ファームウェアの整合性を保証する方法は? (プレインストールとfwupdアップデート)

ファームウェアの整合性を保証する方法は? (プレインストールとfwupdアップデート)

Debianリポジトリにあるパッケージの場合、説明に従ってハッシュと署名が検証されます。ここ(およびこれに関連する問題)(開発中の)ソフトウェアの整合性をある程度保証する必要があります。

しかし、GNU / Linuxでファームウェアの整合性をどのように保証できますか?

一般に、完全性を確実に保証する方法は1つだけだと思います。ファームウェアはオープンソースです再生可能、ファイルの繰り返し可能なハッシュは公開されており、これらのハッシュと比較してローカルファームウェアをチェックする信頼性の高い方法です。今はそうではないと思います。しかし、あまり理想的ではないアプローチは、安全性を確保するのに大きな助けになる可能性があります。

現在のファームウェアの整合性はどのように保証されており、手動でどのように保証できますか?
ファームウェアとは、コンピュータコンポーネント(接続されているデバイスを含む)にプリインストールされているファームウェアとfwupdmgr updatefwupd()を使用したファームウェアの更新を意味します。


GNU / LinuxでPC以外のファームウェアを更新できるfwupd以外のツールはわかりませんが、おそらくより多くの可能性があります。 Debian11/KDEでは、ファームウェアアップデートはデフォルトでパッケージマネージャとは無関係です。これらのアップデートを表示して実行するようにKDEパッケージマネージャ「Discover」のみを設定できます。ダウンロードしたアップデートファイルの整合性は、パッケージマネージャ(Apperなど)からインストールできる他のパッケージほど安全にチェックされないため、デフォルトではパッケージマネージャの一部ではないかどうか疑問に思います。

答え1

fwupdファームウェアアップデートは、KDE ​​DiscoverまたはGNOMEソフトウェアを介して提供されます。Linuxベンダーファームウェアサービス

アップデート内容はLVFS署名;これは推定仕入先へのアクセスは厳密に管理され、仕入先がアップロードした文書は信頼できます。インストールツールは、fwupd(最終的に)署名を確認できないファームウェアパッケージのインストールを拒否します。

多くのデバイスは、何らかの方法で未確認のファームウェアアップデートを拒否しますが、これはアップデートを適用するために使用されるツールとは何の関係もありません。 (これはディストリビューションに付属のCPUマイクロコードアップデートにも適用されます。)

関連情報