Linux
如何保證韌體的完整性?(預裝和 fwupd 更新)
對於 Debian 儲存庫中的軟體包,雜湊和簽名按照此處所述(以及連結的問題)進行檢查,以至少在一定程度上確保軟體的完整性(正在開發中)。
但是如何在 GNU/Linux 上確保韌體的完整性呢?
我認為大致上只有一種方法可以可靠地確保完整性:韌體是開源和可重現的,文件的可重現雜湊和是公開的,以及根據這些雜湊和檢查本地韌體的可靠方法。我認為目前情況並非如此——儘管如此,不太理想的方法也可能有助於確保安全。
目前如何確保韌體的完整性以及如何手動確保?
對於韌體,我指的是電腦組件(包括連接到它的東西)上預裝的韌體以及使用 fwupd (
fwupdmgr update) 進行的韌體更新。除了 fwupd 之外,我不知道在 GNU/Linux 上更新非特定 PC 韌體的工具,但也許還有更多。預設情況下,在 Debian11/KDE 上,韌體更新與包管理器是分開的。只能將 KDE 包管理器“發現”配置為也顯示(提示使用者)並執行這些更新。我想知道預設情況下它是否仍然不是包管理器的一部分,因為下載的更新文件的完整性沒有像可以從包管理器安裝的其他包(例如 Apper)那樣安全地檢查。
fwupd通過KDE Discover 或 GNOME 軟體提供的韌體更新是通過Linux 供應商韌體服務提供的。更新由 LVFS 簽名;假設供應商訪問受到嚴格控制,並且供應商上傳的文件是值得信賴的*。*安裝工具(最終,
fwupd)將拒絕安裝簽名無法驗證的韌體包。許多設備會拒絕未以某種方式或其他方式驗證的韌體更新,但這與用於應用更新的工具無關。(這也適用於您的發行版提供的 CPU 微碼更新。)