搭建感知室内温度的物联网系统(沙滩上怎能起高楼)
乌克兰战争还在继续,关于这场战争孰是孰非,基于立场不同,有各自的解读和立场,我们姑且不论。引起国内安全领域各界注意的是,主流CA机构开始不再为俄罗斯提供服务,甚至召回以前的证书,引起大量的混乱和问题。因为根证书CA机构都是西方机构,俄罗斯没有任何办法,在其上建构的各级子CA都面临过期和作废。俄罗斯只有开始自己搭建根证书,但阵痛期是漫长而痛苦的。
中国对此有些准备,情况稍好。但有一处风险却和俄罗斯完全一样,那就是BIOS和操作系统CA还在国外,对此我之前专文做了介绍:国产操作系统之殇:国产Linux CA由微软掌握
文中我以隔壁老王为例介绍了其中风险,但基于当下的情形,却稍显格局太小,没有上升到国家层面,颇为遗憾。为此今天我们稍微架空一下,某两国(U国和C国)因为某种原因,发生了封锁甚至军事冲突。U国握有BIOS和OS CA,要利用其对C国动手,C国面临最坏情况是怎样的?风险在哪里呢?为了增强说服力,本文还是先从技术细节讲起,再进行沙盘推演。如果对技术不感兴趣的同学,可以直接跳到推演部分。
计算机安全启动的三个必备CA信任是可以传递的,我信任你,你信任他,那么我也可以信任他。UEFI安全启动可以保证信任链条由硬件传递到操作系统,起到承上启下的作用,是整个链条不可缺少的一环。
UEFI安全启动的技术要点我前文已经介绍完毕,这里要补充和强调一些技术细节。UEFI安全启动存储各种CA的地方在四个数据库中:PK,KEK,db和dbx中:
UEFI安全启动是开放中立的,并没有规定四个数据库中都有哪些CA,但因为UEFI安全启动发端于Intel和微软,并在多年后才逐渐推广给Linux社区,微软CA在其中占据统治地位。事实上,现在部署安全启动的个人计算机或者服务器中,除了OEM和厂商某些OEM CA之外,必然部署了微软三个重要CA ,它们分别在KEK和db中:
三个都来自微软,但作用稍有不同:
- 微软KEK CA:在KEK中。赋予了微软可以更改安全启动策略的能力,包括可以自由更新db和dbx,增加白名单和黑名单内容。
- 微软生产PCA:在db中。该CA验证微软OSloader。
- 微软UEFI CA:在db中。该CA实际上是UEFI论坛组织的官方CA,但因为历史和现实的种种原因(参见前文),实际由微软掌握,并负责签名。该CA签名各种UEFI驱动、rom和app等,更重要的是,该CA也签名Linux的Shim。
多年来安全启动运行良好,现在BIOS大多打开了UEFI安全启动;而国产主流操作系统基本上可以说都是Linux国内的一个发行版(附加了一些自己的特色功能,如中文、特色桌面等等)。
既然本文是架空沙盘推演,现在假设U国掌握了微软三个CA,看看C国面临什么样的风险。
外部CA的风险U国有了微软三个CA,尤其是风险最大的KEK CA,则可以在操作系统下(Windows、Linux甚至是国产Linux下),更新db和dbx的内容。它可以:
- 在db增加新的入侵CA,移除国内厂商OEM CA。从而增加攻击点,并阻止OEM CA启动国产CA验证的操作系统。
- 在dbx中将已经由微软UEFI CA签发的国产Linux Shim们加入黑名单(HASH值)。从而阻止几乎所有国产Linux启动。从而让用户别无选择,只能启动U国操作系统们。
- 更糟的是,删除所有db中的CA,造成安全启动失败,从而让众多机器变砖。补救办法似乎只有通过PK强行引入新的KEK,删除微软KEK来拯救机器。但中国几亿台电脑,一个个手动搞是不现实的。也会造成服务器大面积宕机,造成数据和服务缺失,我们可能又要回到现金交易的过去了。
微软PCA和微软UEFI CA危险小一些,但也可以认证某些bootkit和rootkit,从而可以插入启动链条中,在后台不知不觉监控重要信息和制造破坏。
结论总结一下,掌握了微软三个CA,最坏情况是可以造成C国个人电脑大面积死机,大量服务器停服。三个CA风险度依次是:微软KEK > 微软UEFI CA >微软生产PCA。
这里仅仅假设了最坏情况,相信不到最后时刻,微软也不会出让自己的CA给U国政府,这样它的信用会完全破产。但居安思危,还是应该尽快由权威机构管理国内固件根证书,并逐渐利用国密算法SM2和SM3,替换安全启动现在普遍使用的RSA和SHA256。可能不能一蹴而就,但至少可以国内证书和国密算法,和微软CA与国际算法,并跑一段时间,慢慢替代和淘汰。
附上国密算法和国际算法对照表:
来源:龙蜥社区
需要指出的是,国密算法发明的比较近,算法强度和速度明显优于传统的算法。特别是基于ECC椭圆曲线算法的SM2,比基于大数分解困难的RSA算法,无论破解难度、算法速度和秘钥长度等,都有显著改善。
,
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com