Hardware -Einschränkung

A Hardware -Einschränkung (manchmal genannt Hardware DRM)[1] ist ein niedriger Schutz, der durch erzwungen wird durch elektronische Bauteile. Das Hardware -Beschränkungsschema kann vor physischen oder Malware -Angriffen schützen oder a ergänzen a Management von Digitalen Rechten System implementiert in Software. Einige Beispiele für Hardware -Restriktionsinformationsgeräte sind Appliances Videospielkonsolen, Smartphones,[2] Tablet -Computer, Macintosh Computers[3] und persönliche Computer das implementieren Sicherer Startvorgang.

Fälle von Hardwarebeschränkungen

Aktualisierbare Prozessoren

Einige Intel -Prozessoren werden mit einigen Funktionen "gesperrt" verkauft, die später sein können entsperrt nach Bezahlung.[4][5]

Beachten Sie, dass dies nicht nur für Intel ist. Einige Modelle von IBM's System/370 Hauptrechner Hätte zusätzliche Hardware enthalten, dass IBM, wenn der Kunde die zusätzliche Gebühr bezahlte, einen Service -Ingenieur aussenden würde, um ihn zu aktivieren, normalerweise durch Schneiden eines Widerstandes in der Maschine.

Vertrauenswürdige Ausführungsumgebung

Hauptartikel: Vertrauenswürdige Ausführungsumgebung

Der Verkäufer nutzt seine privilegierte Position als Hersteller von Geräten aus und setzt in das Gerät ein und unabdrückbarer privater Schlüssel, der in einer eigenen Datenbank an den öffentlichen Schlüssel gekoppelt ist, und als Hash von eigenem öffentlichen Schlüssel. Der Anbieter fügt dem Gerät außerdem einen privilegierten Modus hinzu, der die darin verarbeiteten Daten (einschließlich Programmcode) vor OS und Hardware über die Verschlüsselung des Speichers schützen kann. Der Anbieter fügt einen zusätzlichen privilegierten Modus hinzu, in dem Software in diesem Modus ausgeführt wird, um den Zugriff auf andere Software in diesen Modus und die darin gespeicherten Geheimnisse zu steuern, und beschränkt diesen Modus nur auf die von einem eigene öffentliche Schlüssel signierte Software. Der Anbieter implementiert die Software, die den Zugriff auf diesen Modus nur für die unterschriebenen Unternehmensvereinbarungen für den Anbieter und die Kontrolle des Zugriffs auf die Daten implementiert, indem er einen Beweis dafür erstellt außer dem Verkäufer. Anschließend verkauft ein Anbieter Zugriff auf die Nutzung dieses Modus in Geräten von Verbrauchern an Parteien, die an der Entbehrung der Eigentümer des Eigentümers der Geräte interessiert sind. Diese Parteien implementieren eigene Software als 2 (oder mehr) Module und versenden sie an Benutzerautomaten. Generisches Modul lädt ein vertrauenswürdiges Modul und fordert eine vertrauenswürdige, privilegierte Anbieter -Software, um den Schutz zu aktivieren und den kryptografischen Beweis zu erstellen, dass Entwicklersoftware in dem Bundesstaat steht, den es beabsichtigt und nicht durch eine andere Software ersetzt wird. Das generische Modul sendet diesen Beweis über das Netzwerk an seinen Entwickler, der den Beweis überprüft. Manchmal kann dies mit dem Internetdienst des Anbieters erfolgen. Dann sendet der Entwickler entweder die Daten, auf die er Computerbesitzer zugreifen möchte. Der Hardware -Anbieter selbst kann Zugriff auf die Daten haben, indem eine geänderte Version des privilegierten Software -steuerungsrechtlichen Zugriffs ausgestellt wird, sodass sie gefälschte Beweise erstellen können, oder wenn die Überprüfungen des Nachweises mithilfe des Internetdienstes durchgeführt werden, um den Dienst zu ändern, um fälschlicherweise zu behaupten, dass ein Beweis fälschlicherweise behauptet, ein Beweis sei gültig. Daten in T -Shirts können auch zugegriffen werden, um verschiedene Seitenkanäle auszunutzen oder einen bestimmten Chip zu reversen und den Schlüssel zu extrahieren, falls dies möglich ist, aber viel kostet. Die auf diese Weise verarbeiteten Daten sollten also einen geringeren Wert haben, z. B. Malware und proprietäre Inhalte. Da einige Anbieter T-Shirts deaktivieren, wenn Systemfirmware manipuliert wird (manchmal dauerhaft ein Chip durch Blasen eines E-Fuses), kann die Verwendung von TEE-Proofs von Software- und Serviceanbietern eingesetzt werden Gerät auch wenn die Software selbst T -Shirt zum Speichern von Geheimnissen nicht verwendet.

