答案 0 :(得分:2)
讨论是关于OTA更新,允许您升级整个磁盘(或固件)映像。该图片将由blocks组成。
在这些块之上可能还会有一个文件系统,因此某些块将组成文件,而其他块将构成文件系统元数据以及其他内容。
我读它的方式,在此上下文中的块级签名意味着对整个磁盘映像(即所有块)进行签名。这与签署作为图像一部分的文件形成对比。一个类比是签署硬盘驱动器的所有块,而不是签署磁盘上的每个单独文件。
讨论的结论是:
对于许多情况,签署存档可能已经足够了。块级别更简单(全部或全部),因此与未签名部分混合的风险较小(侧载攻击)。
对于对安全性敏感的嵌入式设备(例如支付终端),如果设计正确,则块级签名也允许在引导期间进行硬件验证(第一阶段引导加载程序验证第二阶段,然后验证内核等)。
事实上,如果您想对作为图像一部分的文件进行签名,那么您将需要解析通常非常复杂且容易实现的文件系统。在块级读取整个图像并计算签名要容易得多。