TW201500960A

TW201500960A - 在配有適用統一可延伸韌體介面(uefi)之韌體之計算裝置中的安全性變數變化檢測技術

Info

Publication number: TW201500960A
Application number: TW103112707A
Authority: TW
Inventors: Jeffery Jay Bobzin; Martin O Nicholes
Original assignee: Insyde Software Corp
Priority date: 2013-04-08
Filing date: 2014-04-07
Publication date: 2015-01-01
Also published as: US20140304520A1; WO2014168868A1; US9870474B2

Abstract

一種用以保護持有鑑別變數之唯讀記憶體(ROM)不受實體攻擊之以韌體為基礎的機制。至少一個鑑別變數的內容之一第一雜湊係由一計算裝置的適用統一可延伸韌體介面(UEFI)之韌體產生，且儲存在一非揮發性儲存位置。接著，該至少一個鑑別變數的內容之一第二雜湊係由該韌體產生，且該韌體將其與所儲存的雜湊比較，以識別發生在該第一雜湊產生之後的至少一個授權變數之未授權修改。

Description

在配有適用統一可延伸韌體介面(UEFI)之韌體之計算裝置中的安全性變數變化檢測技術

本申請案主張美國臨時專利申請案號61/809787，標題為“在配有適用統一可延伸韌體介面(UEFI)之韌體之計算裝置中的安全性變數變化檢測技術”，申請日為2013年4月8日的專利申請案之權益及優先權，其全文內容中的專利參考文獻全體皆引用作為本說明書的揭示內容。

本發明關係於在配有適用統一可延伸韌體介面(UEFI)之韌體之計算裝置中的安全性變數變化檢測技術。

多數計算裝置係由包括在該裝置內之韌體所初始化，且該韌體提供一系列的軟體服務，這些軟體服務幫助作業系統(OS)的開機，也提供這些服務的較小子集，其在作業系統開機後可繼續被利用。韌體是一種已經被寫在唯讀記憶體(ROM)模組上之軟體，此模組包括但不限於唯讀記憶體(ROM)、可程式唯讀記憶體(PROM)、可抹除可程式唯讀記憶體(EPROM)、電氣可抹除可程式唯讀記憶體(EEPROM)或快閃記憶體(以上全體在本文之後均以“ROM”表示)。在其他服務中，直到將該計算裝置之作業系統載入記憶體之開機進程可運行前，由此種韌體負責該計算裝置之操作。儘管某些服務的提供，在載入該作業系統後會基於安全性及其他因素，回頭向該韌體要求來自該作業系統的控制移轉，但一旦作業系統經載入，就由該作業系統接管該計算裝置的正常操作。

統一可延伸韌體介面(UEFI)是一個由非營利工業主體所創建的規格，詳述在作業系統和計算裝置之韌體間的一編程介面，此計算裝置包括下列但不限於：個人電腦(PC)。該UEFI規格描述一組工具，藉由該組工具，計算裝置可以以一種有組織的方式從提供電力狀態推移到全操作式。此規格顯示了欲求結果但卻無法謹慎地說明內部的實施策略。此UEFI韌體規格取代了先前工業上所使用的早期OS/韌體介面，現在則被稱作傳統BIOS。

此UEFI規格提供一種被稱作驅動器簽名檢驗的設施，藉由此設施，來自其他方的軟體可使用公/私鑰密碼寫入技術以其原貌‘簽入’。在允許該軟體運行前，該簽名為該計算裝置韌體所驗證。該簽名檢驗專注在加有用來安裝可選組件(***板)之軟體以及由作業系統對預開機步驟(OS開機載入器)提供之軟體。該簽名檢驗係以一資料庫的認可鑰完成。該計算裝置必須注意不讓未授權的軟體元件有任何可修改該資料庫的認可鑰的能力，因為該能力將會讓惡意軟體元件使該簽名檢驗變得無效。

