假设机器(即 x86 架构)上有私有/秘密数据,对我来说最合理的做法是加密这些数据,以便保护它。
我了解,只有在密钥/密码保持安全的情况下,才能达到安全、安全、未篡改和秘密数据的目的。我也知道,由于有必要的软件进行解密/加密,我必须在某种程度上信任这个软件(即需要信任 linux 内核、gnu 软件、基于 linux 的磁盘加密的 LUKS 框架等)。作为大部分开源软件,上述软件的 autid 似乎至少是可能的。
PC BIOS 软件还有什么用?最常见的是它是专有(封闭源)代码和平。从理论上讲,我认为实际上有一个很好的变化,即 PC BIOS 中的某些恶意软件正在设置键盘记录器 --> 密码被捕获 --> 数据安全为零。(对?)
此外,我刚刚开始听到(有些震惊)关于安全管理模式 SMM的 x86 功能,似乎可以利用它与一些rootkit以蓝药方式工作。同样,这可能会造成任意恶作剧,当然似乎通过记录密钥来破坏我的加密目的。
更糟糕的是,我想知道 BIOS 中的 optionrom 问题。据我了解,PC Bios 会从设备(如网卡芯片)加载和执行代码并执行(!!!)它。因此,在最坏的情况下,中国人/美国人/德国人(命名您选择的任何其他不受信任的国家/组织)可以将设备制造为某种计算机病毒(使用此 optionrom 功能)。
综上所述,我真的很想知道磁盘加密的价值,如果在(可能是受信任的——因为开源的)Linux 内核运行之前存在如此多的未知和危险。
老实说,如果我要创建一个 rootkit,我也会寻求将它放在(或锚定)在 TPM、PCBIOS、optionroms、内核等的某个位置。只有内核才有一些信任。
我会很高兴听到你的想法。
像这样的好问题:
主要提供有关如何使 PC BIOS 免受恶意软件/保存的见解?等等,但我的偏执也是一开始就不知道 BIOS 做了什么(封闭源代码)。
一些更新
关于更改/篡改 BIOS 代码的威胁我想知道 linuxBIOS 或 coreboot(www.coreboot.org) 项目是否没有显示通过(也是恶意软件)自己的代码修改 bios 的可能性以及故意这样做的选项安全原因。毕竟,自写或第二好的开源 BIOS 似乎是可行的,因为 BIOS 所做的事情不是“世界”(只是一些初始化工作)。所以我仍然担心 - 鉴于硬件文档或逆向工程 - 创建恶意软件 bios 并部署它是可行的(参见 flashrom.org 工具)
更新:显示专有固件/硬件问题的另一个来源是http://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and -最后被发现/