嵌入式系統(tǒng)上的軟件從何而來

您的嵌入式系統(tǒng)上的軟件從何而來？你能證明嗎？您能安全地在現場更新系統(tǒng)嗎？密碼學提供了驗證軟件和數據完整性和來源的工具。有一個關于用戶如何驗證軟件來源的過程，軟件是否在傳輸過程中被篡改，以及安裝后是否被修改。

軍事系統(tǒng)受到許多攻擊，包括對向系統(tǒng)提供軟件的軟件供應鏈的攻擊。為了確保防范這些攻擊，管理人員應該問三個問題：軟件組件的來源是什么？軟件是否被篡改或修改？他們能證明嗎？

密碼學通過軟件簽名和哈希來解決此問題，它們協(xié)同工作以驗證源和文件。軟件簽名使用公鑰/私鑰對來驗證軟件的來源。使用私鑰對軟件進行簽名，然后使用該公鑰驗證軟件是否已使用該特定私鑰進行簽名。簽名者和軟件是否可以信任是單獨的討論;軟件簽名驗證軟件的來源，以及簽名后是否未被篡改。

哈希是一種處理任意長度的文件或數據集并生成該文件唯一的固定長度校驗和的技術。對文件的任何更改都會產生一個全新的校驗和 - 例如，更改 10 GB 文件中的一位將產生不同的校驗和。流行的（雖然有些弱）sha1 哈希產生 40 個字符的校驗和，而更安全的 sha256 哈希產生 64 個字符的校驗和。使用文件及其校驗和，您可以驗證文件是否未以任何方式損壞或篡改。哈希運行速度很快，即使在大文件上也是如此，使其成為文件驗證的有效工具。

這些技術可以應用于任何文件。文件是否包含源代碼、可執(zhí)行映像、數據或其他文件并不重要;可以使用任何文件或數據集。

源頭可以控制嗎？

所有軟件的起點都是源代碼，源代碼通常由多個人在一段時間內編寫和修改，并作為產品的多個版本和更新發(fā)布。代碼分布在數百或數千個文件中，并且不斷變化。有效的代碼管理使用版本控制的代碼存儲庫，例如 git1。git 存儲庫是一個補丁數據庫，每個補丁都有一個唯一的標識符。在 git 中，這個唯一標識符是補丁內容的哈希值——結果是每個補丁都由其內容標識。對修補程序內容的任何更改都會立即可見，因為修補程序不再與其標識符匹配。

git 補丁包括有關應用它的上一個補丁的信息以及提交補丁的人員的身份。與區(qū)塊鏈類似，git 補丁包含基于加密的一組后臺指針，使某人無法在不被發(fā)現的情況下更改歷史記錄。補丁也可以使用前面描述的技術進行簽名，從而驗證誰制作了補丁。此技術在任何需要驗證貢獻的環(huán)境中都是有用的工具。

版本控制的軟件存儲庫是任何安全軟件供應鏈的基礎，因為它提供了軟件所有更改的歷史記錄以及更改者。它還提供了構建特定版本的軟件包的可靠方法。

建立可驗證的出處

使用來自已知和可信來源的軟件對于維護嵌入式系統(tǒng)的完整性非常重要。但是你怎么知道一個可安裝的軟件實際上來自已知的源代碼呢？

源代碼存儲庫與 Jenkins2 等自動化構建系統(tǒng)相結合，使用戶能夠從一組已知的源文件構建可執(zhí)行映像。生成映像后，生成系統(tǒng)可以對其進行簽名和哈希處理。這使用戶既知道軟件的來源，又知道生產軟件的確切版本。例行版本使用測試密鑰簽名，而生產版本使用發(fā)布密鑰簽名，需要特殊授權和批準，并且通常在單獨的安全系統(tǒng)上簽名。這使用戶能夠確定軟件的來源以及它是否是正式版本。

組成一個軟件的所有文件都合并到一個包中，用于分發(fā)、安裝和更新。Linux 中使用的打包系統(tǒng)是 rpm3。rpm 是單個文件，其中包含多個文件的壓縮存檔以及用于安裝、配置、更新和刪除其關聯應用程序的命令。rpm 文件還包括存檔中所有文件的清單，包括它們的名稱、版本號和校驗和。此清單信息包含在 rpm 數據庫中，該數據庫維護系統(tǒng)上安裝的所有基于 rpm 的軟件的信息。

軟件通常包含第三方組件。當這些第三方組件包含在 rpm 中時，rpm 元數據和校驗和可確保這是供應商包含的軟件。應簽署第三方組件以確保其完整性;如果它們只是從其他供應商傳遞，則應由其他供應商簽名。

通常，rpm 包本身是經過簽名的。創(chuàng)建和簽署 rpm 包的工具包含在 Linux 中，每個開發(fā)軟件的人都應該使用，包括內部開發(fā)人員。默認情況下，rpm 安裝程序會在允許安裝之前檢查軟件包是否使用已知密鑰進行簽名。嘗試安裝未簽名的軟件或使用未知密鑰簽名的軟件將失敗，除非它們被覆蓋。rpm 安裝程序還會檢查軟件包的完整性：如果軟件包的內容已被修改，無論是通過數據損壞還是惡意篡改，安裝都將失敗。

操作系統(tǒng)供應商將在操作系統(tǒng) （OS） 中包含其公鑰。此添加使用戶能夠確保軟件包、更新和安全勘誤表實際上來自操作系統(tǒng)供應商，并且未被任何外部方篡改。

用戶必須將每個已批準供應商的軟件密鑰添加到系統(tǒng)中。根據特定的安全要求，用戶可能需要采取措施來確保供應商密鑰的有效性，尤其是在從鏡像或其他中間源（如系統(tǒng)集成商）下載軟件時。密鑰應直接從供應商網站獲取。有些人甚至隨身攜帶來自已知來源的密鑰的硬拷貝列表。

此外，簽名的 rpm 包允許通過郵件使用不安全的傳輸，例如互聯網或 CD-ROM，因為 rpm 工具可以驗證 rpm 的來源以及它是否已損壞或篡改。

安裝后的使用壽命

在安裝之前和安裝期間檢查軟件是一個良好的開端，但在安裝完成后繼續(xù)維護非常重要。可以做些什么來驗證正在運行的系統(tǒng)？

rpm 的一個強大功能是它允許用戶驗證正在運行的系統(tǒng)上文件的完整性。rpm 數據庫包括每個 rpm 中包含的所有文件的校驗和。系統(tǒng)實用程序使用戶能夠計算系統(tǒng)上每個文件的校驗和，將其與rpm數據庫進行比較，并識別已更改的任何文件。rpm 數據庫是一種快速有效的方法。實現此目的的另一種方法是返回到已簽名的 rpm 包并直接從 rpm 使用校驗和。雖然這種方式較慢并且需要訪問原始安裝文件，但它非常安全。

主要的 Linux 發(fā)行版使用這些技術來確保它們從已知來源安裝和運行未經修改的軟件。了解系統(tǒng)上安裝的所有軟件的來源以及是否已更改至關重要。這些知識是在現場部署和更新系統(tǒng)時建立和維護系統(tǒng)完整性的有力起點。

審核編輯：郭婷