加密密钥曝光导致安全启动失效，影响戴尔、宏碁、联想等近 500 款型号设备

　　科技媒体 arstechnica 今天(7 月 26 日)发布博文，表示宏碁、戴尔、技嘉、英特尔和超微这 5 大设备商的 200 多款机型存在安全启动(Secure Boot)问题。

　　报道称支撑上述设备安全启动的加密密钥，已经于 2022 年被泄露。

　　为多家美国设备制造商工作的某个人于 2022 年 12 月在 GitHub 公共存储库中公布了平台密钥，也就是在硬件设备及其固件之间形成 root-of-trust anchor 的加密密钥。

　　该存储库位于 https://github.com/raywu-aaeon/Ryzen2000_4000.git，截至IT之家发稿为止，该链接已经被删除。

　　Binarly 的研究人员于 2023 年 1 月调查供应链事件时发现了该密钥，扫描固件镜像，通过证书序列号 55:fb:ef:87:81:23:00:84:47:17:0b:b3:cd:87:3a:f4 识别，共计发现了 215 款使用被泄露密钥的设备。

　　研究人员很快发现，该密钥的泄露只是更大的供应链故障的开始，几乎所有主要设备制造商的近 300 多种额外设备型号上的安全引导完整性都存在严重问题。除了前面提到的五家制造商外，还包括 Aopen、Foremelife、富士通、惠普、联想等。

　　这些密钥是由 AMI 公司创建的，AMI 是软件开发者工具包的三大主要提供商之一，设备制造商利用这些工具包定制 UEFI 固件，使其能够在特定的硬件配置上运行。