作者：Pete Popov Konsulko集团CEO

嵌入式系统广泛应用于无数行业，助力从消费科技到医疗设备及汽车工业等领域实现转型。如今这些系统执行着影响安全、运营效率和用户信心的复杂功能。

尽管功能增强为众多行业带来突破性进展，但也扩大了攻击面，使嵌入式人工智能设备更易遭受网络攻击。网络犯罪分子瞄准这些设备窃取知识产权或植入恶意代码以篡改系统运行。

嵌入式系统的安全启动为底层固件和软件构建了基础保障。若加密密钥管理存在缺陷，将对安全启动流程构成重大威胁——攻击者可能绕过安全启动机制植入未经授权的固件。使用静态长期密钥会形成可预测的漏洞，其危害不仅限于数据泄露，更可能危及设备安全与可靠性。

制造商必须评估密钥管理不足带来的具体风险，并制定有效策略防范这些漏洞。

安全启动中弱密钥管理的风险

启动密钥管理是创建加密密钥以确保系统启动过程中软件真实性和完整性的关键环节，其作用在于防止系统在启动前遭破坏。该机制若实施得当，将成为抵御各类攻击的第一道防线。一旦密钥遭破坏或泄露，攻击者便可绕过安全启动机制植入恶意固件。

专为感染系统引导程序或启动流程设计的恶意软件“启动套件”（Bootkits），可对系统构成致命威胁。通过破坏早期系统组件，此类恶意软件能以最高权限运行并规避传统安全防护。谷歌威胁情报组指出，启动套件正成为当前安全趋势中的难测威胁。 近期报告披露，数百万Windows 11用户因安全启动漏洞面临风险，恶意行为者可借此完全禁用安全启动功能。

若维护安全启动流程的加密密钥管理不当，网络犯罪分子便可利用漏洞绕过防护机制。静态长期密钥为攻击者提供了可预测的攻击目标，大幅增加系统级安全漏洞风险。静态密钥仅生成一次，却在产品生命周期内反复使用，这为网络犯罪分子提供了可预测的攻击路径。 

在安全关键型环境中，嵌入式系统的篡改可能导致关键基础设施组织全面瘫痪。美国网络安全与基础设施安全局报告建议关键基础设施组织审计系统启动时可能加载的早期配置，确保启动阶段不会加载存在漏洞的代码。此类审计有助于识别密钥配置或固件验证流程中的弱点，这些弱点可能危及设备完整性。 

嵌入式系统制造商的最佳实践 

首要防御措施是实施硬件信任根。根据架构不同，可通过特定平台的安全元件或可信平台模块（TPM）实现。TPM在x86架构系统中可用于密钥管理和安全启动，而NVIDIA等其他系统级芯片（SoC）可能自带集成安全启动基础设施。

关键挑战在于防止密钥泄露。加密密钥可能因软件缺陷、密钥管理不当甚至物理接触而暴露给未经授权的用户。制造商可通过硬件安全模块（HSM）防范密钥泄露。此类HSM设备具备防篡改特性与强化防护能力，旨在保障加密流程安全，可安全生成、存储并管理密钥的全生命周期。

制造过程中的安全配置是另一脆弱环节。若密钥在此阶段遭篡改，攻击者可能在设备部署前就获得访问权限。制造商应实施加密密钥注入、认证供应链渠道及访问控制等安全配置流程，确保未经授权者无法获取密钥。当供应链涉及多家供应商时，此项措施尤为关键。

为最大限度降低暴露风险，制造商应采用安全的生命周期密钥轮换策略来更新加密密钥。尽管受硬件限制，安全启动密钥无法频繁轮换，但应在出现合理机会时及时更新密钥。

制造商可部署自动化系统按设定周期轮换密钥，并利用密钥派生函数生成新密钥，避免将基础密钥暴露于外部环境。此举可降低长期使用密钥带来的风险。

即便采取全面安全措施，系统仍可能遭入侵，某些情况下需启用密钥撤销机制。部分SoC的可信启动密钥在制造时被熔接，无法通过物理访问以外的方式替换。但制造商可设计支持密钥撤销列表（KRL）的设备，当密钥可信度丧失时该列表将作为封锁清单生效。另一方案是构建次级验证链，在无需修改硬件的前提下禁用遭破坏的密钥。

构建安全嵌入式系统

安全启动流程与强健密钥管理构筑了可信供应链的基础。重视安全措施的制造商能提升产品可靠性、安全性及用户信任度。随着网络犯罪手段日益复杂化，不法分子正试图通过各种途径操控或入侵系统，坚持严格的安全实践将形成显著的竞争优势。

监管压力可能持续增大，使强健的密钥管理不仅成为最佳实践，更成为合规必需。投资安全启动流程的制造商不仅能保护设备，更能确保产品符合所有监管要求。（译自Embedded Computing  Design）