Пакет безопасности работает для смягчения угроз Интернета вещей

Когда мы говорим о безопасности Интернета вещей (IoT) любому поставщику микросхем, неизменно возникает жалоба на то, что разработчики и производители не относятся к безопасности серьезно. Распространенная причина в том, что это увеличивает стоимость продукта, и зачем кому-то добавлять его, если это не было действительно важно? Или другое замечание:безопасность часто не разрабатывается с самого начала, поэтому, когда она добавляется в последнюю очередь, устройство все равно может быть легко взломано.

Но государственные органы по всему миру постепенно вводят законодательство о безопасности электронных систем. Эти меры включают калифорнийский SB-327, который вступил в силу в январе 2020 года; Европейский стандарт ETSI, охватывающий кибербезопасность потребительского Интернета вещей; и предложенный правительством Великобритании новый закон о безопасности потребительского Интернета вещей. Тем временем поставщики повышают уровень осведомленности о безопасности Интернета вещей.

Одно из таких объявлений на этой неделе было сделано компанией Silicon Labs, которая объявила о новых аппаратных функциях безопасности для своих беспроводных систем на кристалле (SoC) для устройств IoT. Его технология Secure Vault - это новый набор расширенных функций безопасности, предназначенных для помощи производителям подключенных устройств в борьбе с растущими угрозами безопасности Интернета вещей и нормативным давлением. Они реализованы в своей платформе Wireless Gecko Series 2, которая сочетает в себе функции программного обеспечения безопасности с аппаратной технологией с физически неклонируемыми функциями (PUF), чтобы снизить риск нарушений безопасности Интернета вещей и компрометации интеллектуальной собственности.

По данным Silicon Labs, аппаратные функции Secure Vault обеспечивают оптимизированный уровень безопасности, реализованный в экономичном беспроводном решении SoC. Подсистема безопасности, включая выделенное ядро, шину и память, отделена от главного процессора. Это аппаратное разделение изолирует важные функции, такие как безопасное управление хранилищем ключей и шифрование, в их собственные функциональные области, что делает устройство в целом более безопасным. Новая комбинация функций безопасности идеально подходит для компаний, работающих над принятием новых нормативных мер, таких как GDPR в Европе и SB-327 в Калифорнии.

Нам было любопытно, чем это отличается от других функций безопасности на рынке, включая доверенные среды выполнения (TEE). Грегори Гез, старший директор по маркетингу продуктов для безопасности Интернета вещей в Silicon Labs, рассказал EE Times «Архитектура Secure Vault действительно обеспечивает уровень изоляции между защищенным элементом и клиентским приложением, который напоминает TEE, но фактически достигается аппаратно, а не программно. Кроме того, ядро ​​приложения Arm Cortex M33 (с TrustZone) позволяет устройству быть PSA-совместимым. Хотя мы согласны с тем, что другие компании могут предлагать управление ключами (часто с ограниченной областью хранения), реализация Secure Vault основана на технологии PUF, обеспечивая безопасное хранение ключей с помощью шифрования и доступное во всем пространстве памяти ».

Кроме того, пояснил он, зашифрованные ключи защищены от взлома с помощью полного набора настраиваемых детекторов и ответов. «Secure Vault обеспечивает безопасное хранилище ключей, которое используется нашими беспроводными стеками, обеспечивая дополнительный уровень защиты поверх стандартизованных протоколов. Secure Vault поставляется с защищенной идентификацией в виде сертификатов, которые можно проверить, чтобы подтвердить подлинность устройства, что является очень необходимой функцией на рынке Интернета вещей и требованием аутентифицировать все », - сказал он.

Хотя аппаратная безопасность часто считается наиболее подходящим подходом к безопасности Интернета вещей, это еще не все. По словам Таннера Джонсона, старшего аналитика по кибербезопасности в Omdia, «встроенная безопасность является ключевым требованием для продуктов Интернета вещей, и одни только обновления программного обеспечения не могут устранить все уязвимости, присутствующие в небезопасном оборудовании. В результате компоненты оборудования могут составлять передовую линию защиты безопасности устройств, особенно с учетом нового законодательства, направленного на безопасность продуктов IoT ».