當在一計算裝置中實施時，用於UEFI韌體的機器碼及該韌體所使用的全部永久資料，都位在唯讀記憶體(ROM)中。在很多情況下，該ROM是一被稱為快閃記憶體(flash ROM)的可電氣抹除矽裝置。快閃唯讀記憶體具有特徵在於，其可經由電氣命令被抹除繼而個別元件可被寫入，且該裝置將無限期地保有該資料。當電力首先供應給該計算裝置時，該系統會執行一個叫做重置的處理，其清除一已知情況之狀態並開始該韌體的執行。該韌體係從該計算裝置中之快閃唯讀記憶體或其他ROM讀取。

該ROM在一計算裝置中可被劃分為幾個功能性分區或區域。其中一個此種區域係碼儲存器，其必須被保護不受到除了已被授權更新該碼儲存器之實體以外的任何實體所修改。被稱作鑑別變數區域或儲存器的第二區域持有在UEFI規格中定義之鑑別變數且被用作持有以UEFI定義的安全資訊(安全資料庫)。除了該以UEFI定義的資訊之外，該鑑別變數儲存器可被用以儲存與該電腦之最終使用有關之用戶定義的資料。因為其含有安全資料和潛在機密的用戶資料，所以該UEFI規格規定該鑑別變數區域/儲存器必須被保護不受到除了那些藉由提出在該安全資料庫內之辨識密鑰資料得授權的實體以外的任何實體的修改。一第三區域，即該UEFI變數儲存器，包含低安全性資訊，其可由用戶程式自由地更新。

該計算裝置含有一個或多個稱作中央處理單元(CPU)的元件，當其在運行時，可自快閃ROM讀取亦可抹除和/或寫入至快閃ROM。該CPU具有一正常操作模式及一稱作系統管理模式(SMM)之第二操作模式。當該CPU在正常操作模式下，其可存取除了某些只專屬SMM模式的記憶體區域外之該電腦的所有元件。相反地，當該CPU在SMM模式下操作時，其可存取包括該專屬記憶體之該計算裝置的所有元件。在該計算裝置之電路內可以取用一電信號，其可指示該CPU正以SMM操作。該CPU裝置可經由一些稱作系統管理中斷(SMI)事件的觸發器所導引從正常操作模式轉換至SMM，該SMI事件包含由韌體所觸發的SMI事件。儘管可用的準確觸發器與系統設計中的有些不同，但當使用適用於平台的觸發器時，結果都是在主記憶體中的執行被立即中止，以及，執行係在SMM記憶體之特定位置中開始。

本發明之實施例提供一種在配有適用UEFI之韌體的計算裝置中，用以保護持有鑑別變數之ROM區域不受實體攻擊之以韌體為基礎的機制。至少一個鑑別變數的內容的一第一雜湊產生並儲存在一非揮發性儲存器位置。接著，該至少一個鑑別變數的內容之一第二雜湊產生並與所儲存的雜湊比較，以識別發生在該第一雜湊產生之後的該至少一個鑑別變數之未授權改變。

在一實施例中，一種用以檢測在一配有適用UEFI之韌體的計算裝置中之安全性變數變化的電腦可實施方法以該韌體在該計算裝置中產生至少一個鑑別變數的內容之一第一雜湊。該方法亦將該第一雜湊儲存在一非揮發性儲存位置。接著，在該第一雜湊之產生後，該至少一個鑑別變數的內容之一第二雜湊由該韌體產生。發生在該第一雜湊產生之後的至少一個鑑別變數之未授權修改係為比較該第一和該第二雜湊及檢出差異的韌體所識別得出。

在另一實施例中，一配有適用統一可延伸韌體介面(UEFI)之韌體的計算裝置，包括一處理器及一持有該韌體碼之唯讀記憶體(ROM)。該韌體碼之執行產生在該計算裝置中之至少一個鑑別變數的內容之一第一雜湊，並且將該第一雜湊儲存至一非揮發性儲存位置。接著該第一雜湊之產生後，該韌體碼之執行亦產生該至少一個鑑別變數的內容之一第二雜湊。發生在該第一雜湊產生之後的至少一個鑑別變數之未授權修改係為比較該第一和該第二雜湊及檢出差異的韌體所識別得出。

