ブート整合性の可視性について
ブート整合性の可視性によって、シスコのプラットフォーム ID とソフトウェアの整合性情報が可視化され、実用可能になります。プラットフォーム ID は、プラットフォームの製造元でインストールされた ID を提供します。ソフトウェアの整合性ではブート整合性の測定値が明らかになり、それを使用してプラットフォームが信頼できるコードを起動しているかどうかを評価できます。
ブートプロセス中に、ソフトウェアはブートローダー アクティビティの各ステージのチェックサムレコードを作成します。
このレコードを取得して、シスコ認定レコードと比較し、ソフトウェア イメージが正規かどうかを確認できます。チェックサム値が一致していない場合は、シスコによって認定されていない、または未承認パーティによって改ざんされているソフトウェア イメージを実行している可能性があります。
イメージ署名とブートアップ
シスコの構築したサーバーが Cisco IOS XE イメージを生成します。Cisco IOS XE イメージの場合、Abraxas イメージ署名システムを使用して、シスコの秘密 RSA キーでイメージに安全に署名できます。
Cisco IOS XE イメージを Catalyst 9000 シリーズ スイッチにコピーすると、シスコの ROMMON ブート ROM がシスコのリリースキーを使用してイメージを検証します。これらのキーは、Abraxas サーバーに安全に保存されているシスコのリリース秘密キーに対応する公開キーです。リリース秘密キーは ROMMON に保存されます。
Catalyst 9000 シリーズ スイッチは、ブート整合性の可視性機能をサポートしています。ブート整合性の可視性は、ROMMON ソフトウェアが改ざんされていないことを確認するために、ROMMON ソフトウェアを検証するハードウェア トラスト アンカーとして機能します。
Cisco IOS XE イメージは、構築時にデジタル署名されます。バイナリイメージファイル全体に対して SHA-512 ハッシュが生成され、このハッシュがシスコの RSA 2048 ビット秘密キーで暗号化されます。ROMMON は、シスコの公開キーを使用して署名を検証します。このソフトウェアがシスコの構築したシステムによって生成されたものではない場合、署名の検証は失敗します。デバイスの ROMMON はイメージを拒否し、起動を停止します。署名の検証に成功すると、デバイスはイメージを Cisco IOS XE ランタイム環境で起動します。
ROMMON は、ブートアップ中に署名付き Cisco IOS XE イメージを検証する際、次の手順を実行します。
-
Cisco IOS XE イメージを CPU メモリにロードします。
-
Cisco IOS XE パッケージのヘッダーを調べます。
-
イメージに対して非セキュア整合性チェックを実行し、ディスクまたは TFTP で意図しないファイル破損が生じていないことを確認します。これは非セキュア SHA-1 ハッシュを使用して実行されます。
-
シスコの RSA 2048 ビット公開リリースキーを ROMMON ストレージからコピーし、シスコの RSA 2048 ビット公開リリースキーが改ざんされていないことを検証します。
-
パッケージのヘッダーからコード署名用署名(SHA-512 ハッシュ)を抽出し、シスコの RSA 2048 ビット公開キーを使用して検証します。
-
Cisco IOS XE パッケージの SHA-512 ハッシュを計算してコード署名の検証を実行し、コード署名用署名と比較します。これで署名付きパッケージの検証が実行されたことになります。
-
Cisco IOS XE パッケージのヘッダーを調べて、プラットフォームタイプと CPU アーキテクチャの互換性を検証します。
-
Cisco IOS XE パッケージから Cisco IOS XE ソフトウェアを抽出して起動します。
(注) |
上記のプロセス中、手順 3 はイメージの非セキュアチェックであり、ディスクエラー、ファイル転送エラー、またはコピーエラーによる偶発的な破損に関してイメージを確認することを目的としています。これはイメージコード署名の一環ではありません。このチェックは、意図的なイメージの改ざんを検出するためのものではありません。 イメージコード署名の検証は、手順 4、5、および 6 で行われます。これは、2048 ビット RSA キーで暗号化された SHA-512 ハッシュを使用した、イメージのセキュアコード署名チェックです。このチェックは、意図的なイメージの改ざんを検出することを目的としています。 |