Есть некоторые типы устройств, к которым ГОСТы предъявляют высокие требования безопасности. Одно из требований - чтобы при запуске устройство проверяло целостность своей прошивки, и если кто-то или что-то внесло в нее несанкционированные изменения, программа не запускалась бы.

Возникают вопросы:
1. При включении устройства, первым делом программа принимается вычислять CRC самой себя - берет значение по адресу 0x8000000, потом следующее и т.д. до конца прошивки.
1а. Как надежно определить, где конец прошивки?
2. Вычислив CRC самой себя программа должна сравнить полученное значение с эталонным, и если контрольная сумма совпадает, то продолжить выполнение программы.
2а. Где хранить эталонное значение CRC, с которым нужно сравнивать вычисленное? При условии, что если это значение поместить в тело прошивки, это изменит и само значение - змея ест свой хвост.

Наверняка кто-нибудь с форума уже решал такую задачу, поделитесь опытом, как вы это делали?

Определить конец прошивки поможет переменная из линкер-скрипта. Где-нибудь в секции text сохраняй контрольную сумму: на этапе сборки она будет равна нулю, а потом скриптом посчитаешь и впишешь (можно переводить опять). Прошивка при вычислении контрольной суммы пусть само значение суммы пропускает.

А что мешает "левой" пришивке иметь скорректированную CRC ?

PCBWay - всего $5 за 10 печатных плат, первый заказ для новых клиентов БЕСПЛАТЕН

Сборка печатных плат от $30 + БЕСПЛАТНАЯ доставка по всему миру + трафарет

Онлайн просмотровщик Gerber-файлов от PCBWay + Услуги 3D печати

Спасибо. Ничего не понял.

Организация питания на основе надежных литиевых аккумуляторов EVE и микросхем азиатского производства

Качественное и безопасное устройство, работающее от аккумулятора, должно учитывать его физические и химические свойства, профили заряда и разряда, их изменение во времени и под влиянием различных условий, таких как температура и ток нагрузки. Мы расскажем о литий-ионных аккумуляторных батареях EVE и нескольких решениях от различных китайских компаний, рекомендуемых для разработок приложений с использованием этих АКБ. Представленные в статье китайские аналоги помогут заменить продукцию западных брендов с оптимизацией цены без потери качества.

Подробнее>>

Солнцеворот, если ты ничего не понял из сказанного, то встает вопрос: а как ты вообще эти прошивки собираешь?

Новый аккумулятор EVE серии PLM для GSM-трекеров, работающих в жёстких условиях (до -40°С)

Компания EVE выпустила новый аккумулятор серии PLM, сочетающий в себе высокую безопасность, длительный срок службы, широкий температурный диапазон и высокую токоотдачу даже при отрицательной температуре. Эти аккумуляторы поддерживают заряд при температуре от -40/-20°С (сниженным значением тока), безопасны (не воспламеняются и не взрываются) при механическом повреждении (протыкание и сдавливание), устойчивы к вибрации. Они могут применяться как для автотранспорта (трекеры, маячки, сигнализация), так и для промышленных устройств мониторинга, IoT-устройств.

Подробнее>>

В таблице векторов прерываний есть "пропуски". Вот там и хранить длину прошивки. CRC можно в конце, а можно там же - по вкусу.

Храните CRC не в теле прошивки, а рядом. От самопроизвольного искажения данных во флеш это спасет (не важно, что будет искажено, прошивка или сама эталонная CRC). Если же беспокоитесь о злоумышленниках, то штатная защита от считывания не даст им модифицировать прошивку, только переписать полностью. Ну а в этом случае никакая защита не поможет.

Что-то не доводилось видеть для них инкрементных обновлений....

1. Конец прошивки проще всего определить по глобальному символу. Или поместить последней секцией специальную секцию из одного слова, или сочинить скрипт для линкера, возможны варианты...
2а. Где угодно. Подобрать КС прошивки так, чтобы с учетом этой КС общая КС вышла какой-нибудь константой, например, 0xFFFF. Для многих алгоритмов CRC, если первоначально занести в ячейку для CRC ноль, дополнение этой CRC до 1, положенное в ячейку для CRC, вместо нуля, даст в итоге CRC == 0xFFFF. То есть, пускаем программу под отладчиком, вот она стала по плохой CRC, смотрим в регистре, какая получилась CRC, делаем ей NEG и полученное число заносим в ячейку для CRC. Пробуем еще раз, если что-то не сходится, разбираемся...

Для этого нужно, как минимум, глубоко вникнуть в программу. Тут, конечно, возникают разные сложности. Что можно порекомендовать? Маскировка, нестандартный алгоритм CRC. Да и вообще, не допускать попадания программы в открытом виде в руки злоумышленников. Запретить считывание кода из МК, передача программы в шифрованном виде, ключ дешифровки должен лежать в нечитаемой извне флеш-памяти программы...

Спасибо большое всем, кто ответил по-существу. Я когда найду достойное решение этой задачи, расскажу здесь, как в итоге сделал.

Можете дать ссылку, где почитать, как это делается?

Не обязательно от злоумышленника - но в любом случае контроль случайных дефектов ПЗУ в ответственной аппаратуре.

А вот в этом случае задачу надо расширять - код может слететь не только во время редкой загрузки, но более вероятен слет в памяти во время работы, особенно в шумном промышленном оборудовании.

Я длч этого периодически запускал контрольный расчет с известным результатом.

И как, встречались прецеденты искажения прошивки ? Какие внешние условия, что за процы ?

Лучше заранее перестрахериться...
У Микрощипа достаточно полная документация по возможным отказам и противодействию оным.
В частности - отказы главного генератора МК (позднее даже был введен специальный аппаратный модуль для контроля).
Чем более "нежные" технологии(малое энергопотребление, уменьшение размера кристалла при повышении плотности упаковки элементов), тем выше вероятность воздействия "грубой внешней силы" - температуры, мощные внешние электростатические/электромагнитные поля, направленные потоки ВЧ излучений, ИК излучение (ИК-прозрачные корпуса)...

На практике сталкивался с ситуацией, когда расшивался один бит во всей микросхеме. Случаи были единичными, но крови мне попортили много. Программеры божились, что считают КС прошивки непрерывно, но оказалось, что забыли посчитать таблицу с векторами переходов из-за чего формировались или не формировались команды управления. Расшивка происходила не сразу, а через несколько дней работы контроллера. Использовались внешние УФ и флэш микросхемы памяти. Так что для ответственных применений нужно непрерывно считать КС, а не тупо при старте контроллера. В идеале перед каждым циклом сканирования программы (терминология ПЛК) нужно проверить КС, и только потом начать выполнение программы.

Это сейчас почти у каждого первого МК имеется.

Были случаи, когда из-за искрящих рядом с МК контактов реле, прошивка улетала в атсрал после пары переключений.
Реле располагалось рядом с МК на расстоянии 3см. В нагрузке реле был довольно мощноватый контактор.
Обмотка реле и её питание были гальванически отвязаны от питания и сигналов МК. Ну а сам МК - Atmega 16.
Дуга на контактах реле порождает хороший электромагнитный импульс,
который своей наводкой корячит заряды на плавающих затворах Flash памяти МК, портя таким образом данные.