Silicon Labs заявила, что Secure Vault улучшает безопасность Интернета вещей за счет сочетания аппаратных и программных функций, которые упрощают производителям продукции защиту своего бренда, дизайна и данных потребителей. Интеграция системы безопасности в беспроводную SoC помогает разработчикам упростить разработку и дает возможность безопасно обновлять подключенные устройства по беспроводной сети (OTA) на протяжении всего жизненного цикла продукта. Доставка подлинного, надежного программного обеспечения или микропрограмм для подключенных продуктов служит для смягчения непредвиденных действий, угроз и нормативных мер.

Silicon Labs надеется, что Secure Vault затронет четыре столпа безопасности IoT - конфиденциальность (убедитесь, что данные могут быть прочитаны только предполагаемым адресатом), аутентификация (убедитесь, что предполагаемый отправитель является настоящим отправителем), целостность (убедитесь, что информация в исходном сообщении сохраняется в неприкосновенности) и конфиденциальность. Ключевые функции безопасности, которые он теперь предоставляет, включают обеспечение защищенной идентификации устройства, безопасное управление ключами и их хранение, а также расширенное обнаружение несанкционированного доступа.

Безопасная идентификация устройства решает одну из самых серьезных проблем для подключенных устройств:аутентификацию после развертывания. Заводская служба обеспечения доверия Silicon Labs с дополнительным безопасным программированием предоставляет защищенный сертификат идентификации устройства во время производства ИС, аналогичный свидетельству о рождении, для каждого отдельного кремниевого кристалла, обеспечивая безопасность после развертывания, аутентичность и проверки работоспособности на основе аттестации. Сертификат устройства гарантирует подлинность микросхемы в течение всего срока ее службы.

Secure Vault обеспечивает безопасное хранение ключей с ключами, зашифрованными с помощью главного ключа шифрования, созданного с помощью PUF (Изображение:Silicon Labs)

Во-вторых, эффективность схемы безопасности доступа к устройствам и данным напрямую зависит от секретности ключа. В Secure Vault ключи зашифрованы и изолированы от кода приложения. Предлагается практически неограниченное безопасное хранилище ключей, поскольку все ключи зашифрованы с использованием главного ключа шифрования, сгенерированного с помощью PUF. Сигнатуры при включении питания уникальны для одного устройства, а главные ключи создаются на этапе включения питания, чтобы исключить хранение главных ключей, что еще больше снижает векторы атак.

Что касается обнаружения несанкционированного доступа, компания заявила, что эта функция предлагает широкий спектр возможностей - от простой в реализации защиты корпуса продукта от несанкционированного доступа до сложных функций обнаружения несанкционированного доступа кремния с помощью манипуляций с напряжением, частотой и температурой. Хакеры используют эти изменения, чтобы заставить оборудование или программное обеспечение работать неожиданно, создавая уязвимости для атак с ошибками. Настраиваемые функции отклика на вмешательство позволяют разработчикам настраивать соответствующие ответные действия с прерываниями, сбросами или, в крайних случаях, удалением секретного ключа.

Secure Link шифрует интерфейс между микроконтроллером и чипом Wi-Fi, чтобы злоумышленник не мог проанализировать интерфейс и узнать идентификаторы SSID и ключи доступа для получения доступа к сети. (Изображение:Silicon Labs)

Другие функции Secure Vault включают предотвращение отката и безопасное соединение. Первый предотвращает повторную загрузку старых прошивок с цифровой подписью в устройство для повторного выявления исправленных недостатков; это могло произойти, если злоумышленник узнал об уязвимости безопасности в более старой версии прошивки. Последний шифрует интерфейс между микроконтроллером и чипом Wi-Fi, чтобы злоумышленник не мог проанализировать интерфейс и узнать идентификаторы SSID и ключи доступа для получения доступа к сети. Зашифрованный интерфейс использует обмен ключами по алгоритму Диффи-Хеллмана для каждого сеанса, для каждого устройства, при этом канал связи уникально защищен на данном устройстве, а ключи регенерируются при каждом цикле включения питания; использование ссылки, следовательно, более сложное, поскольку ключи часто сбрасываются и не подлежат передаче. Кроме того, ключи должны быть взаимно аутентифицированы перед активацией безопасного обмена данными, что предотвращает обмен данными с недоверенной стороной.

Silicon Labs в настоящее время проводит испытания новых беспроводных SoC с поддержкой Secure Vault, выпуск которых запланирован на конец второго квартала 2020 года.