セキュリティ上の理由から、IoTのファームウェアイメージを暗号化する必要がありますか？

いいえ。ファームウェアを暗号化/難読化するかどうかに関係なく存在しない潜在的なセキュリティの脆弱性を隠すために、ファームウェアのあいまいさに頼るべきではありません 。

私は根本的な提案をしています。正反対のことをしてください。ファームウェアバイナリを公開およびダウンロード可能にし、必要な人が自由にアクセスできるようにします。セキュリティの問題について連絡する方法の詳細を記載したページをサイトに追加します。セキュリティコミュニティと協力して、製品のセキュリティを向上させます。

間違いなくそれは有益でしょう。クローズドソースよりもオープンソースをプッシュする方がはるかに良いオプションです。最初はばかげていて物議をかもすように見えるかもしれませんが、プロジェクトを一般に公開することには多くの利点があります。

悪意のある人がいる一方で、インターネットをより良い場所にしたいと考えている人もいます。オープンソースにより、潜在的な機能、バグ、および問題について表示するだけでなく、「もの」のセキュリティと安定性を向上させるだけでなく、プロジェクトをより多くの目で見ることができます

また、Polynomialの答えに同意するために、コミュニティに参加し、セキュリティを支援する人々の基盤を構築することで、クライアントベースが大幅に増加します。

適切に設計されたファームウェアは、システム設計に対する攻撃者の無知に依存するのではなく、そのアクセスキーの強度に依存する必要があります。これは、 Kerckhoffsの公理 として知られる基本的なセキュリティエンジニアリングの原則に従います。

情報システムは、システムの鍵を除いて、システムに関するすべてが公開知識であっても安全でなければなりません。

アメリカの数学者、クロードシャノン 推奨 「敵はシステムを知っている」、つまり「敵はすぐにシステムに慣れるという前提の下でシステムを設計するべきである」という仮定から始まります。

19世紀後半までは、セキュリティエンジニアが情報を保護する有効な手段として obscurity and secrecy を提唱することが多かったことにお気づきでしょう。ただし、これらの知識に拮抗するアプローチは、いくつかのソフトウェアエンジニアリング設計の原則、特にモジュール性とは正反対です。

2つの暗号化方式を混同していないと確信していますか？

セキュリティ上の理由から、ファームウェアのアップデートは必ずsignにする必要があります。これにより、デバイスはそれらがあなたからのものであることを確認できます。

それらを暗号化するために少しあいまいさが追加され、それだけです。復号化デバイスはあなたの管理下にないため、遅かれ早かれ誰かがそれをハッキングし、復号化キーを抽出してインターネットで公開します。

「ファームウェアの暗号化は私のコードの脆弱性の検出を防ぎますか？」という意味で他の回答はその核心に対処しました。一部の攻撃者を思いとどまらせるかもしれませんが、あいまいなことによるセキュリティは、不利益であるという誤った感覚をもたらし、逆効果になります。

しかし、私は私の経験に基づいて余分なビットを追加したいと思います。ファームウェアパッケージが暗号化されていることもありますが、その動機は攻撃者に対する制御ではなく、企業の知的財産を保護することだけです。

もちろん、ハッカーはこの「コントロール」を回避する方法を見つけることがよくありますが、それは別の話です。

あなたは自分自身にこの質問をする必要があります。誰かがあなたのファームウェアをダウンロードして、キーを明らかにしなければならない追加のファームウェア暗号化レイヤーによって阻止される脆弱性を探し始めるのに十分な利口で興味がありますか？

これは、ジャンプするためのもう1つのフープであり、ファームウェアイメージがどのディスクフォーマットであるかを理解することと同じです。これは、ジャンプするのに特に難しいフープすらありません。 DRMに相当するすべてのFARより洗練された方法がすべて壊れていることに注意してください。

オッズとは、インターネットに接続されたコーヒーメーカー/食器洗い機をハッキングするのに十分な能力があると判断された人で、追加の暗号化レイヤーによって阻止されることはありません。