🔐 AMD 安全启动 & 可信执行环境
30 章 · 从入门到实战
📘
友好
🛡️
硬件信任根
🧩
30 个动手实验
第 1 章
AMD 安全启动概述
什么是安全启动
为什么需要安全启动
AMD平台安全架构简介
↗
第 2 章
硬件信任根 (Root of Trust)
AMD片上ROM
BootROM原理
硬件信任链建立过程
↗
第 3 章
AMD PSP 平台安全处理器详解
PSP架构
PSP启动流程
PSP与主CPU的交互
↗
第 4 章
安全启动流程 (上)
从Reset到PSP初始化
验证BIOS第一阶段 (Bootloader)
↗
第 5 章
安全启动流程 (下)
验证BIOS第二阶段 (UEFI/BIOS)
验证Option ROM
验证OS Loader
↗
第 6 章
AMD Secure Boot 密钥体系
OEM密钥
Microsoft密钥
KEK, db/dbx数据库
↗
第 7 章
密钥生成与管理
生成PK/KEK/db密钥对
使用OpenSSL创建证书
签名工具介绍
↗
第 8 章
UEFI Secure Boot 配置
BIOS设置启用/禁用Secure Boot
管理密钥数据库
↗
第 9 章
自定义 Secure Boot
导入自定义密钥
签名自定义EFI程序
常见问题排查
↗
第 10 章
AMD Memory Guard
内存加密概述
SME (安全内存加密) 原理
SEV (安全加密虚拟化) 简介
↗
第 11 章
AMD SEV-SNP
嵌套页表保护
反向映射表
远程证明基础
↗
第 12 章
AMD TPM 可信平台模块
TPM 2.0规范
fTPM (固件TPM) 与 dTPM 区别
↗
第 13 章
TPM 密钥层次结构
EK (背书密钥)
SRK (存储根密钥)
AIK (身份认证密钥)
↗
第 14 章
TPM 测量启动 (Measured Boot)
PCR寄存器
TPM事件日志
远程验证
↗
第 15 章
AMD Platform Secure Boot 实战
使用AMD官方工具验证启动链完整性
↗
第 16 章
UEFI 安全启动签名实战
使用sbsigntool签名EFI文件
验证签名
↗
第 17 章
构建自定义安全启动镜像
从源码编译UEFI
配置安全启动策略
↗
第 18 章
AMD SEV 部署实战
在KVM/QEMU中启用SEV
创建加密虚拟机
↗
第 19 章
SEV-SNP 远程证明实战
获取证明报告
验证报告签名
↗
第 20 章
TPM 模拟器与开发
使用swtpm搭建TPM模拟环境
编写TPM应用程序
↗
第 21 章
TPM 密钥管理实战
生成SRK
创建RSA密钥对
签名与验证
↗
第 22 章
Measured Boot 日志分析
解析TPM事件日志
验证启动度量值
↗
第 23 章
安全启动故障排查
常见错误代码分析
调试工具使用 (SecureBootDebug)
↗
第 24 章
AMD 安全启动与 Linux
shim引导管理器
MOK (Machine Owner Key) 管理
↗
第 25 章
AMD 安全启动与 Windows
Windows Boot Manager
BitLocker与TPM集成
↗
第 26 章
固件安全更新
AMD PSP固件更新机制
安全更新验证流程
↗
第 27 章
侧信道攻击与防御
针对AMD安全启动的已知攻击
缓解措施
↗
第 28 章
AMD 安全启动合规性
NIST SP 800-193
TCG规范
FIPS 140-3要求
↗
第 29 章
企业级部署方案
大规模部署Secure Boot策略
自动化密钥轮换
↗
第 30 章
未来展望
AMD安全架构演进
机密计算趋势
后量子密码学在安全启动中的应用
↗