SSD は、小規模パーソナル コンピューターと、アマゾン ウェブ サービス、Microsoft Azure、Google Cloud Platform (GCP) などのハイパースケール データセンターの両方で定着しています。 SSD は、何兆もの機密ファイルやユーザー データを含む巨大なデータベースを保存するために使用されます。システム管理者は、これらのファイルを安全に保つために SSD メーカーの支援を求めています。これが、Phison がコード署名とイメージ署名を実装した理由です。
コード署名
コード署名は、証明書ベースのデジタル署名を使用してソフトウェアやプログラムに署名し、コードが変更または破損していないことを確認する方法です。この方法は、開発者と開発者が作成したソフトウェアが、一部のコードが信頼できるかどうかを判断するのに役立ちます。
デジタル署名
デジタル署名の検証では、承認されたファームウェアのみがデバイス上で実行できます。不正なファームウェアのアップグレードによる SSD のハッキングを防ぎます。
HSM (ハードウェア セキュリティ モジュール)
HSM は、強力な認証のためにデジタル キーを保護および管理し、暗号化処理を提供する物理コンピューティング デバイスです。 HSM は、FIPS 140-2 レベル 3 および共通基準 EAL4+ という厳格なセキュリティ認定標準を使用します。
FIPS 140-2 は、暗号化モジュールの承認に使用される米国政府のコンピュータ セキュリティ標準です。 4 つのセキュリティ レベルが定義されています。レベル 1 は最低のセキュリティ レベルで、レベル 4 は最高レベルのセキュリティを提供します。
Common Criteria は、コンピューター セキュリティ認証の国際標準です。
RSA ベースのコード署名フロー:
-
- SHA256 および PKCS エンコード方式を介してファームウェア ダイジェストを生成します。
- 署名者の秘密キーと RSA-2048 暗号化を使用して署名を生成します。
- 署名と署名者の公開キーをファームウェア イメージ パケットにマージします。
まとめ
コード署名は、個人情報や機密情報がバックドア ハッキングから確実に保護されるようにするため、高セキュリティ、政府、軍、および超大規模データ センターにとって必須の機能です。
よくある質問(FAQ):
Phison は SSD にコード署名をどのように実装していますか?
ファイソン RSA-2048暗号化とSHA256ハッシュを用いて署名付きファームウェアイメージを生成します。このプロセスには、ダイジェスト生成、秘密鍵の暗号化、そして公開鍵と署名のファームウェアイメージパケットへの統合が含まれます。これにより、ファームウェアの実行時に認証が可能になります。
Phison の HSM はどのようなセキュリティ認証を満たしていますか?
Phison の HSM 実装は以下に準拠しています。
- FIPS 140-2 レベル 3、暗号モジュールに関する米国政府標準。
- コモンクライテリアEAL4+IT 製品セキュリティ認証の国際標準です。
これらの認証により、最高レベルの信頼性とコンプライアンスが保証されます。
コード署名とデジタル署名の違いは何ですか?
コード署名とは、デジタル証明書を用いてファームウェアを保護するプロセス全体を指します。デジタル署名は、このプロセスにおいてファームウェアのソースのIDを確認し、その整合性を検証するために使用される特定の暗号化メカニズムです。これらを組み合わせることで、信頼できるファームウェアの実行が保証されます。
コード署名に、より短いキー長ではなく RSA-2048 が使用されるのはなぜですか?
RSA-2048は、セキュリティとパフォーマンスのバランスに優れています。企業のセキュリティポリシーで広く採用されており、ブルートフォース攻撃に対する十分な保護を提供します。RSA-1024のような短い鍵長は、重要なシステムにとってもはや安全とは考えられていません。
コード署名はどのようにして不正なファームウェア更新を防ぐのでしょうか?
起動またはアップデートプロセス中、SSDはファームウェアのデジタル署名を保存されている公開鍵と照合します。署名が一致しない場合、またはファームウェアが改ざんされている場合、SSDはそのファームウェアを拒否します。これにより、ハッカーが不正なファームウェアをロードしてデータを盗んだり破壊したりするのを防ぎます。
日本語 
English 
繁體中文 
简体中文 
Deutsch 
한국어