io-k-g
2024年12月9日 10時18分
いつもお世話になっております。
Armadilo-IoT A9Eのセキュリティ仕様について、可能な範囲でご回答いただけますと幸いです。
【質問内容】
・脆弱性情報(バックドアによる管理者機能へのアクセスなど)の現時点での有無
・ログイン時のアカウントロック機能の有無(ログイン時のパスワードの連続試行回数上限を設定可能とする機能)
・採用している各種チップのエラッタ情報また影響がないことへの確認できているか
・セキュアブート機能の有無、また、セキュアブート等でファームウェアの改ざん検知・防止を行うため、TCB(HSMなど)を利用しているか
・利用予定のCPUと型番やOSについて、既知の脆弱性の有無
コメント
io-k-g
at_dominique.m…
2024年12月9日 11時12分
io-k-gさん
お世話になっています、
マルティネです。
> ・脆弱性情報(バックドアによる管理者機能へのアクセスなど)の現時点での有無
管理者用バックドアなどの機能はないという認識です。
> ・ログイン時のアカウントロック機能の有無(ログイン時のパスワードの連続試行回数上限を設定可能とする機能)
シリアルコンソールのログインでそういうロックを実装してません。
シリアルでログインを間違うと login コマンドがすでに2秒ほど待ってくれてます(Armadillo IoT G4 で実際に計ってみたら expect で最大スピードでログインを試すと1分で25-26回の入力は可能です)
パスワードはある程度複雑でしたら bruteforce できないレベルです(すでにシンプルなランダムな6文字[a-z]だけでも、2^26 (チョイス)/26(回/分)/60/24(分/1日)/365 = 22.60 なので、平均で11年かかります。弊社推奨の 8 文字[a-zA-Z0-9]でしたら15977352年になります…)
(参考 https://armadillo.atmark-techno.com/forum/armadillo/19185 )
> ・採用している各種チップのエラッタ情報また影響がないことへの確認できているか
チップのエラッタはチップのメーカーが提供していますので、そちらを直接に確認できると思います。
また、エラッタが公開される際にこちらで確認していて、製品に影響の可能性がある場合に改善を行い(ソフトウェアのワークアラウンド等)、ニュースでお知らせしています。
> ・セキュアブート機能の有無、また、セキュアブート等でファームウェアの改ざん検知・防止を行うため、TCB(HSMなど)を利用しているか
セキュアブートを提供する予定です。
設定方法は複雑で初期リリースに手順を提供しない可能性がありますが、実装の確認はすでにしていますので数ヶ月後にリリースします。
> ・利用予定のCPUと型番やOSについて、既知の脆弱性の有無
spectre系の脆弱性のことでしょうか。
ハードウェアの脆弱性は基本的に Linux kernel でワークアラウンドが実装されていて、mitigations を有効にしています。
現時点は以下のとおりですので、その中で対応している脆弱性に問題ないと思われます:
リリース後にまた脆弱性が増えた場合に対応しますので、更新した際にこちらのディレクトリで確認できるようになります。
よろしくお願いします。