VCucumber 0 8 декабря, 2017 Опубликовано 8 декабря, 2017 (изменено) · Жалоба давайте обсудим логику работы системы и самого процесса исходя из того, что как обновлять прошивку в 100..500 девайсах вопросов не вызывает Изменено 16 ноября, 2022 пользователем haker_fox Добавил теги. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
scifi 1 8 декабря, 2017 Опубликовано 8 декабря, 2017 · Жалоба У меня сейчас можно заливать через веб-интерфейс. Не вижу препятствий заскриптовать это дело: центральный сервер легко может сделать всё сам, нужен лишь список айпишников и файл прошивки. Слышал, делают так, что по команде через SNMP устройство само ломится на TFTP сервер и вытягивает новую прошивку самостоятельно. Вот и один из заказчиков такое просит. Придётся делать. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
x893 60 8 декабря, 2017 Опубликовано 8 декабря, 2017 · Жалоба Проблема надуманная. Только если заняться нечем, то можно обсуждать. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
VCucumber 0 8 декабря, 2017 Опубликовано 8 декабря, 2017 (изменено) · Жалоба Только если заняться нечем, то можно обсуждать. вы и занятой, и я вас не заставляю нужен лишь список айпишников в том и проблема, как я буду собирать, хранить и поддерживать список в 100500 адресов ? для этого ещё 100 человек потребуется через SNMP устройство само ломится на TFTP сервер не везде есть подключение к интеренту, я бы не закладывался - файл лучше, для того кому нужно будет обновиться и вытягивает новую прошивку самостоятельно шустрые пронырливые китайцы подсуетятся, вытянут прошивку и нарисуют ещё 100500000 девайсов Изменено 8 декабря, 2017 пользователем Огурцов Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
Baser 5 8 декабря, 2017 Опубликовано 8 декабря, 2017 · Жалоба не везде есть подключение к интеренту, я бы не закладывался - файл лучше, для того кому нужно будет обновиться А чего обсуждать - вот оно и решение. Все как сейчас у всех: кому надо, достают файл и обновляются. Кому не надо, и так хорошо. шустрые пронырливые китайцы подсуетятся, вытянут прошивку и нарисуют ещё 100500000 девайсов Бутлодер с шифрованием. Тоже типовое решение. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
VCucumber 0 8 декабря, 2017 Опубликовано 8 декабря, 2017 · Жалоба Бутлодер с шифрованием. Тоже типовое решение. поддержка 100500 ключей не сильно отличается от поддержки 100500 адресов, и к тому же не в лучшую сторону Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
AlexandrY 3 8 декабря, 2017 Опубликовано 8 декабря, 2017 · Жалоба давайте обсудим логику работы системы и самого процесса исходя из того, что как обновлять прошивку в 100..500 девайсах вопросов не вызывает Это теперь в IoT называется deployment. Смотрите технологию AWS Greengrass Ключевые протоколы - TCP, TSL, JSON, MQTT, Greengrass Ну а все это счастье теперь получаете с Amazon FreeRTOS Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
Baser 5 8 декабря, 2017 Опубликовано 8 декабря, 2017 · Жалоба поддержка 100500 ключей не сильно отличается от поддержки 100500 адресов, и к тому же не в лучшую сторону Не понял мысли о 100500 ключах. Зачем? Ключ один, в бутлодере. Он закрыт и не обновляется. Или вы хотите и бутлодер перепрошивать удаленно? B) Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
gosha-z 3 8 декабря, 2017 Опубликовано 8 декабря, 2017 · Жалоба Не понял мысли о 100500 ключах. Зачем? Ключ один, в бутлодере. Он закрыт и не обновляется. Или вы хотите и бутлодер перепрошивать удаленно? B) В бутлодере публичный ключ, прошивка подписана приватным. Если не верифицируется - не обновляемся и не грузимся. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
