軟件的最大優(yōu)勢在于它可以改變——它可以針對新需求和新情況進行增強、升級、修復(fù)和修改。同時，軟件的最大弱點是可以更改和修改以復(fù)制不良行為。

軟件安全的一個主要目標是僅允許被授權(quán)實體更改軟件，并防止未經(jīng)授權(quán)的實體更改軟件。如果做不到這一點，您希望能夠檢測軟件是否已更改。這一目標，即預(yù)防和檢測未經(jīng)授權(quán)的更改，是受信任軟件的核心。

問題是，你怎么知道你可以信任一個軟件？一種方法是讓您信任的實體證明該軟件是可信的。這方面的一個例子是僅安裝來自“已知良好”或受信任來源的軟件。您還應(yīng)該使用加密技術(shù)檢查軟件的簽名。例如，開發(fā)人員可以使用Linuxrpm 軟件包格式和 rpm 實用程序在安裝之前驗證其軟件包的加密哈希。這是使用 rpm 的正常部分，有助于檢測通過惡意操作或數(shù)據(jù)損壞修改的軟件包。

然而，這僅僅是個開始——信任和驗證必須貫穿整個軟件開發(fā)鏈。例如，執(zhí)行轉(zhuǎn)速檢查的軟件必須是可信的?？梢允褂孟到y(tǒng)完整性實用程序檢查 rpm 軟件。但是，系統(tǒng)完整性實用程序也必須是可信的。這可以在Linux內(nèi)核中完成（它集成了某些系統(tǒng)完整性檢查功能。然后，Linux 內(nèi)核必須由引導(dǎo)加載程序進行驗證，這可以通過 UEFI 固件和安全啟動進行驗證。UEFI 固件可以檢查其自身的完整性。是信任自始至終！

但 UEFI 固件是軟件。特殊軟件，具有多次完整性檢查和特殊更新過程，但它仍然是軟件。如果資源充足，即使是 UEFI 固件也可能受到損害。一旦系統(tǒng)固件遭到入侵，系統(tǒng)中的任何其他內(nèi)容都無法信任。

要閱讀更多來自Russell Doty的開源軟件和安全博客，請單擊此處。

在系統(tǒng)之外，公鑰加密（PKC）可以提供一種強大的方法來驗證系統(tǒng)的身份并執(zhí)行安全操作。PKC 使用一對密鑰 – 公鑰和私鑰。只要私鑰受到保護，加密就是安全的。不幸的是，如果系統(tǒng)受到損害，私鑰也會受到損害，并且實際的加密操作可能會被暫停。如果您需要信任系統(tǒng)，這不是一件好事！

一個答案是使用不可變的硬件。例如，通過在生產(chǎn)過程中熔斷一組芯片級保險絲，可以在硬件中固定 CPU 序列號。不幸的是，此CPU序列號將由軟件讀取和傳輸。如果系統(tǒng)遭到入侵，軟件可以返回任何序列號。

另一個答案是使用特殊的安全處理器 - 專用計算機，它只執(zhí)行一小部分安全和加密功能，并提供不可變的硬件信任根，其中包括幾個關(guān)鍵屬性。在硬件信任根中，安全處理器及其軟件和內(nèi)存是獨立的，旨在抵御物理攻擊或危害。軟件硬編碼到芯片中，無法修改或更新;它是真正的只讀。安全處理器中包含有限數(shù)量的非易失性存儲;此存儲器主要用于存儲加密密鑰和哈希。安全處理器包括一組強大的加密功能，包括加密和解密、哈希和加密密鑰生成，所有這些都是使用定義良好的 API 執(zhí)行的。

使用硬件信任根，可以在安全處理器內(nèi)生成公鑰和私鑰對。私鑰可以保留在處理器內(nèi)部，永遠不會暴露給系統(tǒng)。在此模式下，私鑰永遠不會存在于處理器之外，并且無法檢索或泄露。

這種安全處理器可用于為構(gòu)建可信系統(tǒng)提供起點，方法是使用它來證明最低級別的 UEFI ［統(tǒng)一可擴展固件接口］ 固件的完整性，然后構(gòu)建完整且受信任的軟件堆棧。這正是將受信任的處理模塊 （TPM） 與 UEFI 安全啟動結(jié)合使用以實現(xiàn)受信任啟動時所做的操作。

TPM 在服務(wù)器、臺式機和筆記本電腦系統(tǒng)中廣泛使用。它還可用于高端物聯(lián)網(wǎng) （IoT） 和嵌入式系統(tǒng)。

TPM通常作為單獨的芯片實現(xiàn)，安全處理器也被集成到標準CPU中。這方面的例子包括 ARM TrustZone 和 AMD 安全處理器。英特爾正在添加軟件防護擴展 （SGX），提供硬件強制的安全功能。

不幸的是，這些安全功能并沒有像它們應(yīng)該的那樣廣泛使用。我鼓勵任何實施安全敏感系統(tǒng)（實際上應(yīng)該是所有系統(tǒng)）的人考慮在其系統(tǒng)上使用可用硬件信任根的安全功能。

審核編輯：郭婷