4月10日、11日,2013年英特尔信息技术峰会(IDF)在北京国家会议中心举行,本次IDF的主题为“未来,用‘芯’体验”,这意味着英特尔将继续以用户体验为核心,立足英特尔“芯”架构,扩大和深化产业合作,全面推动计算技术创新、芯片制造创新、应用体验创新、终端形态创新和云端智能创新。会上,来自全球各地的技术公司及数千名软硬件开发人员、技术管理人员、媒体和分析师共聚北京,一起体验最新技术进展及探讨未来计算的创新趋势。敬请关注DOIT全程直播报道!
在11日下午的分会场中,英特尔软件架构师龙勤做了《UEFI固件增强Linux安全性并带来全新优势》的技术课程报告,课程演讲中主要介绍了针对Linux的UEFI注意事项,针对企业系统的安全启动,以及安全启动的实现与工具。
越来越多恶意软件开始以启动路径为攻击目标,通常情况下,唯一的解决办法是重新安装操作系统,启动过程中,所有的固件和软件必须由可信的证书权威进行签名,利用固件策略对OS加载程序、Option Cards等进行验证,为用户提供一种组织外部入侵的系统保护方式。
用户可以通过金庸UEFI安全启动Linux的安装,但这并非最佳部署方案,当其他操作系统已经启用UEFI安全启动时,用户必须有一个其他方案继续安全Linux.。
如果满足下列条件,Linux亦可收益于UEFI安全启动技术
1. 客户能够在无需金庸该功能情况下安装Linux
2. 平台所有者能够设置安全策略并定制系统
企业已经准备好安全启动技术
UEFI启动针对企业用户,具有诸多优势,可支持大容量磁盘,支持复杂的分区结构,包括IPv6的内的丰富的网络支持,更好地支持PXE预装和iSCSI启动,更好的错误报告与管理工具。
强化系统启动的好处是明显的,但是,要记住,一个具有足够安全性保护,可信赖的企业用户产品,从固件开始一直延续到Linux的启动过程中,都需要选择有限考虑安全性的合作伙伴。
UEFI提供一个针对固件更新的UpdateCapsule接口,期待OS厂商在2013年增加这一重要功能,内嵌与Linux,用户不必自行编译。也期待针对UEFI扩展卡进行国建更新的工具。
UEFI/安全启动实现
UEFI安全启动使启动过程更安全,针对UEFI安全启动,生态系统已然就绪,基于已有的不同方案,Linux发行版必须确定如何实现安全启动,Ubuntu支持UEFI安全启动,同时还提供支持自动化固件测试的FWTS套件。
