TrustZone против ПЗУ как корень доверия в безопасной загрузке

Question

Много литературы, на которую я наткнулся, упоминало TrustZone как механизм, облегчающий безопасную загрузку (как можно увидеть здесь и многое другое).

Насколько мне известно, Secure Boot работает следующим образом:

" Root-of-Trust проверяет img1, проверяет img2 ... "

Так что вЕсли микросхема загружается из ПЗУ, которое проверяет первое изображение, находящееся во флэш-памяти, какую дополнительную выгоду я получу с помощью TrustZone?

Мне кажется, что TrustZone не может обеспечить безопасную загрузку, если нетRoot-of-Trust системы, поскольку она может изолировать только оперативную память, а не флэш-память, поэтому во время выполнения, если не доверенная ОС подвергается риску, она не может защитить свою собственную флэш-память от перезаписи.

Я что-то здесь упускаю?

Answer 1

Уверен, что TrustZone может изолировать флеш-память в зависимости от реализации поставщика реестра конфигурации безопасности (SCR)

Обратите внимание, что это относится к TrustZone-M (TrustZone для архитектуры Cortex-M), который может неты ищешь.

Answer 2

Итак, если чип загружается с ПЗУ, которое проверяет первый образ, находящийся во флэш-памяти, какую дополнительную ценность я получу, используя TrustZone?

Безопасная загрузка иTrustZone - это отдельные функции / функции.Они часто работают вместе. Вещи всегда будут зависеть от вашей модели угрозы и конструкции / требований системы. Т.е. имеет ли злоумышленник физический доступ к устройству и т. Д.

Если у вас есть изображение во флэш-памяти и кто-то можетперезаписать флэш, может случиться так, что система в порядке, если загрузка не удалась.То есть кто-то не может перепрограммировать флэш-память и заставить пользователя думать, что программное обеспечение является законным.В этом случае вы можете разрешить ненадежной ОС доступ к флэш-памяти.Если образ перезаписывается, безопасная загрузка завершится неудачно, и злоумышленник не сможет представить троянский образ.

Я что-то здесь упустил?

Если ваша система не работаетесли кто-то может остановить загрузку системы, вам нужно назначить контроллер флэш-памяти для защиты памяти и разрешить доступ к флэш-памяти только через контролируемые каналы между мирами.В этом проекте / требовании безопасная загрузка может не принести больших результатов, так как вы пытаетесь создать систему, чтобы не запускать несанкционированное программное обеспечение.

Возможно, это почти невозможно, если у злоумышленника есть физический доступ.Они могут разобрать устройство и перепрограммировать флэш-память, удалив внешнее программирование и переустановив чип.Кроме того, злоумышленник может заменить устройство каким-либо макетом троянского устройства, которое даже не имеет того же ЦП, но только внешний вид и похожее поведение.

---

Если первый случай приемлем (мошенникфлэш-перепрограммирование кода, но не загрузочное), тогда у вас есть проекты / требования, где код в памяти не может поставить под угрозу функциональность работающей системы.Т.е. вы можете не захотеть, чтобы этот код захватывал пароли и т. Д. Так что TrustZone и безопасная загрузка работают вместе во многих случаях.Вполне возможно найти модель, которая работает только с одной.Вероятно, чаще всего вам нужны оба, и вы не понимаете всех угроз.