关于无线更新的块级签名
Block Level signature with respect to Over The Air Update
我一直在读这个有趣的东西link https://news.ycombinator.com/item?id=13741625
我在哪里看到'block level signature'这个词。块级签名到底是什么意思?
任何非常有用的指示。
讨论是关于允许您升级整个磁盘(或固件)映像的 OTA 更新。此图像将由 blocks.
组成
在这些块之上可能还会有一个文件系统,因此一些块将构成文件,而其他块将构成文件系统元数据和其他东西。
按照我的理解,在此上下文中的块级签名意味着对整个磁盘映像(即所有块)进行签名。这与签署作为图像一部分的文件形成对比。一个类比是签署硬盘驱动器的所有块,而不是签署磁盘上的每个单独文件。
讨论的论点是:
Signing an archive would probably be good enough for many cases. Block level is a bit simpler (all or nothing) and thus less risk of mixing with unsigned parts (sideloading attacks).
For security-sensitive embedded devices (e.g. payment terminals), block level signatures would allow hardware verification during boot as well (1st stage bootloader verifies 2nd stage, then kernel, etc.) if designed correctly.
事实上,如果您想要对作为映像一部分的文件进行签名,那么您将需要解析文件系统,这通常非常复杂且实施起来容易出错。在块级别读取整个图像并计算签名要容易得多。
我一直在读这个有趣的东西link https://news.ycombinator.com/item?id=13741625
我在哪里看到'block level signature'这个词。块级签名到底是什么意思?
任何非常有用的指示。
讨论是关于允许您升级整个磁盘(或固件)映像的 OTA 更新。此图像将由 blocks.
组成在这些块之上可能还会有一个文件系统,因此一些块将构成文件,而其他块将构成文件系统元数据和其他东西。
按照我的理解,在此上下文中的块级签名意味着对整个磁盘映像(即所有块)进行签名。这与签署作为图像一部分的文件形成对比。一个类比是签署硬盘驱动器的所有块,而不是签署磁盘上的每个单独文件。
讨论的论点是:
Signing an archive would probably be good enough for many cases. Block level is a bit simpler (all or nothing) and thus less risk of mixing with unsigned parts (sideloading attacks).
For security-sensitive embedded devices (e.g. payment terminals), block level signatures would allow hardware verification during boot as well (1st stage bootloader verifies 2nd stage, then kernel, etc.) if designed correctly.
事实上,如果您想要对作为映像一部分的文件进行签名,那么您将需要解析文件系统,这通常非常复杂且实施起来容易出错。在块级别读取整个图像并计算签名要容易得多。