Naja als Beispiel stimmt das wenn man das per ftp macht oder so. Aber ich Lade ja ausschließlich über ssh hoch und da müsste man Erstmal RSA Brechen. Zudem hast du auch noch md5, sha1 und sha2 zur Verifikation.
Darum wäre meine Bitte, dass insbesondere der Ersteller der Firmware immer signiert bevor er die Firmware hochlädt.
Wie sehen die anderen das? Ich enthalte mich.
LG Tarek
Ich kann Clemens Ausführungen gut nachvollziehen.
md5, sha1 und sha2 sind völlig wertlos, wenn nicht signiert, denn dann kann ein Angreifer einfach alle Files inklusive Signatur ersetzen (wie auch immer der Angreifer Zugriff bekommt). Dass du per SSH überträgst, ist noch dazu hinterher nicht mehr nachvollziehbar.
Anders herum bestätigst du mit deiner Signatur, dass die Hashes richtig sind und dann lässt sich anhand der Hashes die Firmware validieren.
Viele Grüße, Simon