[jenya7 0]

В embedded проектах я обычно на последней странице флеша пишу свои параметры. А на малинке можно что то подобное изобразить?

Там ведь BCM2835 у него вроде есть on board flash значит должен быть доступ к нему.

Изменено 21 декабря, 2021 пользователем jenya7

[aaarrr 63]

49 minutes ago, jenya7 said:

BCM2835 у него вроде есть on board flash

Вроде?

[jenya7 0]

1 minute ago, aaarrr said:

Вроде?

я вижу на плате только чип RAM.

[rkit 1]

Флеш там задействован для проприетарного кода и работать с ним не получится.

[jenya7 0]

14 hours ago, rkit said:

Флеш там задействован для проприетарного кода и работать с ним не получится.

там есть 8 регистров в OTP для пользователя и это как раз мне бы подошло. но эти регистры доступны любому пользователю в системе а мне нужен доступ только для разрешенных пользователей.

[mantech 34]

21 час назад, jenya7 сказал:

а мне нужен доступ только для разрешенных пользователей.

В чем проблема писать в шифрованном виде?

[jenya7 0]

31 minutes ago, mantech said:

В чем проблема писать в шифрованном виде?

а где хранить ключ шифрования? я пытаюсь натянуть парадигму embedded на OS Linux. скрестить ежа с носорогом.

Например STM32 - моя програма говорит с флеш. Пользователь подключен через терминал (UART). В этом случае он может хранить ключи и пароли на флеш и никто кроме него не имеет доступ туда.

А Linux - всё в файлах. Ну допустим я зашифровал файл а где хранить ключ?

[mantech 34]

1 час назад, jenya7 сказал:

а где хранить ключ шифрования? я пытаюсь натянуть парадигму embedded на OS Linux. скрестить ежа с носорогом.

Тогда надо выбирать одноплатники не по принципу, что малина - модно, а под задачу, например использовать доверенную загрузку, secure boot и пр, как например в серии IMX...

Ну или использовать "бюджетные" решения, как раньше на ПК использовали HASP-ключи...

Изменено 23 декабря, 2021 пользователем mantech

[jenya7 0]

2 hours ago, mantech said:

Тогда надо выбирать одноплатники не по принципу, что малина - модно, а под задачу, например использовать доверенную загрузку, secure boot и пр, как например в серии IMX...

Ну или использовать "бюджетные" решения, как раньше на ПК использовали HASP-ключи...

 

в принципе я шифрую файл с параметрами. если пользователь хочет изменить параметры - он вводит в command line "decrypt path/to/file masterkey"  (masterkey у него в голове). в расшифрованном файле делает изменения и потом "encrypt path/to/file masterkey". когда система поднимается автономно  - decrypt - считала параметры - encrypt. но masterkey зашит в коде. вот это единственный вопрос - как сделать чтоб пользователь мог менять masterkey .

Изменено 23 декабря, 2021 пользователем jenya7

[mantech 34]

2 часа назад, jenya7 сказал:

вот это единственный вопрос - как сделать чтоб пользователь мог менять masterkey .

Не зашивать его в коде, а прописывать в файле конфигурации.

[jenya7 0]

54 minutes ago, mantech said:

Не зашивать его в коде, а прописывать в файле конфигурации.

так файл конфигурации доступен каждому. или вы имеете ввиду зашифрованный файл? я так и сделал - положил в зашифрованный файл.

теперь приходит злоумышленник - со своим файлом в котором свой masterkey. изначально ведь файл не зашифрован.

то есть я сделал так - сначала пользователю предлагается ввести пароль - сохраняем его в переменную - user_key

потом при расшифровке и парсинге

foreach (XElement el in elements)
{
    //key 
    if (el.Name == "KEY")
   {
      //key_detected = true;
     file_key = el.Attribute("Key").Value.ToString();
   }
}

if (string.IsNullOrEmpty(file_key) || file_key != user_key)
{
    file_key = "";

    authorized = false;

    MessageBox.Show("Wrong password. Not authorized to acess the data.");
}
else
   authorized = true;

но есть другой чел который тоже купил систему и знает как она работает. он подсовывает свой файл со своим masterkey.

Изменено 23 декабря, 2021 пользователем jenya7

[mantech 34]

3 часа назад, jenya7 сказал:

но есть другой чел который тоже купил систему и знает как она работает. он подсовывает свой файл со своим masterkey.

При шифровке микшируйте мастеркей с уникальным номером, прошитым в процессор (если в броадкоме такой есть, конечно ), тогда он будет привязан к системе, и от другой не подойдет.

[jenya7 0]

Just now, mantech said:

При шифровке микшируйте мастеркей с уникальным номером, прошитым в процессор (если в броадкоме такой есть, конечно ), тогда он будет привязан к системе, и от другой не подойдет.

у них есть уникальный номер. а если ключ "засветился" и его надо сменить?

Изменено 23 декабря, 2021 пользователем jenya7

[mantech 34]

53 минуты назад, jenya7 сказал:

у них есть уникальный номер. а если ключ "засветился" и его надо сменить?

Тогда делайте авторизацию с сервера, и ведите базу данных ключей.

[jenya7 0]

43 minutes ago, mantech said:

Тогда делайте авторизацию с сервера, и ведите базу данных ключей.

не всегда есть доступ к интернету. но это самое правильное решение - хранить ключ вне системы.