102-110、202-212、302-312‧‧‧步驟

400‧‧‧計算裝置

402‧‧‧中央處理單元

403‧‧‧可信賴的平台模組

404‧‧‧記憶體

405‧‧‧作業系統

410‧‧‧硬碟

420‧‧‧唯讀記憶體

422‧‧‧碼儲存器

424‧‧‧鑑別變數區域

426‧‧‧UEFI變數儲存

430‧‧‧鑑別變數內容之第一雜湊

包含於本說明書中並構成本說明書的一部分的附圖顯示了本發明之一或多個本發明之實施例，配合說明書內文，能增進對本發明的理解。在附圖中：第1圖描繪由本發明一實施例所執行之步驟的一個例示順序，以檢測在一配有適用UEFI之韌體的計算裝置中之鑑別變數的未授權改變；第2圖描繪由本發明一實施例所執行之步驟的一個例示順序，其使用一可信賴的平台模組(TPM)以檢測在一配有適用UEFI之韌體的計算裝置中之鑑別變數的未授權改變；第3圖描繪由本發明另一實施例所執行之步驟的一個例示順序，其使用一TPM以檢測在一配有適用UEFI之韌體的計算裝置中之鑑別變數的未授權改變；以及第4圖描繪適於實行本發明之一實施例的一個例示環境。

在一配有適用UEFI之韌體的計算裝置中，任何對快閃記憶體儲存器之重要區域的未授權變化都必須被檢測，這些區域像是那些持有鑑別變數的區域。除了持有更新簽署密鑰之授權代理外，在配有適用UEFI之韌體的計算裝置中之鑑別變數一般係被保護不受到軟體修改。不幸地，實體攻擊仍然可能，其中快閃編程器或其他裝置被用來對該計算裝置做出直接實體連接，以修改在該快閃ROM部分中的重要區域。其他形式的攻擊也是可能的。本發明之實施例藉由提供以韌體為基礎之機制對付此種或其他問題，該機制識別此種實體攻擊持有鑑別變數的 ROM區域已在何時發生，並提醒用戶注意任何被破解的授權變數。

本發明之實施例利用一或多個鑑別變數的內容之一儲存的雜湊，去檢測任何隨後發生在那些內容之未授權變化。實施例可分別檢測在每個變數、鑑別變數群組中之未授權變化，或可檢測鑑別變數區域整體之未授權變化。因此，實體或取代鑑別變數像及企圖欺騙/複製該授權變數之其他攻擊都可被檢測並有望被制止。第1圖描繪由本發明一實施例所執行之步驟的一例示順序，以檢測在一配有適用UEFI之韌體的計算裝置中之鑑別變數的未授權改變。該順序開始於該計算裝置之韌體產生一或多個鑑別變數的內容之以密碼編寫的一第一雜湊(步驟102)。在大多數常見的UEFI實施中，該標準和鑑別變數是被一起集總(混合)在單一變數區域中。因為該等變數可共享相同的檔案系統結構和存取方法，所以此方法容許有較少的管理負擔。鑑別需求的檢驗發生在進入驅動器的途中。因此，一種檢索在該變數區域中之一特定列表的變數或是在該區域中的所有變數的例示順序將有：

1.初始化雜湊(種子)

2.對在被保護的變數清單上之每個項目或在該區域中之所有鑑別變數

3.使用GetVariable()檢索該變數

4.將內容加入至雜湊

5.若有更多的鑑別變數則循環至3

6.儲存組合的雜湊

一經產生，該第一雜湊必須被保護不受到未授權改變，因為該第一雜湊將藉由識別是否發生那個(那些)鑑別變數的內容的任何未授權修改，而用以隨後驗證其中的鑑別變數。因此，為了保護該第一雜湊，該第一雜湊可被儲存至未列入UEFI規格說明的該ROM中之一不同的未載錄位置，或其他不為公眾所知的位置中(步驟104)。此外，隨機鹽(被用作為額外的輸入資料的隨機資料)可被加入至產生該雜湊的單向雜湊函數中。該鑑別變數的內容之該被儲存的第一雜湊也必須以該鑑別變數的每個新產生或授權修改或第一雜湊所施加的區域加以更新。

在後續開機時，或當(該第一雜湊所先前產生及儲存的)該鑑別變數接著被存取時，該鑑別變數內容再一次被雜湊，以判定是否有任何對該等鑑別變數未授權改變發生(步驟106)。由該裝置的韌體將新的雜湊與先前儲存的第一雜湊進行比較(步驟107)。若當該韌體比較出該新的雜湊與先前儲存的雜湊不相符，則該韌體判定有一未授權改變發生並執行由系統策略所判定之補救動作，例如，中斷該開機順序和/或鑑別變數存取嘗試(步驟108)。該中斷可鎖定該硬碟、載入一訊息、顯示一訊息和/或採取由系統策略所指示之其他補救動作。若該新的雜湊和儲存的雜湊相符(例如完全相同)，則該開機順序和/或鑑別變數檢索仍舊正常(步驟110)。應了解到，每個鑑別變數可分別被雜湊，使得對一特定的鑑別變數之任何未授權改變，可在該個別的鑑別變數的後續嘗試存取時被檢測到。然而，對於其他少於全部的所選鑑別變數但多於其中之一者的一子集被雜湊之實施方式亦在本發明之範疇內，如同所有鑑別變數的內容被雜湊為一群組的實施，判定在鑑別變數群組內是否有任何內容發生任何變化。

在另一實施例中，一可信賴的平台模組(TPM)可被用來進一步保護該鑑別變數的該第一雜湊。TPM是一種遵循可信賴計算群組之可信賴平台模組規格的安全加密處理器，其可產生並儲存保護資訊的加密密鑰。第2圖描繪由本發明實施例所執行之步驟的一個例示順序，其使用一可信賴的平台模組(TPM)以檢測在一配有適用UEFI之韌體的計算裝置中之一或多個鑑別變數內容的未授權改變。該順序首先從該計算裝置之韌體產生開始，在每個鑑別變數產生或更新後，發現存在有被選來用作保護的一列表鑑別變數的內容的一第一加密雜湊，或在另一實施例中，所有的鑑別變數的雜湊(步驟202)。應了解到，該第一雜湊可以根據少於在該區域中之所有鑑別變數的內容。該雜湊測量值可使用TPM與儲存在快閃ROM部分中的結果加以保護(步驟204)。在一示範實施例中，該TPM可符合1.2版或更新的TPM規格。使用該TPM的雜湊之保護可經由使用現行的平台組態暫存器(PCR)設定密封該雜湊而完成，或該雜湊可使用僅對該系統之TPM有效之密鑰簽入。舉例來說，該PCR設定可為來自開機載入器、BIOS、UEFI驅動器、系統設定及儲存在該PCR之主要開機記錄的測量值。該組態測量值可被用以“密封”該雜湊值或該雜湊可以以一密鑰簽入且該密鑰以PCR設定密封。在此情形下，該雜湊(或密鑰)僅在該PCR確認該計算裝置與該雜湊或密鑰被初始密封時相同狀態時，才可解密封及使用。與第1圖討論的實施例相同，該第一雜湊可被儲存在未為該UEFI規格所指明的一未載錄的ROM位置或其他地方。

