物聯(lián)網(wǎng)引導(dǎo)加載程序技術(shù)的未來

物聯(lián)網(wǎng)引導(dǎo)加載程序技術(shù)的未來

許多專家預(yù)測，第二季度(Y2Q)——標志著商業(yè)上可行的量子計算機能夠破解當今加密技術(shù)的那一天，比之前想象的要近得多。隨著第二季度的臨近，開發(fā)人員面臨著部署可用于引導(dǎo)加載程序和其他關(guān)鍵操作的量子安全數(shù)字簽名的挑戰(zhàn)。

當連接的設(shè)備打開時，無論是電話、汽車還是智能門鈴，引導(dǎo)加載程序都會啟動。這個簡單但關(guān)鍵的過程會初始化設(shè)備硬件，驗證固件，如果驗證通過，則將固件加載到設(shè)備的內(nèi)存中，啟動使設(shè)備運行的事件序列。

作為設(shè)備啟動時運行的第一個軟件，引導(dǎo)加載程序在系統(tǒng)安全中起著至關(guān)重要的作用。如果引導(dǎo)加載程序遭到破壞，就會為不良行為者打開進入系統(tǒng)的大門。為了解決此漏洞，引導(dǎo)加載程序使用加密來驗證固件的數(shù)字簽名是否有效且可信。

對于黑客來說，破解或欺騙數(shù)字簽名加密并獲取系統(tǒng)訪問權(quán)限將變得更加容易。人工智能和機器學(xué)習(xí)輔助下的量子計算的進步現(xiàn)在正威脅著破壞引導(dǎo)加載程序使用的加密。

將量子安全加密擴展到物聯(lián)網(wǎng)

量子物聯(lián)網(wǎng)設(shè)備對加密構(gòu)成威脅，因為其提供的計算能力可以快速解決加密所依據(jù)的復(fù)雜數(shù)學(xué)算法，使黑客能夠計算出保證加密算法安全的密鑰。一旦獲得密鑰，黑客就可以解鎖數(shù)據(jù)并破壞通過加密保護的系統(tǒng)。

傳統(tǒng)物聯(lián)網(wǎng)設(shè)備提供的功能已被證明能夠破解某些級別的加密。作為回應(yīng)，安全解決方案已轉(zhuǎn)向更復(fù)雜的算法，生成更長的加密密鑰。然而，這條路徑會給PQC引導(dǎo)加載程序和其他需要快速處理且計算和內(nèi)存資源有限的設(shè)備帶來問題。

uLoadXLQ量子安全引導(dǎo)加載程序等設(shè)備通過提供基于輕量級后量子數(shù)字簽名算法的加密協(xié)議來解決此問題，該算法具有簽名小和驗證快的特點。其允許快速驗證通過抗量子加密保護的數(shù)字簽名，確保只有授權(quán)的固件才會啟動和安裝。如果無法驗證數(shù)字簽名，則表明系統(tǒng)已被未經(jīng)授權(quán)的實體訪問，引導(dǎo)加載程序?qū)㈥P(guān)閉引導(dǎo)進程，以防止安裝損壞的操作系統(tǒng)或未經(jīng)授權(quán)的應(yīng)用程序。

uLoadXLQ系統(tǒng)還使用由量子隨機數(shù)生成的數(shù)字簽名，因此密鑰具有盡可能強的安全性。此功能使系統(tǒng)能夠達到提供真正的抗量子加密所需的熵水平。有限熵是一個導(dǎo)致弱加密密鑰和降低安全性的問題。

保護物聯(lián)網(wǎng)引導(dǎo)加載程序的挑戰(zhàn)

構(gòu)成物聯(lián)網(wǎng)(IoT)的超過140億臺設(shè)備通常依賴引導(dǎo)加載程序來支持其操作。這些設(shè)備通常通過龐大的網(wǎng)絡(luò)共享敏感數(shù)據(jù)，但與計算機不同的是，這些設(shè)備通常運行在非常有限的資源上，因此需要輕量級安全性。

近年來，針對物聯(lián)網(wǎng)設(shè)備的攻擊急劇增加。根據(jù)網(wǎng)絡(luò)安全統(tǒng)計數(shù)據(jù)，2021年12月，針對物聯(lián)網(wǎng)設(shè)備的惡意軟件攻擊次數(shù)超過580萬次。2022年12月，攻擊次數(shù)突破1050萬次。

通過在物聯(lián)網(wǎng)設(shè)備上部署勒索軟件，黑客可以接管設(shè)備的功能，鎖定用戶直至支付贖金。這可能包括控制智能恒溫器或汽車中的計算機輔助系統(tǒng)。當在關(guān)鍵任務(wù)系統(tǒng)上發(fā)起勒索軟件攻擊時，例如交付或監(jiān)管藥物的系統(tǒng)，針對物聯(lián)網(wǎng)設(shè)備的勒索軟件攻擊可能會造成極大的破壞。

物聯(lián)網(wǎng)設(shè)備在企業(yè)界的使用創(chuàng)造了所謂的“影子物聯(lián)網(wǎng)”。這是指未經(jīng)IT部門批準或未應(yīng)用增強安全措施而添加到組織網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備，例如智能音箱或智能電視。這些設(shè)備隨后成為組織網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。

McKinsey&Company最近的一份報告將物聯(lián)網(wǎng)設(shè)想為一種工具，可以極大地改善我們生活的幾乎每個領(lǐng)域，但要實現(xiàn)這一愿景，需要物聯(lián)網(wǎng)設(shè)備獲得更大的公眾信任。McKinsey表示，要做到這一點，必須克服物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全漏洞。采用抗量子引導(dǎo)加載程序?qū)⑹浅@個方向邁出的重要一步。

對引導(dǎo)加載程序安全性日益增長的需求

英國最近實施的針對電動汽車(EV)充電器的法規(guī)，說明了不安全的物聯(lián)網(wǎng)引導(dǎo)加載程序帶來的威脅。這些法規(guī)旨在保護需要連接到互聯(lián)網(wǎng)的電動汽車充電器免受不良行為者的攻擊。其規(guī)定，物聯(lián)網(wǎng)設(shè)備包括安全啟動技術(shù)和在安全受到威脅的情況下自動斷開連接。

這些法規(guī)旨在解決黑客如何利用物聯(lián)網(wǎng)漏洞訪問支持充電器的網(wǎng)絡(luò)的擔(dān)憂。至少，攻擊可能會導(dǎo)致電力或信用卡數(shù)據(jù)被盜。然而，安全專家也設(shè)想了黑客可以使用電動汽車充電器訪問和關(guān)閉電網(wǎng)的場景。

Y2Q的持續(xù)發(fā)展，加上我們對物聯(lián)網(wǎng)設(shè)備的日益依賴，預(yù)示著未來將面臨前所未有的安全挑戰(zhàn)?，F(xiàn)在是時候部署確保后量子世界安全的工具了。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。