SSD 已在小型个人计算机和超大规模数据中心(例如 Amazon Web Services、Microsoft Azure 和 Google Cloud Platform (GCP))中占有一席之地。 SSD 用于存储包含数万亿机密文件和用户数据的庞大数据库。系统管理员希望 SSD 制造商帮助确保这些文件的安全。这就是群联实施代码签名和图像签名的原因。
代码签名
代码签名是一种使用基于证书的数字签名对软件和程序进行签名的方法,以确保代码没有被更改或损坏。此方法可帮助开发人员及其编写的软件确定某些代码是否可信。
数字签名
数字签名验证仅允许授权固件在设备上运行。它可以防止 SSD 因未经授权的固件升级而被黑客攻击。
HSM(硬件安全模块)
HSM 是一种物理计算设备,可保护和管理数字密钥以进行强身份验证并提供加密处理。 HSM 使用严格的安全认证标准:FIPS 140-2 Level 3 和通用标准 EAL4+。
FIPS 140-2 是美国政府计算机安全标准,用于批准加密模块。它定义了四个安全级别:级别 1 是最低的安全级别,级别 4 提供最高的安全级别。
通用标准是计算机安全认证的国际标准。
基于RSA的代码签名流程:
-
- 通过 SHA256 和 PKCS 编码方法生成固件摘要。
- 通过签名者的私钥和 RSA-2048 加密生成签名。
- 将签名和签名者的公钥合并到固件镜像包中。
概括
代码签名是高安全性、政府、军事和超大规模数据中心的一项强制性功能,可确保个人或机密信息免受后门黑客攻击。
常见问题 (FAQ):
Phison 如何在它的 SSD 中实现代码签名?
群联 使用 RSA-2048 加密和 SHA256 哈希算法生成签名固件镜像。该过程包括摘要生成、私钥加密以及将签名与公钥合并到固件镜像包中。这确保了固件在运行时能够被验证。
Phison 的 HSM 符合哪些安全认证?
Phison 的 HSM 实施符合以下规定:
- FIPS 140-2 3级,美国政府的加密模块标准。
- 通用标准 EAL4+,IT产品安全认证的国际标准。
这些认证确保了最高水平的信任和合规性。
代码签名和数字签名有什么区别?
代码签名是指使用数字证书保护固件的整个过程。数字签名是此过程中使用的一种特定加密机制,用于确认固件源的身份并验证其完整性。它们共同确保了固件的可信执行。
为什么使用 RSA-2048 进行代码签名而不是使用更短的密钥长度?
RSA-2048 在安全性和性能之间实现了良好的平衡。它在企业安全策略中被广泛接受,并能有效抵御暴力攻击。而像 RSA-1024 这样的较短密钥长度已不再被认为对关键系统安全。
代码签名如何防止未经授权的固件更新?
在启动或更新过程中,SSD 会根据存储的公钥检查固件的数字签名。如果签名不匹配或固件被篡改,SSD 会拒绝该固件。这可以防止黑客加载恶意固件来窃取或破坏数据。
简体中文 
English 
繁體中文 
日本語 
Deutsch 
한국어