Firmware signieren (technisch)

Navigation

  1. Home
  2. Kalender
    1. 0_Vorlage
    2. 1043nd-LTE-uplink
    3. Antennenbuchsen
    4. Aufkleber-bestellen
    5. BATMAN v15 Umstieg
    6. Best-Practices
    7. Blogeintrag-verfassen
    8. Checkliste-Ausseneinsatz
    9. CronJob-micrond
    10. Firmware-Release-anlegen
    11. Firmware-Testing-2023.1
    12. Firmware-herausbringen
    13. Firmware-signieren
    14. Flyer-bestellen
    15. Fritzbox-Gastzugang
    16. Gatemon-mit-Raspberry-Pi-installieren
    17. Geräte-hinter-Freifunk-Router-erreichen-ssh-proxy
    18. Kartendaten aktualisieren
    19. Kartierung-der-Routerfeldstaerke-im-Aussenbereich
    20. Knotendurchsatz-mit-iperf3-Messen
    21. Mitmachen
    22. Netzerweiterung-Richtfunk
    23. Node-Statusseite
    24. Offloader-Futro-S900
    25. Outdoorboxen
    26. Poster-A3-bestellen
    27. ProviderSteering
    28. Radio-Futro
    29. Router-im-Akkubetrieb
    30. SSH-Node-Verwaltung
    31. Selbstbauantennen
    32. Seriell-USB
    33. ServiceFastd
    34. Solar-Node
    35. Tipps-und-Tricks-in-Linux
    36. USB Freigabe am Router
    37. Unbrick
    38. VPN-Setup
    39. WAN-auf-allen-LAN-Ports
    40. WinSCP-Sitzung-Exportieren
    41. Windows Tricks
      1. Debugging
      2. FAQ
      1. Firmware-Mirror
      2. Firmware-sysupgrade
      3. Flashen-FritzBox-4040
      4. Flashen-einer-Unifi-AC-Mesh
      5. Flashen-von-Ubiquiti
      6. Flashen
      7. Flashen_2019.1.3_Bremen8
      8. Flashen_Xiaomi-mi_router_4a
      9. Home
      10. Testen
      11. UBNT-M2-Loco-Flashen-wenn-signierte-AirOS-Firmware
      12. UBNT-Unifi-AC-Mesh-flashen
      1. Befehlsuebersicht-Willie-Original
      2. HowToStatusBot
      3. Pruefen-Voraussetzung-fuer-Willie
      4. ZNC-IRC-Bouncer
      1. 2020-Update-Offloader-Ubiquiti-ER-X
      2. Gluon2020.1-back-to-stock-ubnt-erx-initramfs-kernel.bin
      3. Gluon2020.1-back-to-stock-ubnt-erx-sfp-initramfs-kernel.bin
      4. Gluon2020.1-ubnt-erx-initramfs-factory.tar
      5. Gluon2020.1-ubnt-erx-sfp-initramfs-factory.tar
      6. Offloader-Futro-Image
      7. Offloader-Futro-S900
      8. Offloader-Futro
      9. Offloader-Ubiquiti-ER-X
      10. Software-Futro
      11. Was-ist-ein-Offloader
      12. X86-Sysupgrade-fix-and-recover
      13. X86-VM-VDMK-Image
      1. RaspBerry-GUI-oder-Konsole
      2. RaspBerry-Hacks
      3. RaspBerry-PiShrink
      4. RaspBerry-Speedtest
      5. RaspBerry-Ubuntu
      6. RaspBerry-Zero-FF-Router
      7. Raspberry-Zero2w
      8. Raspi-mit-Batman-ins-Mesh
    1. Buildserver
    2. DNS
    3. Download-Server
    4. Freifunkmanager
    5. Home
    6. Ticketsystem
    1. Freifunk-erklaert
    2. Richtfunk
    1. 2015_06-Freifunk-fur-Findorff
    2. Batman v15 Probleme
    3. Beobachtete-Probleme
    4. Referenzen
    1. 25-Computer-Boerse-Bremen
    2. 36C3
      1. Allgemein
      2. Breminale-2023
      3. Finanzierungen
      4. Inventur_2023
      5. Material
      6. Netz
      7. Netzwerk-und-LeistungsTests
      8. Portalseite-und-Services
      9. Programmhefttext
      10. Promotion
      11. Termine
        1. Alles
        2. Ideen-zur-Breminale
        3. Material
        4. NocPad
        5. OrgaPad
        6. Termine
        7. ToDo_Transport
        1. Alles
        1. Alles
        1. Freifunk-Bremen-auf-der-Breminale-2019
        1. Freifunk-Bremen-auf-der-Breminale-2022
        1. 2015_04_22-Treffen-mit-Sternkultur
        2. 2015_05_25
        3. 2015_06_01
        4. 2015_06_08---Personal-Orga
        5. 2015_06_15-viertes-Breminale-Treffen
        6. 2015_06_22-konkrete-Netzplanung
        7. 2015_06_29-Unterstuetzung
        8. 2015_08_17-Breminale-Nachtreffen
      1. Allgemein
      2. Toern-2016
    1. Changelog
    2. Funktionen
    3. Varianten
    1. Ansprechpartner
    2. Datenschutz
    3. Kosten
    4. Netzwerk
    5. Oeffentlichtkeitsarbeit
    6. Server
    1. Flyer-Redesign
    2. Projekte
      1. Dokumentation
      2. Hardware
    1. Empfehlungen
    2. Richtwirkung-von-Sektorantennen
    3. Routerabholstandorte
    1. 00_Treffen-Vorlage
    2. Anleitung_Treffen
    3. latest
      1. 2013_12_20
      1. 2014_01_10
      2. 2014_02_10
      3. 2014_03_14
      4. 2014_04_18
      5. 2014_05_16
      6. 2014_06_20
      7. 2014_07_18
      8. 2014_08_15
      9. 2014_09_19
      10. 2014_10_17
      11. 2014_11_21
      12. 2014_12_19
      1. 2015_01_16
      2. 2015_02_20
      3. 2015_03_20
      4. 2015_04_17
      5. 2015_05_15
      6. 2015_06_05
      7. 2015_06_19
      8. 2015_07_03
      9. 2015_08_07
      10. 2015_09_04
      11. 2015_09_17
      12. 2015_10_02