Intel Insider

Hauptartikel: Intel HD Graphics § Intel Insider

Intel Insider, eine Technologie, die einen "geschützten Weg" für digitale Inhalte bietet,[6] kann als Form von DRM angesehen werden.[7][8][9]

Verifiziert/vertrauenswürdiger Boot

Siehe auch: Unified Extensible Firmware -Schnittstelle § Secure Boot

Einige Geräte implementieren eine Funktion namens "verifiziert", "Trusted Boot" oder "Secure Boot", mit der nur die signierte Software auf dem Gerät ausgeführt werden kann, normalerweise vom Gerätehersteller. Dies wird als Einschränkung angesehen, es sei denn, Benutzer haben entweder die Möglichkeit, sie zu deaktivieren oder die Software zu unterschreiben.

Android -Geräte

Viele modern Android Geräte wie z. Huawei[10] und Nokia[11] Telefone kommen mit dem Bootloader gesperrt.

Apfelgeräte

Siehe auch: Shsh Blob, iOS Jailbreak, und Cydia § iOS "Signatur" -Feature

Äpfel iOS Geräte (iPhone, iPad, IPod Touch, und Apple TV) benötigen Unterschriften zum Firmware Die Installation soll überprüfen, ob nur die neueste offizielle Firmware auf diesen Geräten installiert werden kann. Die offizielle Firmware ermöglicht die Installation von Software von Drittanbietern nur aus der Appstore.

Macs Ausgestattet mit einem T2 -Sicherheitschip sind auch mit sicherem Stiefel ausgestattet, um sicherzustellen, dass nur vertrauenswürdige Versionen von Apple's Mac OS und Microsoft Fenster Betriebssysteme, die sich auf den sicheren Boot unterstützen, können beginnen.

Tivo

Hauptartikel: Tivoisierung

Wenn ein Gerät nur von dem Hardwareanbieter genehmigte Software ausführt, und nur eine bestimmte Version von a gratis Software Das Programm darf auf dem Gerät ausgeführt werden. Der Benutzer kann die Rechte, die er theoretisch haben, nicht ausüben, da er keine geänderten Versionen installieren kann.

OLPC

Ein weiterer Fall eines vertrauenswürdigen Starts ist der Ein Laptop pro Kind XO-Laptop, das nur von einer von einem privaten kryptografischen Schlüssel unterzeichneten Software startet, die nur der gemeinnützigen Organisation der OLPC und den jeweiligen Bereitstellungsbehörden wie Bildungsministerien bekannt ist. Laptops, die direkt von der OLPC -Organisation verteilt werden, bieten eine Möglichkeit, die Einschränkungen zu deaktivieren, indem Sie eine "Anfordern eines"Entwicklerschlüssel"Einzigartig für diesen Laptop, über das Internet, wartet 24 Stunden darauf, ihn zu erhalten, zu installieren und den Firmware-Befehl" Disable-Security "auszuführen. Einige Bereitstellungen wie Uruguay jedoch[12] Beantragen Sie Anfragen nach solchen Schlüssel. Das angegebene Ziel ist es, den Massendiebstahl von Laptops von Kindern oder über Verteilungskanäle zu verhindern, indem die Laptops sich weigern, sie zu starten, um sie neu zu programmieren, damit sie die Ausgabe von Entwicklerschlüssel verspätet, um Zeit zu überprüfen, um zu prüfen, ob ein Schlüssel ein Schlüssel ist -Requesting Laptop war gestohlen worden.

Sicherer Startvorgang

Siehe auch: Sicherheit und Sicherheit in Windows 8

Zertifiziert Windows 8 Hardware erfordert einen sicheren Start. Kurz nachdem das Feature im September 2011 bekannt gegeben worden war, verursachte dies weit verbreitete Angst, alternative Betriebssysteme zu sperren.[13][14][15][16] Im Januar 2012 bestätigte Microsoft, dass Hardware -Hersteller auf Windows 8 -Geräten einen sicheren Boot ermöglichen würden, und das x86/64 Geräte müssen die Möglichkeit bieten, es während der Zeit auszuschalten ARM-Basierte Geräte dürfen nicht die Möglichkeit bieten, es auszuschalten.[17] Laut Glyn Moody scheint dieser "Ansatz es bei Computerworld zu sein, es schwierig zu machen, wenn nicht unmöglich zu installieren Linux auf Hardwaresystemen zertifiziert für Windows 8".[17] Die Realität hat gezeigt, dass auf X86_64 -Plattformen sichergestellt wird, dass sich Secure Boot als verfügbares Boot nicht mehr als Linux installiert und die meisten Verteilungen unterstützt hat, um das System gegen Angriffe zu härten.[18][19][20][21]

Solaris verifizierte Boot

Oracle Solaris 11.2 verfügt über eine verifizierte Boot -Funktion, die die Signaturen des Boot -Blocks und des Kernel -Module überprüft. Standardmäßig ist es deaktiviert. Wenn es aktiviert ist, kann er auf den "Warnmodus" eingestellt werden, in dem nur eine Warnmeldung bei Signaturfehlern oder zum "Durchsetzung" des Moduls, in dem das Modul nicht geladen wird, angemeldet ist. Der Befehl Solaris ElfSign (1) fügt eine Signatur in Kernelmodule ein. Alle von Oracle verteilten Kernelmodule haben eine Signatur. Kernelmodule von Drittanbietern sind zulässig, sofern das öffentliche Schlüsselzertifikat in der Firmware installiert ist (um a Vertrauenswurzel).[22]

