浅析安全启动(Secure Boot)附带EFUSE解析
https://bbs.pediy.com/thread-260399.htm
所有支持 Secure Boot 的 CPU 都会有一块很小的一次性编程储存模块,我们称之为 FUSE 或者 eFUSE,因为它的工作原理跟现实中的保险丝类似:CPU 在出厂后,这块 eFUSE 空间内所有的比特都是 1,如果向一个比特烧写 0,就会彻底烧死这个比特,再也无法改变它的值,也就是再也回不去 1 了。
一般 eFUSE 的大小在 1KB 左右,OEM 从 CPU 厂家购买了芯片,组装了产品后,一般都要焼写 eFUSE 的内容,包括产品的运行模式:测试、开发、生产等。面向终端消费者的产品都会被焼写为生产模式。这个模式下 bootROM 会禁用很多权限,更大面积地限制用户的能力。
另外一个很重要的焼写内容就是根密钥了,一般有两种根密钥:一个是加密解密用的对称密钥 Secure Boot Key,一般是 AES 128 的,每台设备都是随机生成不一样的;另一个是一个 Secure Boot Signing Key 公钥,一般用的 RSA 或 ECC,这个是每个 OEM 自己生成的,每台设备用的都一样,有些芯片会存公钥的 Hash 来减少 eFUSE 的空间使用。
只有 Secure World(后面会介绍)才能访问 eFUSE 的寄存器。除了读写 eFUSE 的基础寄存器之外,还有一些控制寄存器可以禁止别的程序访问 eFUSE,来保护其中的密钥。因此 eFUSE 中的根密钥以及 bootROM 将作为 Secure Boot 的根信任。
浅析安全启动(Secure Boot)附带EFUSE解析相关推荐
- 宏碁笔记本关闭安全启动Secure Boot,就是改为Disabled
1.开机按ESC或者F12进入BiOS界面 2.进入Boot 3.发现Secure Boot 为灰色不可点的状态. 4.Secure Boot 为灰色不可点的状态,则要切换到Security页面,选择 ...
- 计算机系统安全启动,关闭电脑的安全启动项( Secure Boot )
在win10安装某些驱动程序需要进入测试模式,在运行bcdedit /set testsigning on命令时电脑会提示:该值受安全引导策略保护 无法进行修改或删除.这是因为电脑的BIOS安全启动项 ...
- hp linux 禁用u盘启动,BIOS关闭Secure Boot(安全启动)方法大全(联想,华硕,DELL,HP等品牌)...
" 在预装win10系统的电脑上BIOS中安全启动Secure Boot是默认开启的,如果你要安装其他系统,如Win7.Linux等系统那么需要关闭才可以,不然会无启动,这小编整理了联想,华 ...
- 高通平台(8917/8937/8953...) secure boot 软件配置
以下以8917平台为例,其他平台类似,找到对应配置文件即可 1.新建临时目录 mkdir tmp cd tmp 2.复制openssl文件到临时目录 cp ../LA.UM.*/LINUX/andro ...
- 浅析安全启动(Secure Boot) —写得很好
前言 安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写.调试等高权限的操作.以限制消费者的能力,来达到保护产品的商业机密.知识产权等厂家权益的目的.当然,厂家是不会这样宣传 ...
- linux+显卡+停止运行,Linux secure boot(安全启动)时添加Nvidia显卡驱动
原文链接: http://www.bubuko.com/infodetail-809913.html 开启Secure boot情况下,在Fedora 21下安装Nvidia 显卡驱动的方法. Nvi ...
- hp linux 禁用u盘启动项,BIOS关闭Secure Boot(安全启动)方法大全(联想,华硕,DELL,HP等品牌)...
2019-11-20 微星B450系列是微信推出的搭配AMD锐龙处理器使用的一款主板,具有性能好,稳定,价格实惠的特点,很多朋友组装好电脑之后想要安装Win7系统,却不知道如何下手,毕竟这款主板和锐龙 ...
- 华硕主板禁用UEFI安全启动(Disable Secure Boot for ASUS Motherboard)
新人第一次写博客,算是搬运google的答案吧,因为百度了两三个小时一直没解决问题,google了一次出来一个youtube视频便解决了,有种说不出来的郁闷( ̄﹏ ̄:). 先介绍下背景,最近配了台新电 ...
- 在Fedora中全自动签名英伟达驱动内核模块以支持安全启动(Secure Boot)
目录 前言 前提条件 具体步骤 1.将系统更新到最新并重启Fedora 2.安装Mok工具(mokutil)和密钥生成工具(openssl) 3.生成内核驱动模块的自签安全启动密钥 4.将刚刚自签的安 ...
最新文章
- ServerSocket
- Codis的dashboard异常退出后,重新启动报异常的处理方法
- 当推荐系统遇上多模态Embedding
- 子弹短信回应 App 下架;摩拜起诉滴滴;VS Code 1.28 发布 | 极客头条
- liunx查询进程下的线程
- python在屏幕上画画,屏幕上的Python绘图
- VSF表格 粘贴板ClipBoard 将数据粘贴到表格 VB6.0
- Java IO流(精简版)
- 黑客红客骇客红客蓝客飞客是什么?有什么区别?(学习资料)
- error:control reaches end of non-void function [-Werror=return-type]
- 修复YYC松鼠短视频系统我的收藏页面 没有返回按钮的bug
- 网球爱好者小程序的设计与实现
- 由计算机谈最强大脑周玮
- 为华生物NHS-PEG-MAL 马来酰亚胺聚乙二醇活性酯的简介及应用说明
- 凤凰涅槃,浴火重生。
- 如何正确处理nonce
- Linux常见命令及含义
- spring boot 使用 javax.mail发送邮件常见错误Authentication failed、Mail server connection failed
- python网络爬虫之使用scrapy爬取图片
- WebMatrix的安装