      13. 2015_10_15
      14. 2015_11_06
      15. 2015_11_19
      16. 2015_12_04
      17. 2015_12_17
      1. 2016_01_08
      2. 2016_01_22
      3. 2016_02_05
      4. 2016_02_19
      5. 2016_03_04
      6. 2016_03_18
      7. 2016_04_01
      8. 2016_04_15
      9. 2016_05_06
      10. 2016_05_20
      11. 2016_06_03
      12. 2016_06_17
      13. 2016_07_01
      14. 2016_07_15
      15. 2016_07_22
      16. 2016_08_05
      17. 2016_08_19
      18. 2016_09_02
      19. 2016_09_09-Arbeitstreffen-Website
      20. 2016_09_16
      21. 2016_09_23-Vereinsgruendungstreffen
      22. 2016_10_07
      23. 2016_10_21
      24. 2016_11_04
      25. 2016_11_18
      26. 2016_12_02
      27. 2016_12_16
      1. 2017_01_06
      2. 2017_01_20
      3. 2017_01_24-backbone
      4. 2017_02_03
      5. 2017_02_17
      6. 2017_03_03
      7. 2017_03_17
      8. 2017_04_07
      9. 2017_04_21
      10. 2017_05_05
      11. 2017_05_14-Breminale
      12. 2017_05_19
      13. 2017_05_30-Breminale
      14. 2017_06_02
      15. 2017_06_11-Breminale
      16. 2017_06_16
      17. 2017_06_25-Breminale
      18. 2017_07_21
      19. 2017_08_04
      20. 2017_08_18
      21. 2017_09_01
      22. 2017_09_15
      23. 2017_10_06
      24. 2017_10_20
      25. 2017_11_03
      26. 2017_11_17
      27. 2017_12_01
      28. 2017_12_15
      1. 2018_01_05
      2. 2018_01_19
      3. 2018_02_02
      4. 2018_02_16
      5. 2018_03_02
      6. 2018_03_16
      7. 2018_04_06
      8. 2018_04_20
      9. 2018_05_04
      10. 2018_05_18
      11. 2018_06_01
      12. 2018_06_15
      13. 2018_06_29-Breminale
      14. 2018_07_06
      15. 2018_07_20
      16. 2018_08_03
      17. 2018_08_17
      18. 2018_09_07
      19. 2018_09_21
      20. 2018_10_05
      21. 2018_10_19
      22. 2018_11_02
      23. 2018_11_16
      24. 2018_12_07
      25. 2018_12_21
      1. 2019_01_04
      2. 2019_01_18
      3. 2019_02_01
      4. 2019_02_15
      5. 2019_03_01
      6. 2019_03_15
      7. 2019_04_05
      8. 2019_04_19
      9. 2019_05_03
      10. 2019_05_17
      11. 2019_06_07
      12. 2019_06_21
      13. 2019_07_19
      14. 2019_08_02
      15. 2019_08_16
      16. 2019_09_06
      17. 2019_09_20
      18. 2019_10_04
      19. 2019_10_18
      20. 2019_11_01
      21. 2019_11_15
      22. 2019_11_18
      23. 2019_12_06
      24. 2019_12_20
      1. 2020_01_03
      2. 2020_01_17
      3. 2020_02_07
      4. 2020_02_21
      5. 2020_03_06
      6. 2020_03_20
      7. 2020_04_03
      8. 2020_04_17
      9. 2020_05_01
      10. 2020_05_15
      11. 2020_06_05
      12. 2020_06_19
      13. 2020_07_03
      14. 2020_07_17
      15. 2020_08_07
      16. 2020_08_21
      17. 2020_09_04
      18. 2020_09_18
      19. 2020_10_02
      20. 2020_10_16
      21. 2020_11_06
      22. 2020_11_20
      23. 2020_12_04
      24. 2020_12_18
      1. 2021_01_01
      2. 2021_01_15
      3. 2021_02_05
      4. 2021_02_19
      5. 2021_03_05
      6. 2021_03_19
      7. 2021_04_02
      8. 2021_04_16
      9. 2021_05_07
      10. 2021_05_21
      11. 2021_06_04
      12. 2021_06_18
      13. 2021_07_02
      14. 2021_07_16
      15. 2021_08_06
      16. 2021_08_20
      17. 2021_09_03
      18. 2021_09_17
      19. 2021_10_03
      20. 2021_10_15
      21. 2021_11_05
      22. 2021_11_19
      23. 2021_12_03
      24. 2021_12_17
      1. 2022_01_07
      2. 2022_01_21
      3. 2022_02_04
      4. 2022_02_18
      5. 2022_03_04
      6. 2022_03_18
      7. 2022_04_01
      8. 2022_04_15
      9. 2022_05_06
      10. 2022_05_20
      11. 2022_06_03
      12. 2022_06_17
      13. 2022_07_01
      14. 2022_07_15
      15. 2022_08_05
      16. 2022_08_19
      17. 2022_09_02
      18. 2022_09_16
      19. 2022_10_07
      20. 2022_10_21
      21. 2022_11_04
      22. 2022_11_18
      23. 2022_12_02
      24. 2022_12_16
      1. 2023_01_06
      2. 2023_01_20
      3. 2023_02_03
      4. 2023_02_17
      5. 2023_03_03
      6. 2023_03_17
      7. 2023_04_07
      8. 2023_04_21
      9. 2023_05_05
      10. 2023_05_19
      11. 2023_06_02
      12. 2023_06_16
      13. 2023_07_07
      14. 2023_07_21
      15. 2023_08_04
      16. 2023_08_18
      17. 2023_09_01
      18. 2023_09_15
      19. 2023_10_06
      20. 2023_10_20
      21. 2023_11_03
      22. 2023_11_17
      23. 2023_12_01
      24. 2023_12_15
      1. 2024_01_19
      2. 2024_02_16
      3. 2024_03_15
      4. 2024_04_19
      5. 2024_05_17
      6. 2024_06_21
      7. 2024_07_19
      8. 2024_08_16
      9. 2024_09_20
      10. 2024_10_18
      11. 2024_11_15
      12. 2024_12_20
    1. Dokumentation
    2. Themensammlung

