我需要嵌入式设备上的安全启动吗？

Question

我需要评估一个特定的嵌入式设备没有安全引导的风险。在我看来，安全引导是系统信任根源的一个重要部分。

然而，在这个场景中，我很难描述设备所受的特定漏洞(而且我非常肯定，我忽略了为什么没有安全引导是一个问题的重要一点)。它是一个Linux嵌入式设备，它没有直接的互联网接入，它是一个托管设备，没有用户登录到系统。它有一个带有管理ui的few服务器，还有一些像ssh这样的服务。

如果一个比率的风险，我会说，固件可以被操纵时，设备已经被侵入，所以没有额外的安全性增加安全启动。我的问题是:在这种特定的情况下，没有安全引导的风险是什么？谢谢

Answer 1

如果一个比率的风险，我会说，固件可以被操纵时，设备已经被侵入，所以没有额外的安全性增加安全启动。我的问题是:在这种特定的情况下，没有安全引导的风险是什么？谢谢

在一个适当的安全启动，固件不能被操纵，如果设备已被攻入。如果是，它就不会启动。如果攻击者擦除设备，则该密钥应由SOC持久持有，因此如果安装的制造商密钥没有签名，则无法加载新加载的软件。安全启动就是要确保工程师和客户即使面对设备的物理访问，也能保持正确的操作。如果所有这些都不适用于一个人的设备，那么安全引导的吸引力就会减弱。

嵌入式系统软件通常(而且很可能应该总是)被高度限制在系统所需运行的内容上。在这些情况下，root只能运行有效的软件。攻击者使用此假设添加软件的一些威胁：

• 攻击者添加的软件会导致意想不到的行为，导致客户对产品的感知降低(即导致崩溃、操作缓慢等)。
• 攻击者添加的软件可能对用户或用户的财产造成物质伤害(超过工厂设备，使车辆刹车失灵等)。
• 攻击者添加的软件可以帮助逆向工程，秘密外泄，客户信息间谍等。

当然，如果存在运行时漏洞(远程代码执行等)，其中大多数也是可能的。但是，将文件添加到磁盘比查找和利用运行时漏洞容易得多。当我这么做的时候，塔拉斯把这件事写在“可能性”而不是“严肃性”之下。