Purism将为旗下Librem笔记本电脑加入高安全性启动程序PureBoot

计算机制造商Purism为自家笔记本电脑加入了新的系统启动程序PureBoot,这是一个集成众多软件,以安全开放为优先考量的高安全性开机程序。

Purism安全主管Kyle Rankin提到,不少黑客喜欢从计算机启动程序下手,因为可以进一步隐藏恶意程序而不被系统发现,虽然多数启动系统也提供了应有的防护,但许多厂商为了方便,使用软件签章密钥,限制只有供应商认证的启动软件才能执行,虽然保护了系统安全,但也限制了用户控制系统的能力。

而Purism要在不牺牲安全以及便利性的情况下,将这些控制权力还给用户,因此开发了PureBoot,这是一个综合多种技术的高安全启动程序,因为方便起见才以单一名字称呼,其实PureBoot包含了6大部分,Purism不只关闭了英特尔管理引擎(Intel Management Engine),置换BIOS成开源任体Coreboot,还使用可信任平台模块(Trusted Platform Module,TPM) ,并加入防篡改启动软件Heads,用户可以利用Librem USB安全密钥Librem Key多因素身份认证解锁磁盘。

Kyle Rankin表示,PureBoot可以防止多种类型的网络安全风险,像是笔记本电脑遭窃而使敏感数据曝光的风险,由于PureBoot默认加密系统,因此在首次启动时,用户就必须要设置密钥进行加密,而且Librem Key与LUKS磁盘加密集成,用户在首次设置完成后,之后只要插入Librem Key就能启动系统,并在出现提示时,输入用于GPG签章的Librem Key PIN码就能启动系统。

而对于BIOS恶意软件以及核心Rootkit攻击,PureBoot也能有效防范,用户只要插入Librem Key,通过上头闪烁的灯号就能知道系统安全状况。由于PureBoot启动从加载自由软件BIOS Coreboot开始,Kyle Rankin提到,黑客的恶意软件通常瞄准主流的专有BIOS,因此使用Coreboot已经可以避开多种攻击。

接着加载Heads防篡改启动程序,并使用TPM芯片比对BIOS,只要Librem Key闪烁绿灯,便表示BIOS安全没有遭到篡改,遭篡改则闪烁红灯。过去Heads仅在一小群的Beta测试计划中实行,由于效果卓越,因此现在对外公开,​​发布Heads公开测试版。

另外,存在于所有使用英特尔芯片计算机上的英特尔管理引擎,是英特尔用来初始化硬件的专有软件,在部分计算机上,还包含了允许IT人员通过网络远程访问计算机,审查屏幕内容并控制硬件的功能。由于英特尔管理引擎为闭源程序,外界无法对其安全漏洞或是复杂后门程序进行有效审核,而且网络安全公司Positive Technologies也发现多个管理引擎的安全漏洞,因此PureBoot采取多种手段对抗管理引擎的漏洞。

Purism选择使用不包含AMT功能的管理引擎芯片,并禁用英特尔管理引擎,不只如此,Purism还清除管理引擎大部分的程序代码,只留下一小块模块用来初始化硬件,并以TPM芯片以及Heads防篡改启动软件保护系统,免于遭受修改过的管理引擎攻击。

为了防止所用的硬件被厂商加入后门,Kyle Rankin表示,他们进一步保护供应链,并且向客户提供运送反拦截服务,Purism会向客户分开送出Librem Key以及笔记本电脑,当用客户收到两者时,便能使用Librem Key验证笔记本电脑是否遭到篡改。 PureBoot皆使用自由软件,用户可以随时进行审核和修改,Purism提到,他们将会在笔记本电脑中采用PureBoot,预计在2019年第二季上市。