Das Signieren der Firmware ist nötig, damit der Autoupdater auf den Knoten die neue Firmware akzeptiert. So ist sichergestellt, dass nur befugte Personen eine neue Firmware bereitstellen können.
Im Endeffekt wird aber gar nicht die Firmware signiert, sondern das dazugehörige Manifest, in welchem der Branch, das Startdatum zum Ausrollen, der Zeitraum über den das Ausrollen gestreckt werden soll, sowie Links mit Hash zu den Firmware-Images hinterlegt sind.

Aktuell sind für den Testing-Branch eine und für den Stable-Branch zwei gültige Signaturen nötig.
Welche Signatur akzeptiert wird, ist fest in der Firmware verbaut (konfiguriert in der site.conf im Abschnitt "autoupdater"). Falls in neuen Versionen Schlüssel von neuen Personen dazukommen und diese verwendet werden, kann es sein, dass ein Gerät mit älterer Firmware die neue Firmware nicht installiert, da es die Signatur nicht verifizieren kann.

Manifest-Dateien

Für eine neue Testing-Firmware wird die Datei firmware/testing/sysupgrade/testing.manifest signiert.

Für eine Stable-Firmware wird die Datei firmware/testing/sysupgrade/stable.manifest signiert, und später wird dann der "stable"-Link unter firmware/ umgesetzt, so dass die alte Testing-Version dann als Stable gefunden wird.

Technische Voraussetzungen

  • ecdsautils
    https://github.com/tcatm/ecdsautils
    • libuecc
      http://git.universe-factory.net/libuecc

Wie diese installiert werden, kann hier nachgelesen werden: https://wiki.freifunk.net/ECDSA_Util

Manche Linux-Distros bieten die ecdsautils auch schon als Paket an, z.B. ist die Installation unter Debian und Ubuntu dadurch einfach: 

sudo apt-get install ecdsautils

Signieren

Zum Signieren benutzen wir die sign.sh im Verzeichnis contrib des Gluon-Repositories.
Wenn man das Repository für die Bremer Firmware gecloned hat und sich darin befindet, lässt sie sich mit gluon/contrib/sign.sh aufrufen.

Die sign.sh wird wie folgt verwendet: sign.sh <secret> <manifest>

Beispiel: 

$ gluon/contrib/sign.sh ~/.ecdsakey gluon/images/sysupgrade/stable.manifest
Der Grund, warum das sign.sh-Skript zu verwenden besser ist, als nur das ecdsasign-Programm, ist wie folgt:
Das Skript sorgt dafür, dass nur die wichtigen Elemente im Manifest signiert werden und die Signatur sinnvoll hinzugefügt wird. Ohne diese Vorkehrung würde eine zweite Signatur, mit dem selben Key, anders aussehen, da sie die bereits hinterlegte mitsignieren würde.