안전한 무선 업데이트를위한 모범 사례 [닫기]

다수의 IoT 장치에 OTA 업데이트를 발행 할 때 따라야 할 최상의 보안 방법은 무엇입니까? 우려 할 중요한 원인은 무엇입니까?

예를 들어

업데이트를 가로 채지 못하도록 방지
확립 된 표준 준수
소프트웨어 배포 플랫폼
자동 업데이트 및 선택적 업데이트

security over-the-air-updates

— 노암 해커
소스

이 질문은 너무 넓어서 Q & A에 적합하지 않습니다.

— Sean Houlihane

@SeanHoulihane, 나는 OTA의 보안에 초점을 좁혔다. 지금 어떻게 보입니까?

— Noam Hacker

각 글 머리 기호 자체에 대한 독자적인 질문 일 수 있으므로 여전히 광범위합니다. 성공의 마지막 글 머리 기호조차도 그것에 관한 전체 책을 쓸 수 있습니다.

— Dom

Dom에 동의합니다. 신뢰할 수있는 결과 보장과 같은 OTA의 한 측면을 취하는 것이 좋습니다. 그럼에도 불구하고 많은 답변이 있습니다. 이상적으로는 질문에 '답변'을 허용하려면 하나 또는 두 개의 고품질 답변 만 있으면됩니다.

— Sean Houlihane

제목도 편집 하시겠습니까?

— Sean Houlihane

그 질문은 너무 광범위하지만 가장 중요한 것 하나를 생략했다면, 나는 정리해야한다고 생각합니다.

업데이트를 인증하십시오 .

장치에서 코드를 실행하고 있는지 확인하려면 암호화가 아닌 인증이 필요합니다. 암호화는 다른 사람들이 코드의 내용을 알 수 없도록하며 달성하기 어렵고 거의 유용하지 않습니다. (암호화는 가능하지만 암호 해독 키가 장치에있는 경우 코드를 직접 보호 할 수없는 암호 해독 키를 보호 할 수있는 방법이 없다면 아무 것도 얻지 못했습니다.) 진위성은 다른 사람이 소유 한 속성입니다. 가짜 업데이트를 생성 할 수 없으며 일반적으로 해당 속성이 바람직합니다.

암호화는 인증에 도움이되지 않습니다. 이것은 실제로 보안을 이해하지 못하는 사람들이 때때로 가지고 있다는 잘못된 믿음이지만, 사실이 아닙니다.

일부 장치의 경우 소유자가 원하는 경우 펌웨어를 실행하는 것이 좋습니다. 이 경우 장치 소유자 만 펌웨어를 설치할 수 있고 무작위로 지나가는 사람이 아니라는 메커니즘이 여전히 필요합니다. 일반적으로 이는 장치가 등록 된 소유자가 제공 한 것으로 업데이트를 인증해야 함을 의미합니다.

— 질 'SO- 악마 그만해'
소스

이것은 실제로 올바르지 않습니다. 암호화는 달성하기가 어렵지 않고 "거의 유용하지"않습니다. 또한이 암호화는 "진실성에 도움이되지 않습니다"는 반 사실 일뿐입니다. GCM과 같은 대부분의 최신 암호화 모드는 실제로 인증 및 기밀성을 결합한 "인증 된 암호화"체계라고합니다.

— mat

@mat 나는 그 문장이 공식적으로 정확하도록 변경했습니다. 암호화는 어렵지 않지만 기밀성을 말하는 것이 어렵습니다. 키를 기밀로 유지할 수없는 경우 암호화는 기밀성을 제공하지 않습니다. 암호화는 진정성에 전혀 도움이되지 않습니다. 인증 된 암호화를 사용하면 둘 다 제공하지만 암호화가 포함되어 있다는 사실은 인증을 얻는 데 도움이되지 않습니다.

— Gilles 'SO- 악마 그만해'

키가 유출되면 모든 암호는 기밀성이나 인증을 위해 유용성을 잃습니다. 장치에서 보호되지 않은 키로 암호화를 사용하는 것이 합리적이라면 위협 모델 (장치의 접근성, 적의 능력)에 따라 다릅니다.

— mat

@mat 아니요. 사실 이전 의견에서 GCM 의견에 반응 했어야합니다. GCM은 업데이트를 브로드 캐스트하는 적절한 방법이 아닙니다. 클래스 키로 인증을 확인한다는 의미이기 때문입니다. 강화 된 플랫폼 (예 : 스마트 카드)을 만들지 않는 한 클래스 키는 공개만큼 좋습니다. 업데이트는 비대칭 암호화를 사용해야합니다. 이렇게하면 장치에 가짜 업데이트를 배포하려면 특정 장치를 위반해야합니다. 모든 곳에서 작동하는 가짜 업데이트를 생성하려면 공격자가 서버 나 프로토콜을 차단해야하며 일반적으로 이러한 장치는 들.

— Gilles 'SO- 악마 중지'