ПК.
   • KEK содержит продукцию Microsoft KEK.
   • db содержит рабочий центр сертификации Windows.
   • dbx присутствует.
   • Создается / удаляется много переменных размером 1 КБ.
   • Создана / удалена переменная размером 32 КБ.

7. Макет папки ручного тестирования Windows HCK Secure Boot для ручного тестирования

   Схема тестовой папки с логотипом вручную безопасной загрузки Windows HCK описана ниже:

   • Папка "\ Test" имеет следующее:

     • Производственные и сервисные испытания
     • Программно включить безопасную загрузку в тестовой конфигурации
     • Сервисные испытания
     • Добавить сертификат в базу данных, проверить функцию
     • Добавить хэш в dbx, проверить функцию
     • Добавить сертификат в dbx, проверить функцию
     • Добавить 600+ хэшей в dbx, проверить размер
     • Программное изменение PK

   • Папка "\ Generate" содержит сценарии, которые показывают следующее:

     • Как создавались тестовые сертификаты

     • Тестовые сертификаты и закрытые ключи включены

     • Как были созданы все тесты

     • Преобразование сертификатов и хэшей в подписанные пакеты

     • Можете запустить сами, подставьте свои сертификаты

   • Папка "\ certs" содержит все сертификаты, необходимые для загрузки Windows:

     Примечание

     Не используйте методологию, используемую в "ManualTests \ generate \ TestCerts" для создания ключей и сертификатов.Это предназначено только для целей тестирования Windows HCK. Он использует ключи, которые хранятся на диске, что очень небезопасно и не рекомендуется. Это не предназначено для использования в производственной среде.

• Папка "ManualTests \ example \ OutOfBox" содержит сценарии, которые можно использовать для установки безопасной загрузки на производственные ПК.

  «ManualTests \ generate \ tests \ subcreate_outofbox_example.ps1» демонстрирует, как эти примеры были сгенерированы и имеют разделы «TODO», когда партнер может заменить свой PK и другие метаданные.

8. Windows HCK UEFI подписание и отправка

   Дополнительная информация по следующим ссылкам:

Приложение C. Сопоставления сертификатов сертификатов Федерального центра сертификации мостов

1. Базовый

   Этот уровень обеспечивает самую низкую степень уверенности в отношении личности человека. Одна из основных функций этого уровня – обеспечить целостность подписываемой информации.Этот уровень актуален для сред, в которых риск злонамеренных действий считается низким. Он не подходит для транзакций, требующих аутентификации, и, как правило, недостаточен для транзакций, требующих конфиденциальности, но может использоваться для последних, когда недоступны сертификаты с более высоким уровнем гарантии.

2. Базовый

   Этот уровень обеспечивает базовый уровень гарантий, относящийся к средам, в которых существуют риски и последствия компрометации данных, но они не считаются имеющими большое значение.Это может включать доступ к частной информации, где вероятность злонамеренного доступа невысока. На этом уровне безопасности предполагается, что пользователи не могут быть злоумышленниками.

3. Средний

   Этот уровень актуален для сред, в которых риски и последствия компрометации данных умеренные. Это может включать транзакции, имеющие значительную денежную ценность или риск мошенничества, или связанные с доступом к частной информации, когда вероятность злонамеренного доступа высока.

4. Высокая

   Этот уровень подходит для использования там, где угрозы для данных высоки или последствия отказа служб безопасности высоки. Это может включать транзакции на очень большие суммы или высокий уровень риска мошенничества.

Создание и подпись ключа безопасной загрузки с помощью HSM (пример)

UEFI Validation Option ROM Validation Guidance

Обзор безопасной загрузки

nerves-project / nerves_firmware_ssh: Обновление прошивки Nerves по протоколу ssh

Этот проект содержит необходимую инфраструктуру для поддержки “по воздуху” обновления прошивки с Nerves с помощью ssh.

Настройки по умолчанию позволяют быстро интегрировать в проекты Nerves для опытно-конструкторские работы. Позже, если ваши развернутые устройства будут доступны по ssh , можно даже использовать такие инструменты, как Ansible или даже сценарии оболочки, для обновления набор устройств все сразу.

Установка

ПРИМЕЧАНИЕ: Если вы создали свой проект с mix nerves.new , то nerves_firmware_ssh уже установлен и настроен

Сначала добавьте nerves_firmware_ssh в список зависимостей в смеси .exs :

 def deps do
  [{: nerves_firmware_ssh, "~> 0,4"}]
конец 

Затем обновите ваш config / config.exs одним или несколькими авторизованными ключами. Эти исходят из файлов, таких как ваш ~ / .ssh / id_rsa.pub или ~ / .ssh / id_ecdsa.pub , которые были создается при создании ключей ssh . Если вы этого не сделали, следующие статья может быть полезно. Вот пример:

: nerves_firmware_ssh,
  авторизованные_ключи: [
    "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDBCdMwNo0xOE86il0DB2Tq4RCv07XvnV7W1uQBlOOE0ZZVjxmTIOiu8XcSLy0mHj11qX6JpQh4",
    "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCaf37TM8GfNKcoDjoewa6021zln4GvmOiXqW6SRpF61uNWZXurPte1u8frrJX1P / hGxCL7YN3cV6eZqR"
  ] 

Вот еще один способ, который может сработать для вас, позволяющий избежать фиксации ключей:

: nerves_firmware_ssh,
  авторизованные_ключи: [
    Файл.прочтите! (Path.join (System.user_home !, ".ssh / id_rsa.pub"))
  ] 

Первый комплект прошивок, который вы создаете после добавления nerves_firmware_ssh необходимо будет установить без использования ssh. Обычный способ – записать MicroSD карту для большинства целей, но у вас может быть другой способ получить новое изображение на устройство.

Распространение обновлений прошивки на устройства

Этот проект предоставляет задачу mix для обновления устройств. Вот пример:

 загрузка микса [целевой IP или имя хоста] 

Эта задача использует текущие настройки цели и среды , чтобы найти комплект прошивки (.fw файл) для загрузки. Он не строит его, поэтому вам понадобится для запуска микропрограммы микс сначала .

Задача загрузки имеет некоторые ограничения, особенно если для ssh требуются учетные данные. Если эта задача не работает для вас, см. Следующий раздел для создание сценария оболочки с эквивалентными командами.

Отправка обновлений прошивки на устройства через командную строку ssh

Обычная командная строка ssh может проталкивать прошивку на устройства и желательно, если вы хотите интегрировать обновления прошивки в другие скрипты или программы, такие как Ansible.Для начала запустите mix , чтобы сгенерировать стартовый сценарий оболочки с помощью ssh вызов:

А затем запустите:

 ./upload.sh [IP-адрес назначения] [файл .fw] 

Целевой IP-адрес и файл .fw часто можно угадать, поэтому сценарий пытается сделать это за вас.

См. Раздел протокола nerves_firmware_ssh ниже и справочную страницу ssh (1) для подробнее.

Поиск и устранение неисправностей

Если вы не можете подключиться, попробуйте следующее:

1. Убедитесь, что есть подключение к сети и вы можете проверить связь с устройством.
2. Убедитесь, что авторизованные ключи установлены правильно. По цели беги Application.get_all_env (: nerves_firmware_ssh) и сравните ключи.
3. Вы пытаетесь использовать ssh-agent OpenSSH ? Видеть ERL-469 и постарайтесь не использовать его.
4. Добавьте : runtime_tools к ключу : extra_applications в вашем mix.exs и запустите : ssh_dbg.messages () на целевом устройстве и попробуйте подключиться. Ты должен получить некоторые диагностические данные из приложения Erlang : ssh , которые могут помочь.
5. Сообщить о проблеме или попробуйте канал #nerves в Elixir Slack.

Ой, у меня на аппарате не те ключи

Не паникуйте! Вы можете временно изменить их, если у вас есть доступ к консоли. Вот что делать:

 Application.stop (: nerves_firmware_ssh)
Application.stop (: ssh)

Application.put_env (: nerves_firmware_ssh,: authorized_keys, ["ssh-rsa AAAAB3NzaC1yc2EAA ..."])

Application.start (: ssh)
Application.start (: nerves_firmware_ssh) 

Теперь вы можете обновить прошивку устройства.

Ключи устройства

У устройств тоже есть ключи. Это предотвращает атаки типа "злоумышленник посередине". Для разработка, nerves_firmware_ssh использует жестко запрограммированные ключи устройств, которые содержатся в его каталоге priv . Часть закрытого ключа также находится в открытом виде в система управления версиями, поэтому вам не следует полагаться на аутентификацию устройства по умолчанию. конфигурация. Это сделано для удобства, так как атакует человек посередине и проверка подлинности устройства обычно не касается повседневных задач разработки.

Если ваше устройство использует ssh для других служб (например, для предоставления удаленного командная строка), вы, вероятно, захотите использовать одни и те же ключи для обеих служб. Если каталог / etc / ssh существует в корневой файловой системе устройства, nerves_system_ssh будет автоматически использовать ключи оттуда. Чтобы сгенерировать их, добавьте в проект каталог rootfs-adds (см. раздел Nerves документация и запустите что-то вроде следующего:

 mkdir -p rootfs-дополнения / etc / ssh
ssh-keygen -t rsa -f rootfs-дополнения / etc / ssh / ssh_host_rsa_key 

Эта установка также жестко кодирует ключи ssh-сервера для всех устройств и сохраняет их в ясный, поэтому он не улучшает безопасность, но делает работу с устройствами более удобной удобно, так как есть один комплект ключей.

Другой метод - это либо символическая ссылка / etc / ssh на устройстве на записываемый расположение на устройстве (устройства Nerves имеют корневые файловые системы, доступные только для чтения) или укажите альтернативное расположение ключей устройства в файле config.exs :

: nerves_firmware_ssh,
  авторизованные_ключи: [
  ],
  каталог_системы: "/ mnt / device / ssh" 

 ИМЯ ФАЙЛА = myapp.fw
FILESIZE = $ (stat -c% s "$ FILENAME")
printf "fwup: $ FILESIZE, перезагрузка \ n" | кошка - $ FILENAME | ssh -s -p 8989 target_ip_addr nerves_firmware_ssh