Firmware-Sicherheit durch Signatur

Die Firmware-Konfiguration in der Scout Console oder am Gerät kann so eingestellt werden, dass das Gerät vor jedem Update die Signaturen für die Image-Datei (IDF) und/oder eLux Software-Pakete prüft. In diesem Fall wird das Update nur dann durchgeführt, wenn die Signaturprüfung von IDF und/oder eLux Software-Paketen erfolgreich abgeschlossen werden konnte. Wenn das Image oder eines der zu installierenden eLux Software-Pakete eine ungültige oder nicht prüfbare Signatur besitzt, schlägt das Update fehl.

Die Signaturprüfung von eLux Software-Paketen erfordert eine Update-Partition auf dem Gerät. Bei Geräten ohne Update-Partition kann die Signaturprüfung ausschließlich für Imagedefinitions-Dateien (IDF) erfolgen, jedoch nicht für eLux Software-Pakete. Für weitere Informationen zur Update-Partition siehe eLux-Partitionen.

Signaturprüfung vor Update einschalten

  1. Klicken Sie in der Scout Console in Geräte-Konfiguration > Firmware auf die Schaltfläche Sicherheit...
    Am eLux RP 6-Gerät wählen Sie Configuration panel > Firmware > Signaturen überprüfen.

    Der Dialog Sicherheitseinstellungen öffnet.

  2. Aktivieren Sie für Signaturprüfung vor Update durch den Client die Option Image Definition File und/oder die Option eLux Software-Pakete.

  3. Bestätigen Sie mit OK. und Übernehmen.

In eLux befinden sich beide Optionen im Config Panel unter Firmware.

Das Ergebnis der Signaturprüfung wird in der Update-Logdatei am Client dokumentiert. Die Update-Logdatei wird nach jedem Update-Vorgang zum Scout Server gesendet. Sie kann in der Scout Console für ein markiertes Gerät im Eigenschaften -Fenster durch Doppelklick auf das Feld Update-Status eingesehen werden.

Zertifikate

Für die Prüfung der Signaturen am Gerät wird neben dem Root-Zertifikat auch das Signatur-Zertifikat lokal am Gerät im Verzeichnis /setup/cacerts benötigt. Wenn Sie eigene Zertifikate zur Signatur von IDFs oder selbst erstellten eLux-Paketen verwenden, konfigurieren Sie die Übertragung der Zertifikate auf die Geräte. Verwenden Sie dazu die Scout-Funktion Konfigurierte Dateiübertragung. Für die von Unicon bereitgestellten eLux-Pakete werden die erforderlichen Zertifikate bereits mit dem BaseOS zur Verfügung gestellt.

Wenn aktualisierte Codesign-Zertifikate auf unserem technischen Portal zur Verfügung gestellt werden, laden Sie diese herunter und importieren sie in ELIAS. Eine Anleitung liegt bei.

Für weitere Informationen zum Erstellen von Image-Signaturen siehe Image signieren im ELIAS 18-Handbuch.