OTA aktualizácia (Over-the-Air)
OTA (Over-the-Air) aktualizácia je proces bezdrôtového doručovania nového firmvéru, softvéru alebo konfiguračných údajov do vstavaného zariadenia nasadeného v teréne. V kontexte EU Cyber Resilience Act schopnosť OTA aktualizácie už nie je voliteľná — je to regulačná požiadavka pre každý pripojený produkt, ktorý musí dostávať bezpečnostné záplaty počas celého životného cyklu.
Kľúčové fakty
| Detail | Informácia |
|---|---|
| Celý názov | Over-the-Air aktualizácia |
| Účel | Vzdialené doručovanie firmvéru/softvéru bez fyzického prístupu k zariadeniu |
| Požiadavka CRA | Povinný bezpečný aktualizačný mechanizmus pre všetky produkty s digitálnymi prvkami |
| Bezpečnostný štandard | IETF SUIT (Software Updates for IoT) — RFC 9019 formát manifestu |
| Typické protokoly | HTTPS, CoAP, MQTT, LwM2M, vlastné TLS-based |
| Rozsah šírky pásma | 1 KB (delta záplaty) do 100+ MB (celé obrazy firmvéru) |
Prečo je OTA požiadavkou CRA
Cyber Resilience Act vyžaduje, aby výrobcovia poskytovali bezpečnostné aktualizácie po celú očakávanú životnosť produktu (minimálne 5 rokov). Pre zariadenia nasadené v teréne — priemyselné senzory, automatizácia budov, inteligentné merače, automobilové ECU — fyzický prístup na aktualizácie je nepraktický alebo nemožný. OTA je jediný reálny doručovací mechanizmus.
Bezpečná OTA architektúra
CRA-vyhovujúci OTA aktualizačný systém vyžaduje viacero bezpečnostných vrstiev:
┌─────────────────────────────────────────────────────┐
│ ZOSTAVOVACÍ SERVER (Infraštruktúra výrobcu) │
│ • Skompiluje firmvér │
│ • Podpíše privátnym kľúčom uloženým v HSM │
│ • Vygeneruje SUIT manifest s metadátami │
│ • Nahrá na distribučný server │
└──────────────────┬──────────────────────────────────┘
│ Podpísaný obraz firmvéru + SUIT manifest
▼
┌─────────────────────────────────────────────────────┐
│ ZARIADENIE (V teréne) │
│ 1. Stiahne manifest + obraz cez TLS 1.3 │
│ 2. Overí podpis manifestu pomocou HRoT verejného kľúča│
│ 3. Skontroluje verziu (anti-rollback počítadlo) │
│ 4. Zapíše na neaktívnu partíciu (A/B schéma) │
│ 5. Overí integritu (SHA-256 hash) │
│ 6. Atomicky prepne zavádzaciu partíciu │
│ 7. Zavedie nový firmvér cez Secure Boot reťazec │
│ 8. Ak zavedenie zlyhá → automatický rollback │
└─────────────────────────────────────────────────────┘Kritické bezpečnostné vlastnosti
| Vlastnosť | Účel | Relevancia pre CRA |
|---|---|---|
| Podpisovanie kódu | Zabezpečuje, že firmvér pochádza od legitímneho výrobcu | Povinné |
| Anti-rollback | Zabraňuje degradácii na zraniteľný starý firmvér | Povinné |
| A/B partície | Atomické aktualizácie s návratom na známy dobrý obraz | Najlepšia prax |
| Hardware Root of Trust | Overenie podpisového kľúča kotvené v odolnom hardvéri | Povinné |
| Šifrovaný transport | TLS 1.3 pre sťahovací kanál | Povinné |
| Delta aktualizácie | Prenášajú sa iba zmenené bajty | Optimalizácia pre obmedzené zariadenia |
OTA bez bezpečného hardvéru: Riziko
| Aspekt | Softvérová OTA | Hardvérovo zabezpečená OTA |
|---|---|---|
| Úložisko podpisového kľúča | Flash pamäť alebo súborový systém | Secure Element / HSM / OTP poistky |
| Riziko extrakcie kľúča | Vysoké — JTAG/SWD dump, analýza firmvéru | Fyzicky neextrahovateľné |
| Ochrana pred rollbackom | Softvérový príznak (modifikovateľný) | Hardvérové monotónne počítadlo (nezvratné) |
| Overenie zavedenia | Voliteľné, obíditeľné | Secure Boot z HRoT |
| Súlad s CRA | ❌ Nie | ✅ Áno |
Súvisiace pojmy
- Secure Boot — Proces overovania pri zavádzaní, ktorý zabezpečuje spustenie iba podpísaného firmvéru doručeného cez OTA.
- Hardware Root of Trust — Odolný hardvér, ktorý uchováva overovací materiál OTA podpisového kľúča.
- CRA — Nariadenie EÚ vyžadujúce bezpečnú OTA schopnosť pre pripojené produkty.
- SBOM — Metadáta OTA aktualizácie by mali obsahovať SBOM rozdiely na sledovanie zmien komponentov.