物聯(lián)網(wǎng)引導(dǎo)加載程序技術(shù)的未來

物聯(lián)網(wǎng)引導(dǎo)加載程序技術(shù)的未來

許多專家預(yù)測,第二季度(Y2Q)——標(biāo)志著商業(yè)上可行的量子計(jì)算機(jī)能夠破解當(dāng)今加密技術(shù)的那一天,比之前想象的要近得多。隨著第二季度的臨近,開發(fā)人員面臨著部署可用于引導(dǎo)加載程序和其他關(guān)鍵操作的量子安全數(shù)字簽名的挑戰(zhàn)。

當(dāng)連接的設(shè)備打開時(shí),無論是電話、汽車還是智能門鈴,引導(dǎo)加載程序都會啟動。這個簡單但關(guān)鍵的過程會初始化設(shè)備硬件,驗(yàn)證固件,如果驗(yàn)證通過,則將固件加載到設(shè)備的內(nèi)存中,啟動使設(shè)備運(yùn)行的事件序列。

作為設(shè)備啟動時(shí)運(yùn)行的第一個軟件,引導(dǎo)加載程序在系統(tǒng)安全中起著至關(guān)重要的作用。如果引導(dǎo)加載程序遭到破壞,就會為不良行為者打開進(jìn)入系統(tǒng)的大門。為了解決此漏洞,引導(dǎo)加載程序使用加密來驗(yàn)證固件的數(shù)字簽名是否有效且可信。

對于黑客來說,破解或欺騙數(shù)字簽名加密并獲取系統(tǒng)訪問權(quán)限將變得更加容易。人工智能和機(jī)器學(xué)習(xí)輔助下的量子計(jì)算的進(jìn)步現(xiàn)在正威脅著破壞引導(dǎo)加載程序使用的加密。

將量子安全加密擴(kuò)展到物聯(lián)網(wǎng)

量子物聯(lián)網(wǎng)設(shè)備對加密構(gòu)成威脅,因?yàn)槠涮峁┑挠?jì)算能力可以快速解決加密所依據(jù)的復(fù)雜數(shù)學(xué)算法,使黑客能夠計(jì)算出保證加密算法安全的密鑰。一旦獲得密鑰,黑客就可以解鎖數(shù)據(jù)并破壞通過加密保護(hù)的系統(tǒng)。

傳統(tǒng)物聯(lián)網(wǎng)設(shè)備提供的功能已被證明能夠破解某些級別的加密。作為回應(yīng),安全解決方案已轉(zhuǎn)向更復(fù)雜的算法,生成更長的加密密鑰。然而,這條路徑會給PQC引導(dǎo)加載程序和其他需要快速處理且計(jì)算和內(nèi)存資源有限的設(shè)備帶來問題。

uLoadXLQ量子安全引導(dǎo)加載程序等設(shè)備通過提供基于輕量級后量子數(shù)字簽名算法的加密協(xié)議來解決此問題,該算法具有簽名小和驗(yàn)證快的特點(diǎn)。其允許快速驗(yàn)證通過抗量子加密保護(hù)的數(shù)字簽名,確保只有授權(quán)的固件才會啟動和安裝。如果無法驗(yàn)證數(shù)字簽名,則表明系統(tǒng)已被未經(jīng)授權(quán)的實(shí)體訪問,引導(dǎo)加載程序?qū)㈥P(guān)閉引導(dǎo)進(jìn)程,以防止安裝損壞的操作系統(tǒng)或未經(jīng)授權(quán)的應(yīng)用程序。

uLoadXLQ系統(tǒng)還使用由量子隨機(jī)數(shù)生成的數(shù)字簽名,因此密鑰具有盡可能強(qiáng)的安全性。此功能使系統(tǒng)能夠達(dá)到提供真正的抗量子加密所需的熵水平。有限熵是一個導(dǎo)致弱加密密鑰和降低安全性的問題。

