Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: [Lug-bg] LUG-BG 2019

Subject: Re: [Lug-bg] LUG-BG 2019
From: "Tsvetan Usunov, OLIMEX Ltd" <usunov@xxxxxxxxxx>
Date: Tue, 26 Feb 2019 13:42:34 +0200

Здравейте,

Предлагам да направим дискусия на тема:

Как бих направил една ARM линукс система temper-proof
-----------------------------------------------------

Темата е породена от съвсем реален проблем

Произвеждаме малки Linux компютри които хора ползват за най-различниприложение, повечето от които са индустриални решения за управления намашини, POS системи и т.н.

За някои приложения трябва кодът, който е записан да не може да сепроменя от външни лица без оторизация.

т.е. правите някаква машина която се управлява с компютъра и никой да неможе после да сложи една флашка и да смени софтуера без това да еоторизирано.

Всеки ARM процесор има първоначален BROM сложен в ROM памет койтоинициализира RAM, периферии и изпълнява последователност в търсене откъде да продължи BOOT-a.

ARM има TrustZone и този BROM се изпълнява в такъв режим, проблема е чепри всички малки АРМ компютърчета производителите не са мислили изобщоза TrustZone когато са писали и BROM ще предаде контрола на първотоустройство което види че има валиден изпълним код, без изобщо да сеизолира.

Ако бе направено както трябваше този BOOT имидж трбяваше да е криптиранс частен ключ и да се изпълнява само ако е подписан от ключа който езаписан в OTP паметта на процесора. Такава памет има но BROM изобщо не ятърси. Няма и никакви ресурси за това как работи TrustZone на AllwinnerSOC само разни хора са хаквали от време на време по нещо си.


Съответно и secure boot имиджи не могат да се пуснат директно.

Тук е описан BROM http://linux-sunxi.org/BROM

В зависимост от външни пинове може да се конфигурира от къде да търсиboot, обикновено това е:

   if boot pin set -> USB

else try SD-card if fail -> NAND if fail -> eMMC if fail -> SPI iffail -> USB

С най-голям приоритет са USB и SD-карта 0, за да може всяка платка да сеспаси ако вътрешните флаш (NAND/eMMC/SPI) памети се компрометират илиимат повреден имидж да може да се презапише.

По принцип най-често се ползва вътрешна eMMC памет защото има голям обем(по-голям от SPI) и е по надеждна от NAND.

Ако темата ви е интересна, може да помислим заедно, какво би могло да сенаправи, включитено ако трябва да се добавят и допълнителни хардуерикато външни крипточипове, да се махат периферии като USB SD-карти и т.н.имаме свобода при хардуера да се модифицира за да се получи накраянадеждна temper proof система.


Преди две години на OpenFest имаше подобна лекция:

https://www.openfest.org/2016/bg/programa/#lecture-203

https://www.youtube.com/watch?v=cyHGN72VMSc&list=PLzUxAJX9n5voqruxaw0gevv5C5ZoGLAq1&index=35

Отблежете че основното предназначение на TrustZone не е само trustedsecure boot. Чрез TrustZone се имплементира виртуализация на embeddedtrusted изчислителна платформа, която споделя CPU и паметта с OS ноработи напълно изолирано. Например в TrustZone може да имате гарантираносигурна работа със запазена чувствителна информация, крипто ключове иресурси, които няма да са достъпни, дори ако user OS е напълнокомпрометирана с root достъп до всички ресурси, в момента който някой отTrustZone ресурсите се опита да се достъпне отвън се генерира exeption иконтрола се поема от TrustZone.За да има обаче истински работеща TrustZone трябва да има secure boot,който да не може лесно да се компрометира иначе няма гаранция за сигурноопазване на TrustZone ресурсите.

Ще ми е интересно да стане дискусия по темата., сигурен съм че ще имахора с много повече опит които да споделят какво и как правят.



поздрави
Цветан

On 2/25/19 7:25 PM, Marian Marinov wrote:

A някой дали би искал да направи лекция на на тази дата?

On 2/17/19 3:26 PM, Marian Marinov wrote:

Здравейте,

искате ли да направим срещата тази година на 06.Април в Пловдив?

Поздрави,
Мариян


_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg




_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg

_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg

Относно:
- [Lug-bg] LUG-BG 2019
  - Изпратено от: Marian Marinov <mm@xxxxxxxx>
- Re: [Lug-bg] LUG-BG 2019
  - Изпратено от: Marian Marinov <mm@xxxxxxxx>

Предишно по дата: Re: [Lug-bg] LUG-BG 2019
Следващо по дата: Re: [Lug-bg] LUG-BG 2019
Предишно по тема: Re: [Lug-bg] LUG-BG 2019
Следващо по тема: Re: [Lug-bg] LUG-BG 2019
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG