ВходНаше всё Теги codebook 无线电组件 Поиск Опросы Закон Четверг
14 ноября
1043827 Топик полностью
fk0, легенда (13.10.2020 00:25, просмотров: 628) ответил Aleksey_75 на будут, и пытаются... не будем брать мою скромную персону, но на проши SL и Pandora пытаются ломать .... И если удастся по сути это будет крахом компании
Я думаю, недооценивается, что упереть могут на производстве. Ну только если лично ты сам не будешь в отдельном офисе с железной дверью сам программировать все пики. См. по ссылке, я задавался вопросом: 

http://caxapa.ru/396714

http://caxapa.ru/396815


Очевидно, что пломба не защищает ни от чего, если изначально ПО выполняет не совсем те функции. Но об чём я -- не доверяем не пользователю, вопрос о возможной подмене программы до передачи пользователю. Пример: ты приобретаешь мобильный телефон. Сотрудники магазина вчера вытащили его из коробки и заменили ПО. Твой телефон теперь передаёт на специальный веб-сервер все твои входящие SMS и все POST запросы из HTTP(S) (ибо код перехватывает прямо в библиотеке libssl). Ты клиент Альфа-банка и однажды зашёл на их сайт (с онлайн-функциями) через телефон. Дальше понятно?

И вот достаточно одного сотрудника на производстве решившегося попрограммировать контроллеры (программатором) немного модифицированными прошивками. Или даже где-то в отделе сбыта. Или вообще в другой торговой организации. И крах компании. Вот я о чём. А мне говорят, мол там организационные процедуры, там пломба на МК наклеена! Там же и бутлоадер и загрузка через порт. И неизвестно где хранились и в скольких копиях ключи от бутлоадера. Вот в других фирмах бутлоадер -- с RSA токеном, на брелоке, их присылают из головной конторы под роспись конкретным сотрудникам:




Вкратце -- я о том, что купив любой современный электронный продукт практически нельзя быть уверенным, что это тот самый продукт, а не какой-то видоизменённый программно, что он выполняет именно те функции, что заявлены в инструкции, а не ещё какие-то дополнительные.


Да не надо никакой супер-пупер криптографии. В каких-то сигналках уже было, мол два притопа, три прихлопа в нужной последовательности -- и она сама открывается! Ну что-то вроде второго комплекта ключей приклеенного под бампером, только электронно. И не факт, что такая модификация внесена разработчиками оригинального продукта -- я вот о чём!


В большинстве случаев на производство уходит "открытая", не шифрованная прошивка. И её легко поменять. Ты скажешь, мол у тебя уходит только бутлоадер, а потом шьётся шифрованная. А ключ в бутлоадере небось в открытом же виде (если AES) лежит? И грошь цена -- можно разобраться и декриптовать прошивку. В бутлоадере допустима только ассиметричная криптография, тот же openssl. Когда он может проверить, что мол прошивка настоящая, но не знает сам как прошивку подписать. А ключик на специальном сервере. Куда вход только отдельным людям с помощью токена на картинке выше, и где можно подписать загруженную прошивку, но не сгрузить сам ключик. Поэтому когда человека увольняем -- аккаунт на сервере просто удаляется и всё.


Но описанная схема только препятствует загрузке нелегальных прошивок, но позволяет бутлоадеру сдампить или пропатчить прошивку. В итоге если тебе подменили бутлоадер на производстве, то гарантии что прошивка в приборах ушедших в продажу твоя -- нет. Вариант только, если бутлоадер железный ROM. Ты можешь конечно его проверить в памяти, но кто проверит проверяющего? Может твою проверочную программу тоже уже пропатчили, чтоб проверяла как нужно. И хуже того, на производстве могут подменить сами контроллеры... В итоге если ты Broadcom -- ты можешь быть уверен в том, что у тебя прошито что нужно. А если используешь покупные контроллеры с Flash-памятью -- уверенности нет.


В идеале интересен наверное вариант, когда конечный потребитель может через какой-то механизм (без бутлоадера в flash -- т.к. ему не доверяем, только ROM) загрузить прошивку полученную с сайта. Но я не представляю, как это можно сделать. Видимо, поставлять прибор вместе с программатором... У некоторых МК действительно есть ROM и свой бутлоадер на USB -- они, как ни странно, более "безопасны" на мой взгляд.

[ZX]