Свободное железо — не панацея

[KL FC Bot]

Программное обеспечение с открытым исходным кодом часто считают более безопасным, чем проприетарное. Похожую концепцию пытаются использовать и при разработке железа, однако у экспертов, известных как Andrew «bunnie» Huang, Sean «xobs» Cross и Tom Marble, возникли сомнения в том, что этого достаточно, чтобы быть уверенным в безопасности железа. На прошедшей в последние дни 2019 года 36-й хакерской конференции Chaos Communication Congress (36C3) bunnie рассказал, почему это так.

Принципиальная разница

На самом деле, безопасность свободного ПО обеспечивается не только открытостью исходного кода, но и повсеместно используемыми инструментами, позволяющими убедиться, что программа, которую вы запускаете, действительно соответствует опубликованному исходному коду. Создатели программы подписывают ее цифровым сертификатом, а система проверяет ее целостность при запуске на компьютере пользователя.
При работе с железом это не так. К сожалению, нет возможности получить какой-либо аналог хеша аппаратного обеспечения, а также подписать его — то есть у пользователя нет возможности проверить, соответствует ли железо опубликованным о нем данным, или нет. Последний раз устройство или чип проверяется на фабрике. Таким образом, возрастает промежуток между моментом проверки и моментом использования. А чем он дольше, тем более вероятна возможность успешного проведения MITM-атаки.
 
Читать далее >>