Secure Boot漏洞PKfail影响广泛引发安全担忧

严重的供应链故障损害了各种计算设备(包括 ATM、销售点终端和投票机)的 Secure Boot 保护。据报道,这个安全问题(称为 PKfail)涉及在生产系统中使用非生产测试平台密钥,这些密钥仅用于测试目的,并清楚地标有警告,例如“DO NOT TRUST”。这些密钥从未打算用于生产环境中。

该问题影响了 Acer、Dell、Intel、HP、Lenovo 等主要制造商的数百种设备型号。Secure Boot 是一项行业标准,旨在确保只有受信任的软件才能在设备的启动过程中加载,并使用加密密钥作为信任根锚点。但是,使用这些测试平台密钥会破坏整个安全链,因为它们的私有部分在行业内广为人知。

这场灾难凸显了供应链和质量控制流程中的严重失误,引发了人们对严重依赖 Secure Boot 保护的关键系统安全性的担忧。该问题的严重程度表明,存在普遍的漏洞,可能对许多行业的网络安全产生深远影响。来源