保護(hù)物聯(lián)網(wǎng)引導(dǎo)加載程序的挑戰(zhàn)

構(gòu)成物聯(lián)網(wǎng)(IoT)的超過140億臺設(shè)備通常依賴引導(dǎo)加載程序來支持其操作。這些設(shè)備通常通過龐大的網(wǎng)絡(luò)共享敏感數(shù)據(jù),但與計(jì)算機(jī)不同的是,這些設(shè)備通常運(yùn)行在非常有限的資源上,因此需要輕量級安全性。

近年來,針對物聯(lián)網(wǎng)設(shè)備的攻擊急劇增加。根據(jù)網(wǎng)絡(luò)安全統(tǒng)計(jì)數(shù)據(jù),2021年12月,針對物聯(lián)網(wǎng)設(shè)備的惡意軟件攻擊次數(shù)超過580萬次。2022年12月,攻擊次數(shù)突破1050萬次。

通過在物聯(lián)網(wǎng)設(shè)備上部署勒索軟件,黑客可以接管設(shè)備的功能,鎖定用戶直至支付贖金。這可能包括控制智能恒溫器或汽車中的計(jì)算機(jī)輔助系統(tǒng)。當(dāng)在關(guān)鍵任務(wù)系統(tǒng)上發(fā)起勒索軟件攻擊時(shí),例如交付或監(jiān)管藥物的系統(tǒng),針對物聯(lián)網(wǎng)設(shè)備的勒索軟件攻擊可能會造成極大的破壞。

物聯(lián)網(wǎng)設(shè)備在企業(yè)界的使用創(chuàng)造了所謂的“影子物聯(lián)網(wǎng)”。這是指未經(jīng)IT部門批準(zhǔn)或未應(yīng)用增強(qiáng)安全措施而添加到組織網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備,例如智能音箱或智能電視。這些設(shè)備隨后成為組織網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。

McKinsey&Company最近的一份報(bào)告將物聯(lián)網(wǎng)設(shè)想為一種工具,可以極大地改善我們生活的幾乎每個領(lǐng)域,但要實(shí)現(xiàn)這一愿景,需要物聯(lián)網(wǎng)設(shè)備獲得更大的公眾信任。McKinsey表示,要做到這一點(diǎn),必須克服物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全漏洞。采用抗量子引導(dǎo)加載程序?qū)⑹浅@個方向邁出的重要一步。

對引導(dǎo)加載程序安全性日益增長的需求

英國最近實(shí)施的針對電動汽車(EV)充電器的法規(guī),說明了不安全的物聯(lián)網(wǎng)引導(dǎo)加載程序帶來的威脅。這些法規(guī)旨在保護(hù)需要連接到互聯(lián)網(wǎng)的電動汽車充電器免受不良行為者的攻擊。其規(guī)定,物聯(lián)網(wǎng)設(shè)備包括安全啟動技術(shù)和在安全受到威脅的情況下自動斷開連接。

這些法規(guī)旨在解決黑客如何利用物聯(lián)網(wǎng)漏洞訪問支持充電器的網(wǎng)絡(luò)的擔(dān)憂。至少,攻擊可能會導(dǎo)致電力或信用卡數(shù)據(jù)被盜。然而,安全專家也設(shè)想了黑客可以使用電動汽車充電器訪問和關(guān)閉電網(wǎng)的場景。

Y2Q的持續(xù)發(fā)展,加上我們對物聯(lián)網(wǎng)設(shè)備的日益依賴,預(yù)示著未來將面臨前所未有的安全挑戰(zhàn)?,F(xiàn)在是時(shí)候部署確保后量子世界安全的工具了。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2023-07-25
物聯(lián)網(wǎng)引導(dǎo)加載程序技術(shù)的未來
作為設(shè)備啟動時(shí)運(yùn)行的第一個軟件,引導(dǎo)加載程序在系統(tǒng)安全中起著至關(guān)重要的作用。

長按掃碼 閱讀全文