Secure Boot
3. června 2024 uvedeme do výroby přepínače LAN-RING s FW 70, které mají rapidně zvýšenou úroveň zabezpečení. Firmware obsahuje mnoho vylepšení, včetně nového zavaděče se sadou nástrojů Secure Boot. Hlavním účelem nástrojů Secure Boot je obrana proti neautorizovanému nebo škodlivému softwaru, jako jsou rootkity a další malware, které se pokoušejí manipulovat s procesem zavádění systému. Toho je dosaženo ověřením digitálních podpisů klíčových zaváděcích komponent před jejich spuštěním.
Podpora Secure Boot
| Řada | Poznámka |
| LAN-RING - řada F | Podporováno ve všech přepínačích vyrobených od 1. června 2024. |
| LAN-RING - řada G | Podporováno |
| IPLOG - řada G | V 5/2024 pouze vybrané modely | Všechny modely do konce roku 2024 |
Jak funguje Secure Boot v přepínačích LAN-RING od FW 70
Všechny nové obrazy firmwaru, počínaje verzí 70, jsou digitálně podepsané a šifrované.
Aplikace SIMULand je rovněž podepsaná a obsahuje nejnovější firmware.
Obraz firmwaru se přenáší šifrovaným kanálem.
Pokud je obraz firmwaru přijat zařízením, je plně validován. Tato validace se skládá ze tří kroků:
Krok 1. Ověření před dešifrováním.
Krok 2. Dešifrování.
Krok 3. Ověření po dešifrování.
Po ověření se obraz uloží do vnitřní paměti FLASH.
Rozdíly mezi verzemi zavaděče
| RIZIKA | POUŽITÁ OPATŘENÍ | |
| FW70 |
||
| BOOTLOADER 4 | BOOTLOADER 5 | |
| Zastaralá nebo falešná verze SIMULandu | Aplikace je digitálně podepsána certifikátem, který je součástí certifikační autority. Aplikace automaticky kontroluje, zda je k dispozici nejnovější verze. |
|
| Změna firmwaru v počítači | Firmware je šifrovaný a digitálně podepsaný, což se automaticky kontroluje před aktualizací FW. | |
| Riziko "Man in the middle" | Přenášený firmware je šifrovaný a digitálně podepsaný. Jeho pravost se kontroluje během procesu dešifrování po přenosu do zařízení. |
|
| Výměna externí paměti Flash | Firmware je vždy kontrolován před zápisem do interní paměti flash. |
Firmware je vždy zkontrolován před zápisem do interní paměti flash. Při každém zapnutí/restartování zařízení se kontroluje obsah, aby se zajistilo, že část s použitým kódem nebyla změněna. |
| Spustitelný falešný kód v procesoru | - | Firmware se zavádí až po kontrole elektronického podpisu RSA-4096. |
| Modifikace zavaděče | Zavaděč demontovaného zařízení lze pouze odstranit. Vyžaduje to speciální nástroje. Odstranění zavaděče způsobí nefunkčnost zařízení. |
Zavaděč je digitálně podepsán (SHA512). Zavaděč rozebraného zařízení lze pouze odstranit. Vyžaduje speciální nástroje. Odstranění zavaděče způsobí nefunkčnost zařízení. |