我的bios知识很基础,但每次我阅读关于UEFI的文件时,我都不理解为什么SEC阶段是UEFI bios过程的信任根源。SEC阶段执行PEI的验证,但我不明白SEC阶段是由谁或以哪种方式进行认证和验证的。有人能给我解释一下吗?
当CPU启动时,它只在一个非常特定的地址执行几个非常具体的指令。此时没有任何初始化,南/北桥、内存本身(DRAM)都没有初始化,因此没有足够的资源来启动任何代码,只有Sec阶段才能完成初始化。只有这样,你才有足够的资源来执行代码。另外,为了从操作系统或UEFI shell更新UEFI固件(BIOS),胶囊必须签名。所以在这个阶段没有篡改的可能。你可以拆下芯片并用篡改后的固件重新编程,但这是另一回事,编写自己的BIOS并不是一项微不足道的任务。所以,这就是为什么Sec Phase是ROT的原因。