當該計算系統再一次通電，或當該等變數被檢索時，該裝置韌體產生被保護的鑑別變數內容之一新的加密雜湊(步驟206)。裝置韌體繼而可以使用該PTM，藉由解密封該雜湊或密鑰來回復被保護的雜湊值。一旦原本的雜湊測量值被檢索到，該裝置韌體則比較該等雜湊值(步驟208)。若該等雜湊不相同(步驟209)，則一未授權的快閃修改會被偵測到且該鑑別變數內容將不再被相信。因而，執行由系統策略所決定之補救動作，例如，中斷該開機順序和/或檢索處理(步驟210)。同樣地，若該被保護的雜湊值不能回復，則該計算裝置之韌體也可被組配來推論出一未授權快閃修改已被檢測出並暫停該開機順序或檢索處理。另一方面，若該等雜湊的比較相符(步驟209)，則該開機順序或鑑別變數的存取和/或檢索處理將繼續正常運作(步驟212)。

除了將該第一雜湊值儲存至該ROM中之一未載錄位置之外，在本發明之範疇內其他儲存位置也是有可能。舉例來說，第3圖描繪由本發明另一實施例所執行之步驟的一個例示順序，其使用一TPM以檢測在一配有適用UEFI之韌體的計算裝置中之鑑別變數的未授權改變。該儲存處理係類似於第2圖所描述的TPM實施例，除了被用以比較之計算得出的雜湊係儲存在該TPM硬體本身。在一示範實施例中，該TPM可符合2.0版的TPM規格，其具有更多用於像是雜湊值等項目的儲存器。首先，該順序在每個鑑別變數產生或更新後，由該計算裝置的韌體產生該鑑別變數的內容之一加密雜湊開始(步驟302)。如前所述，加密雜湊可以根據少於在該變數區域內之所有鑑別變數的內容。該雜湊測量值可使用一TPM及儲存在該TPM硬體中的結果加以保護(步驟304)。使用該TPM之保護可藉由使用現行的PCR設定密封該雜湊加以完成，或者，該雜湊可使用僅在該系統的TPM上有效之密鑰簽入。當該系統再一次通電，或當檢索到該變數時，該裝置韌體產生被保護的鑑別變數內容之一新的加密雜湊(步驟306)。計算裝置的韌體可繼而使用該TPM來回復被保護的雜湊值。一旦原本的雜湊測量值被檢索到，該韌體則比較該等雜湊值(步驟308)。若該第一和第二雜湊不相同(步驟309)，則檢測出一未授權的快閃修改到且該鑑別變數內容將不再被相信。因而，執行由系統策略所決定之補救動作，例如，暫停該開機順序或檢索處理(步驟310)。同樣地，若該被保護的雜湊值不能回復，則該計算裝置之韌體也可被組配以推論出一未授權快閃修改已經被檢測出並且暫停該開機順序或檢索處理。另一方面，若該等雜湊的比較相符(步驟309)，則該開機順序或檢索處理將繼續正常運作(步驟312)。

在另一實施例中，該計算裝置之韌體可在每個授權產生或更新鑑別變數後，取得該快閃之重要區域(如鑑別變數區域)的一加密雜湊。該雜湊測量值可由平台專有鹽值產生，並儲存在該快閃部分。該雜湊的儲存可以被誤導使其難以判定需要重編該雜湊之位置。若一攻擊者藉由隨著該系統電源關閉改變該ROM的重要區域來修改該快閃部分，則當該系統再次通電時，因為該韌體取得該重要區域之一新的加密雜湊(包括平台專有鹽值)，所以該實施例檢測到此一修改。該韌體重編原本的雜湊測量值並將其與新的雜湊進行比較。該鑑別變數的任何修改所造成的不相同值，都可經由比較結果檢測出來。

應了解到，該所儲存的加密雜湊在本發明範圍內可在一些不同時機下被取得。同樣地，雜湊值的比較可在系統啟動時完成，或可與每個鑑別變數請求時完成，或其他時間完成，而不背離本發明之範圍。