VCucumber 0 8 декабря, 2017 Опубликовано 8 декабря, 2017 (изменено) · Жалоба Не понял мысли о 100500 ключах. Зачем? Ключ один, в бутлодере. Он закрыт и не обновляется. так системы шифрования не строят - скомпрометируется один девайс и все последующие версии прошивки будут скомпрометированы Или вы хотите и бутлодер перепрошивать удаленно? B) нет, бутлоадер - простая программа с одной функцией навсегда - его лучше не перепрошивать в пользу увеличения безопасности работы девайса В бутлодере публичный ключ, прошивка подписана приватным. Если не верифицируется - не обновляемся и не грузимся. и в чём смысл ? ключ публичный, а значит любой может сделать аналогичный девайс и залить в туда мою прошивку а задача - ровно обратная Изменено 8 декабря, 2017 пользователем Огурцов Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
gosha-z 3 8 декабря, 2017 Опубликовано 8 декабря, 2017 · Жалоба и в чём смысл ? ключ публичный, а значит любой может сделать аналогичный девайс и залить в туда мою прошивку а задача - ровно обратная Да у вас, милейший, с пониманием принципов PKI проблема. Гугл в помощь... Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
VCucumber 0 8 декабря, 2017 Опубликовано 8 декабря, 2017 (изменено) · Жалоба Да у вас, милейший, с пониманием принципов PKI проблема а не могли бы вы пояснить, что вы имели в виду ? иначе может оказаться, что вместо хранения 100500 закрытых ключей придется хранить 100500 открытых ключей или сертификатов и плюсом к тому иметь удостоверяющий центр Изменено 8 декабря, 2017 пользователем Огурцов Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
gosha-z 3 8 декабря, 2017 Опубликовано 8 декабря, 2017 · Жалоба а не могли бы вы пояснить, что вы имели в виду ? иначе может оказаться, что вместо хранения 100500 закрытых ключей придется хранить 100500 открытых ключей или сертификатов и плюсом к тому иметь удостоверяющий центр Читать сюда, для начала, особенно раздел Digital signatures. Ну и гуглить туда же на тему Code signing. 100500 сертификатов и ключей вам нужно будет хранить в случае, если вы хотите для каждого из 100500 девайсов делать уникальную прошивку, которая будет работать только на данном конкретном экземпляре устройства. Если вам нужно только удостовериться в факте того, что прошивка получена из надежного источника - обходимся одной парой private/public keys, подписываем прошивку приватным ключом, при загрузке публичным ключом проверяем сигнатуру, если валидна (поверка хеша публичным ключом пройдена) - подпись верна, поехали. Приватный ключ хранится в тяжелом сейфе с толстыми стенками и в открытом виде нигде не появляется. Точнее, появляется, но на очень короткое время (собственно, на время генерации подписи, потом он должен исчезнуть из памяти, иначе СКЗИ сертифицировано не будет, но это уже лирика). Вы же упоминали термин "компрометация"- это как раз "уход" приватного ключа по тем или иным причинам. Из приватного ключа можно сделать публичный, наоборот - нет, на этой идее вся PKI и строится. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
VCucumber 0 8 декабря, 2017 Опубликовано 8 декабря, 2017 (изменено) · Жалоба Если вам нужно только удостовериться в факте того, что прошивка получена из надежного источника нет и ещё раз нет т.е. это конечно хорошая фича, но далеко не главная главное - удостовериться, что прошивка ушла в надёжный приёмник а в случае, если приёмник станет ненадёжным (прошивка от него ушла в мир), иметь возможность прекратить иметь с ним дело, сохранив, однако, возможность поддержки других клиентов хотя бы как вариант - не этой, но следующей версией Изменено 8 декабря, 2017 пользователем Огурцов Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
gosha-z 3 8 декабря, 2017 Опубликовано 8 декабря, 2017 · Жалоба нет и ещё раз нет т.е. это конечно хорошая фича, но далеко не главная главное - удостовериться, что прошивка ушла в надёжный приёмник Это называется Mutual authentication, и тогда, действительно, тянет за собой понятия CA, SCEP/CMPv2, CRL и т.д. и т.п. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться