BIOS只升级PGP-签名/加密整个BIOS

Question

为了成功地保护BIOS免受恶意rootkit安装或BIOS内部编写的其他恶意软件的影响，我想知道这些想法是否可行，甚至还没有完成：

• 你能用一种只接受被写入BIOS的数据的方式来编程BIOS吗?BIOS已经用BIOS的PGP-键签名了吗？基本上和普通用户程序一样，安装它们的更新也是一样的。
• 是否有可能对整个BIOS数据进行加密，以防止攻击者使用恶意代码“升级”BIOS？

在这两种情况下，只保护BIOS不被写到BIOS访问就足够了.读取BIOS时不需要授权。

编辑:有任何方法来实现这一点，你自己？就像你用比特储物柜保护你的HHD，或者用公钥密码验证一个对等者一样。

Answer 1

您可以使用UEFI安全引导。800-147的所有内容都是对固件更新进行身份验证--它声明BIOS代码本身应该受到键盘的保护：

To prevent unintended or malicious modification of the system BIOS outside the 
authenticated BIOS update process, the RTU and the system BIOS (excluding configuration 
data used by the system BIOS that is stored in non-volatile memory) shall be protected 
from unintended or malicious modification with a mechanism that cannot be overridden 
outside of an authenticated BIOS update.  The protection mechanism shall itself be 
protected from unauthorized modification. 

Answer 2

Intel已经实现了一个名为BIOS保护的特性，它以非常类似于您提到的第一个项目的方式保护BIOS免受恶意更新。这个功能是从Haswell开始提供的，但我还不知道哪些计算机制造商正在利用它。

摘自英特尔哈斯韦尔规格(第4代核心)：平台Flash Armoring技术是对现有的基于芯片组的BIOS闪存保护功能的增强，目标是解决BIOS闪存面临的日益增长的恶意软件威胁。它保护BIOS闪存免受未经平台制造商授权的修改，帮助平台抵御低级别DOS (拒绝服务)攻击，并帮助BIOS在攻击后恢复到已知的良好状态。

Answer 3

BIOS ROM过去是用物理硬件开关/跳线器进行写保护的。这是一个非常简单的措施，基本上使BIOS不可能被恶意或其他软件破坏。这里's是一本旧时的手册。

BIOSes要少得多，需要不断的改变。

现在工厂安装的crapware在后台悄悄地更新BIOS .有时，使用BIOS等技术的EFIs会使所有东西都无法使用，但实际上却充满了脆弱性，而在某些情况下，比特储物柜、漏洞之类的东西实际上可以是无用。签名是可以伪造的。

总之，与许多其他情况一样，方便比安全更可取。唯一真正的写保护是硬件写保护，唯一真正的硬件写保护是不能以任何其他方式激活的物理系统(就像前面提到的跳线那样)。