原文：eLinux.org
翻译：@lzz5235
校订：@lzufalcon

Bootloader 安全相关的资源

目录

• 1 概述
• 2 相关技术/项目主页
• 3 安全措施的提高
  • 3.1 可信计算集群 (TCG)
• 4 开源项目/邮件列表
  • 4.1 RedBoot/eCos
  • 4.2 U-Boot
  • 4.3 GRUB
  • 4.4 EtherBoot
• 5 其他资源

概述

本文主要包括 bootloaders 安全相关的信息。

相关技术/项目主页

• 安全
• 硬件安全相关的资源

安全措施的提高

目前系统由两种方式启动：

• 可信/认证下的启动: 仅仅是报告
• 安全启动: 系统启动期间可以被挂起

可信计算集群 (TCG)

TCG 是一套基于硬件的安全解决方案，不仅为 PC 平台打造，而且适用于嵌入式设备。为了理解 TCG， TCG 架构规格概述 这份文档不错，推荐看下。

使用可信平台模块（TPM ）安全芯片和写保护的启动代码，我们可以有效的实现可信启动。不幸的是，现有的 TPM 主要为 PC 平台设计，而且 TPM 需要 LPC 总线。 因此我们必须通过胶合逻辑（glue logic，连接复杂逻辑电路的简单逻辑电路的统称）来部署 TPM 到我们的系统中。 目前 Atmel(R) 平台已经发布了 TPM 芯片, AT97SC3201S 提供了 I2C/SMBus 接口。

开源项目/邮件列表

RedBoot/eCos

• RedBoot 是为嵌入式系统打造的一个完整引导程序环境，它基于 eCos 设计。在 RedBoot 之上做了很多安全增强。
• x86 平台下高健壮性的 Bootloader 提供具有二进制代码签名的功能。

U-Boot

项目站点：u-boot

GRUB

GRUB 是基于 PC 平台的 bootloader。下面有两个补丁可以使得 GRUB 具有可信启动的功能。

(这种情形，BIOS 必须支持 TCG 可信启动)

• University Bochum, Trusted Grub
• TrouSerS, GRUB TCG 补丁

GRUB 提供了密码特性，只有系统管理员才可以启动与系统的交互操作。

EtherBoot

EtherBoot 是一个软件包，用于创建 ROM 镜像，这些镜像能够通过以太网下载代码到 X86 机器上执行。 SafeBootMode 意味着任何 下载的 NBI 镜像都会被检查是否包含安全的数字签名，如果没有的话，用户 会收到警告。

其他资源

• W. A. Arbaugh , D. J. Farber , J. M. Smith, A secure and reliable bootstrap architecture, Proceedings of the 1997 IEEE Symposium on Security and Privacy, p.65, May 04-07, 1997
• 面向操作系统安全的 Bootloader
• Windows Vista 技术预览 - 安全启动

目录:

• 安全
• Bootloader