第4圖描繪適於實行本發明之一實施例的一個例示環境。一配有適用UEFI之韌體的計算裝置400包括可在正常模式和SMM模式中操作之一CPU402。運行時存取該雜湊之被保護的部分可使用SMM模式完成，SMM模式具有比正常處理器模式更好的安全特性。該計算裝置400可為一個人電腦、膝上型電腦、平板計算裝置、伺服器、智慧型手機或一些配有一處理器並適用 UEFI規格要求之其他類型的計算裝置。該計算裝置400亦可包括像是隨機存取記憶體(RAM)之一記憶體404。儲存在一硬碟機410中之一作業系統405可以被載入記憶體404中作為該計算裝置所執行的一開機處理之部分，其中該硬碟機410係在該計算裝置400中或與之通訊。

該計算裝置400可適用1.2、2.0版本的TPM規格或其他版本的TPM規格。該計算裝置400亦可包括快閃或其他ROM420。應了解到，在此關於快閃ROM的討論亦可實施在其他類型的ROM上。在一些情況下，該系統設計可加入多個快閃ROM裝置。該快閃ROM420可在一系統安全資料庫中具有不同區段且持有碼儲存器422和一鑑別變數區域424，該鑑別變數區域424持有多個鑑別變數。鑑別變數區域424可持有用於如UEFI規格所提出的簽名檢查之授權密鑰。該碼儲存器及該鑑別變數僅可當該CPU402在SMM保護模式下操作時存取，且使得在一實施例中，在此所描述的該雜湊比較僅可當該CPU在SMM操作時發生。該ROM420亦可儲存UEFI變數區域426。一或多個以前述方法產生之鑑別變數的內容之一第一雜湊430可被儲存至該ROM420之一未載錄位置中。或者，在一實施例中，鑑別變數內容之該第一雜湊430可被儲存至該TPM硬體403中。

本發明之部分或所有的實施例可被設置成為一或多個電腦可讀程式或碼，其被實施於一或多個非暫時媒體上。該媒體可為但不限於一硬碟、一光碟片、一多樣化數位光碟、ROM、PROM、EPROM、EEPROM、快閃記憶體、一RAM或一磁帶。總的來說，該電腦可讀程式或碼可以以任何計算機語言實施。

因為某些變化可在不脫離本發明的範圍下產生，這意味著包含於上述內文中或顯示於附圖中的所有內容皆被解釋為例示性質，而非其字面意義。本領域的從業人員將認識到，步驟順序及圖式中所描繪的架構在不脫離本發明的範圍內可以進行變換，且本文所包含的圖式僅是本發明眾多可能的描繪中的一個例子。

以上關於本發明實施例之示例的內容提供了說明和描述，但並非意在是窮舉或將本發明限制於所揭示的精確形式。根據以上所教示的或從本發明的實踐中可進行可能的修改和變化。例如，當一系列的動作被陳述，在其它實現方式中，動作的順序可進行與本發明原理一致的修改。此外，非依賴性的動作也可以平行地執行。

