SSD 已在小型個人計算機和超大規模數據中心(例如 Amazon Web Services、Microsoft Azure 和 Google Cloud Platform (GCP))中佔有一席之地。 SSD 用於存儲包含數万億機密文件和用戶數據的龐大數據庫。系統管理員希望 SSD 製造商幫助確保這些文件的安全。這就是群聯實施代碼簽名和圖像簽名的原因。
代碼簽名
代碼簽名是一種使用基於證書的數字簽名對軟件和程序進行簽名的方法,以確保代碼沒有被更改或損壞。此方法可幫助開發人員及其編寫的軟件確定某些代碼是否可信。
數字簽名
數字簽名驗證僅允許授權固件在設備上運行。它可以防止 SSD 因未經授權的固件升級而被黑客攻擊。
HSM(硬件安全模塊)
HSM 是一種物理計算設備,可保護和管理數字密鑰以進行強身份驗證並提供加密處理。 HSM 使用嚴格的安全認證標準:FIPS 140-2 Level 3 和通用標準 EAL4+。
FIPS 140-2 是美國政府計算機安全標準,用於批准加密模塊。它定義了四個安全級別:級別 1 是最低的安全級別,級別 4 提供最高的安全級別。
通用標準是計算機安全認證的國際標準。
基於RSA的代碼簽名流程:
-
- 通過 SHA256 和 PKCS 編碼方法生成固件摘要。
- 通過簽名者的私鑰和 RSA-2048 加密生成簽名。
- 將簽名和簽名者的公鑰合併到固件鏡像包中。
概括
代碼簽名是高安全性、政府、軍事和超大規模數據中心的一項強制性功能,可確保個人或機密信息免受後門黑客攻擊。
常見問題 (FAQ):
Phison 如何在它的 SSD 中實現程式碼簽章?
群聯 使用 RSA-2048 加密和 SHA256 雜湊演算法產生簽章韌體鏡像。該過程包括摘要生成、私鑰加密以及將簽名與公鑰合併到韌體鏡像包中。這確保了韌體在運行時能夠進行身份驗證。
Phison 的 HSM 符合哪些安全認證?
Phison 的 HSM 實施符合以下規定:
- FIPS 140-2 3級,美國政府的加密模組標準。
- 通用標準 EAL4+,IT產品安全認證的國際標準。
這些認證確保了最高水準的信任和合規性。
代碼簽名和數位簽名有什麼區別?
代碼簽名是指使用數位憑證保護韌體的整個過程。數位簽章是此過程中使用的特定加密機制,用於確認韌體來源的身份並驗證其完整性。它們共同確保了韌體的可信執行。
為什麼使用 RSA-2048 進行程式碼簽署而不是使用更短的金鑰長度?
RSA-2048 在安全性和效能之間實現了良好的平衡。它在企業安全策略中被廣泛接受,並能有效抵禦暴力攻擊。而像 RSA-1024 這樣的較短金鑰長度已不再被認為對關鍵系統安全。
代碼簽名如何防止未經授權的韌體更新?
在啟動或更新過程中,SSD 會根據儲存的公鑰檢查韌體的數位簽章。如果簽章不符或韌體被竄改,SSD 會拒絕該韌體。這可以防止駭客載入惡意韌體來竊取或破壞資料。
繁體中文 
English 
简体中文 
日本語 
Deutsch 
한국어