最近几周披露的Meltdown和Spectre漏洞表明,科技行业的安全已变得多么重要,电子设计很容易成为新型攻击的牺牲品。Meltdown和Spectre的一个关键因素是,对速度的渴望会导致安全问题。
虽然操作系统和处理器的修改可以解决Meltdown和Spectre攻击载体的创造者提出的问题,但这些漏洞的普遍性突显了嵌入式系统的安全性是如何有效地依赖于良好的设计和供应链实践的结合。通过这些攻击,间谍软件可以查看在同一处理器上运行的其他线程进行的所谓秘密处理。
保护物联网设备的技术
物联网设备制造商还必须应对未经授权的用户向其产品上传数据和代码以破坏产品的可能性。然而,有一些体系结构可以阻止这种情况的发生,并大大提高基于其他漏洞的攻击的幸存几率。
关键是要有一个受保护的信任根,由一个安全的供应链过程支持,该供应链过程从生产的最初阶段就保证信任。通过这样做,服务用户可以确保他们可以继续信任来自物联网设备的数据。
x架构
关键是信任链,它使物联网中的每个节点能够理解它是在与合法用户通信,而不是欺诈性的模仿者。公钥基础设施(PKI)技术为建立信任链提供了基础。例如,PKI支持用于管理安全凭据的X.509协议。
509体系结构使在构成物联网系统一部分的每个设备上安装安全、可信的数字证书成为可能。只有当每个设备都能根据这样的证书进行身份验证时,它才被允许传输数据或上传新软件。如果证书缺失或被发现无效,物联网节点可以简单地拒绝响应。
X.509为创建指向制造商或集成商的证书链提供了基础,使得攻击者很难将自己表示为合法的通信者。然而,一种可能性是攻击者发现了一个漏洞,使证书保留在适当的位置,但让他们上传新的恶意代码。这就是第二个关键组件的用途:安全引导。
安全启动
在硬件身份验证的协助下,安全引导确保了代码的有效性。该过程确保设备仅使用合法代码启动。当设备启动并从板载只读存储器(ROM)读取代码时,它检查每个块是否有来自授权供应商的有效签名。这可以使用与网络通信相同的数字证书来实现。代码签名通常作为代码本身与私钥结合的单向散列创建。如果设备遇到一个被错误签名的代码块,它将停止加载被破坏的软件。此时,它可以进入工厂编程状态并请求维护。
安全引导的一个关键优势是,它提供了一个基础设施,使无线固件(FOTA)成为一个安全的过程。使用数字证书,设备可以首先检查更新是否来自经过批准的来源。一旦下载并插入到程序内存中,安全引导进程就可以在加载代码块时检查代码块签名。如果它们被破坏了,设备可以回滚到早期的固件,如果它有足够的空间来保存这两个固件或移动到恢复状态。
安全引导的一个关键因素是硬件支持。尽管在没有硬件信任模块的情况下实现某些形式的安全引导是可能的,但如果黑客已经深入到固件中,很难确保引导过程会正确地停止。然而,越来越多的微控制器和模块都内置了支持共同安全引导所需的加密功能。例如Silicon Labs的Jade和Pearl Gecko微控制器,以及Digi International的DigiConnect 6和6UL。Digital模块使用的TrustFence技术除了提供加密本地存储和证书管理特性外,还提供了安全引导的开箱即用支持。
目前分散式供应链的另一个潜在问题是,系统在安装和调试之前就可能被篡改。制造商最终可能会将支撑X.509证书的私钥交付给复制它们并将其提供给潜在攻击者的子承包商。
Atmel ATECC508A微型芯片
一种解决方案是使用设计为作为端到端证书管理基础设施的一部分使用的设备。Atmel ATECC508A是一种基于椭圆曲线Diffie-Hellman (ECDH)技术的密钥存储加密认证设备,采用加密对抗技术来防止物理攻击。
Atmel ATECC508A微型芯片
Microchip采用安全的密钥管理基础设施来支持该设备。应用程序或客户证书被创建并存储在Microchip的安全生产线上,而不是在制造商的分包商处进行编程。一旦编程,设备可以焊接到目标PCB无需进一步干预-私钥永远不会透露给任何人外部授权用户。
进一步的好处是,Microchip正在与Amazon Web Services (AWS)合作,在设备部署后连接到互联网时处理身份验证和配置任务。结合这些技术和服务,有助于物联网节点制造商确保他们不会犯与桌面计算同行相同的错误,并构建安全的物联网。
行业文章是一种允许行业合作伙伴与All About Circuits读者分享有用的新闻、信息和技术的内容形式,而编辑性内容并不适合这种形式。yaboPP电子所有行业文章都受到严格的编辑指导方针,目的是为读者提供有用的新闻,技术专长,或故事。Industry Articles中所表达的观点和观点是合作伙伴的观点和观点,不一定是All About Circuits或其作者的观点和观点。yaboPP电子
