物联网引导加载程序技术的未来


许多专家预测,第二季度(Y2Q)——标志着商业上可行的量子计算机能够破解当今加密技术的那一天,比之前想象的要近得多。随着第二季度的临近,开发人员面临着部署可用于引导加载程序和其他关键操作的量子安全数字签名的挑战。

物联网引导加载程序技术的未来

当连接的设备打开时,无论是电话、汽车还是智能门铃,引导加载程序都会启动。这个简单但关键的过程会初始化设备硬件,验证固件,如果验证通过,则将固件加载到设备的内存中,启动使设备运行的事件序列。

作为设备启动时运行的第一个软件,引导加载程序在系统安全中起着至关重要的作用。如果引导加载程序遭到破坏,就会为不良行为者打开进入系统的大门。为了解决此漏洞,引导加载程序使用加密来验证固件的数字签名是否有效且可信。

对于黑客来说,破解或欺骗数字签名加密并获取系统访问权限将变得更加容易。人工智能和机器学习辅助下的量子计算的进步现在正威胁着破坏引导加载程序使用的加密。

将量子安全加密扩展到物联网

量子物联网设备对加密构成威胁,因为其提供的计算能力可以快速解决加密所依据的复杂数学算法,使黑客能够计算出保证加密算法安全的密钥。一旦获得密钥,黑客就可以解锁数据并破坏通过加密保护的系统。

传统物联网设备提供的功能已被证明能够破解某些级别的加密。作为回应,安全解决方案已转向更复杂的算法,生成更长的加密密钥。然而,这条路径会给PQC引导加载程序和其他需要快速处理且计算和内存资源有限的设备带来问题。

uLoadXLQ量子安全引导加载程序等设备通过提供基于轻量级后量子数字签名算法的加密协议来解决此问题,该算法具有签名小和验证快的特点。其允许快速验证通过抗量子加密保护的数字签名,确保只有授权的固件才会启动和安装。如果无法验证数字签名,则表明系统已被未经授权的实体访问,引导加载程序将关闭引导进程,以防止安装损坏的操作系统或未经授权的应用程序。

uLoadXLQ系统还使用由量子随机数生成的数字签名,因此密钥具有尽可能强的安全性。此功能使系统能够达到提供真正的抗量子加密所需的熵水平。有限熵是一个导致弱加密密钥和降低安全性的问题。

保护物联网引导加载程序的挑战

构成物联网(IoT)的超过140亿台设备通常依赖引导加载程序来支持其操作。这些设备通常通过庞大的网络共享敏感数据,但与计算机不同的是,这些设备通常运行在非常有限的资源上,因此需要轻量级安全性。

近年来,针对物联网设备的攻击急剧增加。根据网络安全统计数据,2021年12月,针对物联网设备的恶意软件攻击次数超过580万次。2022年12月,攻击次数突破1050万次。

通过在物联网设备上部署勒索软件,黑客可以接管设备的功能,锁定用户直至支付赎金。这可能包括控制智能恒温器或汽车中的计算机辅助系统。当在关键任务系统上发起勒索软件攻击时,例如交付或监管药物的系统,针对物联网设备的勒索软件攻击可能会造成极大的破坏。

物联网设备在企业界的使用创造了所谓的“影子物联网”。这是指未经IT部门批准或未应用增强安全措施而添加到组织网络的物联网设备,例如智能音箱或智能电视。这些设备随后成为组织网络安全的薄弱环节。

McKinsey&Company最近的一份报告将物联网设想为一种工具,可以极大地改善我们生活的几乎每个领域,但要实现这一愿景,需要物联网设备获得更大的公众信任。McKinsey表示,要做到这一点,必须克服物联网的网络安全漏洞。采用抗量子引导加载程序将是朝这个方向迈出的重要一步。

对引导加载程序安全性日益增长的需求

英国最近实施的针对电动汽车(EV)充电器的法规,说明了不安全的物联网引导加载程序带来的威胁。这些法规旨在保护需要连接到互联网的电动汽车充电器免受不良行为者的攻击。其规定,物联网设备包括安全启动技术和在安全受到威胁的情况下自动断开连接。

这些法规旨在解决黑客如何利用物联网漏洞访问支持充电器的网络的担忧。至少,攻击可能会导致电力或信用卡数据被盗。然而,安全专家也设想了黑客可以使用电动汽车充电器访问和关闭电网的场景。

Y2Q的持续发展,加上我们对物联网设备的日益依赖,预示着未来将面临前所未有的安全挑战。现在是时候部署确保后量子世界安全的工具了。