102~108‧‧‧步驟

Claims

一種檢測在一配有適用統一可延伸韌體介面(UEFI)之韌體的計算裝置中之安全性變數變化的電腦實施方法，該方法包含：以該韌體在該計算裝置中產生至少一個鑑別變數的內容之一第一雜湊；將該雜湊儲存在一非揮發性儲存位置中；在該第一雜湊產生之後，以該韌體產生該至少一個鑑別變數的內容之一第二雜湊；以及藉由比較該第一和該第二雜湊且檢測該第一和該第二雜湊之間的一差異，而以該韌體識別發生在該第一雜湊產生之後的至少一個鑑別變數之一未授權修改。
如申請專利範圍第1項所述之方法，其中該非揮發性儲存位置係在該計算裝置中的一唯讀記憶體(ROM)部分中之一未載錄位置。
如申請專利範圍第2項所述之方法，其中該第一雜湊係由隨機鹽產生。
如申請專利範圍第1項所述之方法，其中該第一雜湊係使用一可信賴的平台模組(TPM)產生且被儲存在該計算裝置中之一唯讀記憶體部分。
如申請專利範圍第1項所述之方法，其中該第一雜湊係使用一可信賴的平台模組產生且被儲存在該計算裝置中之一可信賴的平台模組硬體。
如申請專利範圍第1項所述之方法，其中該第二雜湊係在該計算裝置之起動時產生。
如申請專利範圍第1項所述之方法，其中該第二雜湊係當該至少一個鑑別變數嘗試檢索時產生。
如申請專利範圍第1項所述之方法，其中該第一雜湊係使用該可信賴的平台模組加以保護，且該方法進一步包含：使用當前的平台組態暫存器值密封該第一雜湊。
如申請專利範圍第1項所述之方法，其中該第一雜湊係使用該可信賴的平台模組加以保護，且該方法進一步包含：使用僅在該計算裝置的可信賴的平台模組有效之一密鑰登入該第一雜湊。
一種持有檢測在一配有適用統一可延伸韌體介面(UEFI)韌體的計算裝置中之安全性變數變化的電腦可執行指令的非暫態媒體，當該等指令被執行時，致使該計算裝置進行下列步驟：以該韌體在該計算裝置中產生至少一個鑑別變數的內容之一第一雜湊；將該雜湊儲存在一非揮發性儲存位置中；在該第一雜湊產生之後，以該韌體產生該鑑別變數的內容之一第二雜湊；以及藉由比較該第一和該第二雜湊且檢測該第一和該第二雜湊之間的一差異，而以該韌體識別發生在該第一雜湊產生之後的至少一個鑑別變數之一未授權修改。
如申請專利範圍第10項所述之媒體，其中該非揮發性儲存位置係在該計算裝置之一唯讀記憶體(ROM)部分中之一未載錄位置。
如申請專利範圍第11項所述之媒體，其中該第一雜湊係由隨機鹽產生。
如申請專利範圍第10項所述之媒體，其中該第一雜湊係使用一可信賴的平台模組(TPM)產生且被儲存在該計算裝置中之一唯讀記憶體部分。
如申請專利範圍第10項所述之媒體，其中該第一雜湊係使用一可信賴的平台模組產生且被儲存在該計算裝置中之一可信賴的平台模組硬體。
如申請專利範圍第10項所述之媒體，其中該第二雜湊係在該計算裝置之起動時產生。
如申請專利範圍第10項所述之媒體，其中該第二雜湊係當該至少一個鑑別變數嘗試檢索時產生。
如申請專利範圍第10項所述之媒體，其中該第一雜湊係使用該可信賴的平台模組加以保護且當該等指令被執行時，進一步致使該計算裝置進行下列步驟：使用當前的平台組態暫存器值密封該第一雜湊。
如申請專利範圍第10項所述之媒體，其中該第一雜湊係使用該可信賴的平台模組加以保護且當該等指令被執行時，進一步致使該計算裝置進行下列步驟：使用僅在該計算裝置的可信賴平台模組有效之一密鑰登入該第一雜湊。
一種配有適用統一可延伸韌體介面(UEFI)韌體的計算裝置，其包含：一處理器；以及持有韌體碼之一唯讀記憶體(ROM)，當該韌體碼被執行時，進行下列步驟：以在該計算裝置中產生至少一個鑑別變數的內容之一第一雜湊；將該第一雜湊儲存在一非揮發性儲存位置中；在該第一雜湊產生之後，以產生該至少一個鑑別變數的內容之一第二雜湊；以及藉由比較該第一和該第二雜湊且檢測該第一和該第二雜湊之間的一差異，而以識別發生在該第一雜湊產生之後的至少一個鑑別變數之一未授權修改。
如申請專利範圍第19項所述之計算裝置，其中該非揮發性儲存位置係在該計算裝置中的一唯讀記憶體部分中之一未載錄位置。
如申請專利範圍第19項所述之計算裝置，其進一步包含：一可信賴的平台模組(TPM)，其用以產生該第一雜湊。
如申請專利範圍第21項所述之計算裝置，其中該第一雜湊係被儲存在該計算裝置中之一唯讀記憶體部分。
如申請專利範圍第21項所述之計算裝置，其中該第一雜湊係被儲存在該計算裝置中之可信賴的平台模組硬體。