Siehe auch

Verweise

  1. ^ http://www.hpl.hp.com/techreports//2003/hpl-2003-110.pdf Archiviert 2015-09-24 bei der Wayback -Maschine HP Laboratorien
  2. ^ Stross, Randall (14. Januar 2007). "Willst du ein iPhone? Vorsicht vor den iHandcuffs". Die New York Times. Archiviert vom Original am 2016-11-01. Abgerufen 2017-02-22.
  3. ^ "Apple bringt HDCP in ein neues Aluminium -MacBook in Ihrer Nähe". arstechnica.com. 17. November 2008.
  4. ^ "Intel möchte 50 US -Dollar für das Entsperren von Sachen berechnen, die Ihre CPU bereits tun kann.". Engadget.com. Archiviert vom Original am 2017-07-21. Abgerufen 2017-08-29.
  5. ^ "Intel + DRM: Ein verkrüppelter Prozessor, den Sie zusätzlich bezahlen müssen, um das Boing zu entsperren / Boing". boingboing.net. 18. September 2010. Archiviert vom Original am 2011-08-25. Abgerufen 2011-07-12.
  6. ^ Shah, Agam (6. Januar 2011). "Intel: Sandy Bridge's Insider ist nicht DRM". Computerworld.com. Archiviert vom Original am 2011-12-04. Abgerufen 2011-07-12.
  7. ^ "Intel behauptet, DRM'd Chip sei kein DRM, es ist nur Kopierschutz". Techdirt.com. Archiviert vom Original am 2011-12-25. Abgerufen 2011-07-12.
  8. ^ "Ist Intel Insider Code für DRM in Sandy Bridge?". pcmag.com. Archiviert vom Original am 2017-02-10. Abgerufen 2017-08-29.
  9. ^ "Intels sandige Brücke saugt Hollywood mit DRM - TheInquirer" auf Hollywood ". thinquirer.net. Archiviert vom Original am 2011-06-15. Abgerufen 2011-07-12.{{}}: CS1 Wartung: Ungeeignete URL (Link)
  10. ^ "Huawei wird aufhören, den Bootloader -Entsperren für alle neuen Geräte bereitzustellen". XDA-Entwickler. 2018-05-24. Abgerufen 2020-03-20.
  11. ^ "August Security -Update auf Nokia Phones Blocks Bootloader -Entsperrmethoden". XDA-Entwickler. 2018-08-22. Abgerufen 2020-03-20.
  12. ^ "[Sugar-Devel] verstößt das Projekt Ceibal gegen die GNU General Public Lizenz?". lists.sugarlabs.org. Archiviert vom Original am 2016-03-03. Abgerufen 2016-09-24.
  13. ^ Hacking; Sicherheit; Cyberkriminalität; Verletzlichkeit; Malware; Lacoon, Check Point schnappt mobiles Sicherheits -Outfit. Benutzer, gefälschte Pirate Bay Site drückt das Bankgeschäft Trojaner zu WordPress. Libanon, Mystery 'Explosive' Cyber-Spy-Kampagne, zurückgespannt. "Windows 8 Secure Boot würde 'Linux' ausschließen". Das Register. Archiviert vom Original am 2016-07-11. Abgerufen 2016-09-24.
  14. ^ "Windows 8 Secure Boot könnte Linux -Installationen komplizieren". arstechnica.com. 21. September 2011. Archiviert vom Original am 2012-05-01. Abgerufen 2017-06-14.
  15. ^ "Windows 8 Secure Start, um Linux zu blockieren". ZDNET. Archiviert von das Original Am 2011-09-23. Abgerufen 2011-09-28.
  16. ^ Mitarbeiter, Osnews. "Windows 8 erfordert einen sicheren Start, kann andere Software behindern". www.osnews.com. Archiviert vom Original am 2016-09-27. Abgerufen 2016-09-24.
  17. ^ a b Blockiert Microsoft Linux -Booten auf ARM -Hardware? - Öffnen Sie Enterprise Archiviert 2012-03-09 bei der Wayback -Maschine
  18. ^ Howtos/uefi - centos wiki
  19. ^ Larabel, Michael (30. April 2018). "Debian machen Fortschritte bei der UEFI SecureBoot -Unterstützung im Jahr 2018". Phoronix. Phoronix Media. Abgerufen 23. Mai 2018.
  20. ^ Garrett, Matthew (27. Dezember 2012). "Secure Boot Distribution Support". Mjg59.dreamwidth.org. Abgerufen 20. März 2014.
  21. ^ "Sicherer Startvorgang". Freebsd Wiki. Freebsd. Abgerufen 16. Juni 2015.
  22. ^ Anderson, Dan. "Solaris verifizierte Boot". Oracle.com. Archiviert vom Original am 2014-05-02. Abgerufen 2014-05-01.

Externe Links