Purism將為旗下Librem筆電加入高安全性啟動程序PureBoot
文章標題:Purism將為旗下Librem筆電加入高安全性啟動程序PureBoot
文章出處:iThome
引言:電腦製造商Purism為自家筆電加入了新的系統啟動程序PureBoot,這是一個整合眾多軟體,以安全開放為優先考量的高安全性開機程序。Purism安全長Kyle Rankin提到,不少駭客喜歡從電腦啟動程序下手,因為可以進一步隱藏惡意程式而不被系統發現,雖然多數啟動系統也提供了應有的防護,但許多廠商為了方便,使用軟體簽章金鑰,限制只有供應商認證的啟動軟體才能執行,雖然保護了系統安全,但也限制了使用者控制系統的能力。
而Purism要在不犧牲安全以及便利性的情況下,將這些控制權力還給使用者,因此開發了PureBoot,這是一個綜合多種技術的高安全啟動程序,因為方便起見才以單一名字稱呼,其實PureBoot包含了6大部分,Purism不只關閉了英特爾管理引擎(Intel Management Engine),置換BIOS成開源任體Coreboot,還使用可信任平臺模組(Trusted Platform Module,TPM),並加入防篡改啟動軟體Heads,使用者可以利用Librem USB安全金鑰Librem Key多因素身份認證解鎖磁碟。
Kyle Rankin表示,PureBoot可以防止多種類型的資安風險,像是筆電遭竊而使敏感資料曝光的風險,由於PureBoot預設加密系統,因此在首次啟動時,使用者就必須要設定金鑰進行加密,而且Librem Key與LUKS磁碟加密整合,使用者在首次設置完成後,之後只要插入Librem Key就能啟動系統,並在出現提示時,輸入用於GPG簽章的Librem Key PIN碼就能啟動系統。
而對於BIOS惡意軟體以及核心Rootkit攻擊,PureBoot也能有效防範,使用者只要插入Librem Key,透過上頭閃爍的燈號就能知道系統安全狀況。由於PureBoot啟動從載入自由軟體BIOS Coreboot開始,Kyle Rankin提到,駭客的惡意軟體通常瞄準主流的專有BIOS,因此使用Coreboot已經可以避開多種攻擊。
接著載入Heads防竄改啟動程序,並使用TPM晶片比對BIOS,只要Librem Key閃爍綠燈,便表示BIOS安全沒有遭到竄改,遭竄改則閃爍紅燈。過去Heads僅在一小群的Beta測試計畫中實行,由於效果卓越,因此現在對外公開,釋出Heads公開測試版。