W dniu 2023-12-08 o 19:58, heby pisze:
> Dlaczego, z przyczyn bezpieczeństwa, nie wybrano procesora
> sprawdzajacego podczas bootowania podpis firmware/flash przed
> uruchomieniem kodu? Takie procesory są w powszechnym użyciu.

I już wiem czego nie wiem :)
Jesteśmy na poziomie AtXmega i powoli zaczynamy używać 32 bitowe Silabsy.
Najnowsze mają coś, czego nie ogarnęliśmy, a może być tym o czym piszesz.

> Zabawne: do dzisiaj nie złamano w pełni tego zabezpieczenia, mimo starań
> dziesiątek ludzi. A to zabawka. Znaleziono tylko exploity.

Napisz 1,2 zdania wyjaśniające pojęcie exploit.

>> Jeśli ktoś, jakoś wejdzie w posiadanie całego kodu dla danego
>> urządzenia (w tym przypadku pociągu) to może to oprogramowanie
>> dowolnie zmodyfikować
>
> Wtedy jest niepodpisane. Prawidłowo zaprogramowany kontroler z funkcją
> chain-of-trust *NIE* uruchomi kodu we flash jesli nie zgadza się podpis.

Można też sobie wyobrazić kłopoty z wystarczająco bezpiecznym
przechowaniem klucza do podpisywania i ewentualną możliwość, że ktoś
niepowołany wszedł w posiadanie.

> W takim systemie jedyną drogą dostania się do środka jest exploit.

I znów to słowo :)

> To jest niebezpieczne. Sam odczyt firmware może prowadzić do procesu
> audytu, który szuka exploitów,

...

> Ale brak weryfikacji flasha za pomocą kryptografii jest niedopuszczalny
> w krytycznych rozwiązaniach dla bezpieczeństwa.

Nie wiedząc o istnieniu procesorów, o których piszesz, że są w
powszechnym użyciu wyobrażałem to sobie tak jak my to mamy od 20 lat -
bootloader weryfikuje podpis wsadu, ale wydawało mi się, że każdy procek
ma przez złącze debug dostęp do 'kasujemy wszystko do stanu fabrycznego'.

> Świadomość takich rozwiązań jest bliska zeru, w środowisku programatorów
> embedded.

Jest tyle innych rzeczy zawsze do zrobienia 'na wczoraj'...
P.G.