<p><br>
On Nov 6, 2014 7:10 AM, "Paul Campbell" <<a href="mailto:paul@taniwha.com">paul@taniwha.com</a>> wrote:<br>
> On Wed, 05 Nov 2014 13:00:50 ianG wrote:<br>
> > I'm assuming here that any flashing<br>
> > will require the new package to be signed by a key bedded into to the<br>
> > non-flashable code?</p>
<p>At this stage there is no embedded key, no "non-flashable" storage, therefore integrity checking needs you to check the signature of the full content of the flash storage itself, offline (i.e in the host OS startup scripts)</p>
<p>Adding such extra storage would increase the system complexity, not something we're doing at this stage. If we do it later, we need to consider how the owner of the device will be able to inspect the storage to make sure it is correct and that there's no other data in there ... which probably wouldn't be easy especially if they couldn't trust the firmware to check for them.</p>
<p>Mind you, I can see a 64-bit key *physically* encoded as a row of DIP switches, or jumpers ... that might be cool, very unwieldy though.</p>
<p>-jim<br>
</p>