安全集成電路如何保護
熱點推薦2022年01月27日
分享
在本文中,我們將討論在進行物聯網設計時需要注意的一些關鍵安全威脅、重要的安全功能。以及隨著安全集成電路的進步,如何更容易地保護這些設計。
安全集成電路如何保護
我們正在努力開發下一代的智能聯網設備。它改進了前任的功能,同時增加了一些新特性。
假冒和克隆
接下來的攻擊可能會造成潛在的生命傷害。例如,考慮一個支持無線網絡的起搏器。去年,美國國土安全部發布了一個警告,黑客可以很容易地獲得一個品牌的植入式心臟除顫器。據司法部稱,能夠近距離接觸到該產品的攻擊者可以在該產品的無線電被打開時,在遙測通信中插入、回放、修改和/或攔截數據。
醫療設備的另一個問題是產品翻新。雖然美國食品和藥物管理局允許,但翻新醫療設備可能會產生問題。最大的威脅是有限使用的外設。雖然翻新過程可以恢復外圍設備,使其像新的一樣,但它也可能否定其有限的使用屬性。
具有高級加密特性的安全集成電路可以保護發電廠和類似應用中的物聯網傳感器節點免受安全威脅。
非密碼學專家
保護物聯網設計免受威脅需要:
端點的安全通信和真實性
強大的密鑰管理,保護和加密敏感數據
安全啟動以驗證固件和防御惡意軟件的攻擊
特性控件,以便您可以安全地啟用和禁用各種基于工廠的選項
安全集成電路繼續為現有的和新的嵌入式設計提供高級級別的保護。使用這些設備進行設計的一個好處是,您可以利用健壯的密碼功能,而不必是密碼專家。基于軟件的方法將需要更多的開發工作,同時引入黑客可以利用的漏洞。讓我們仔細看看為了保證物聯網設計的安全,你想要擁有的安全IC的關鍵特性。
物理不可克隆功能(PUF)技術
如果您想要強大的防御入侵和逆向工程攻擊,PUF技術可以提供幫助。PUF電路依賴于基本MOSFET器件自然發生的隨機模擬特性來產生密碼密鑰。因為密鑰只在需要時生成,而不是存儲在芯片上的任何地方,所以攻擊者沒有東西可以偷。如果攻擊者試圖探測或觀察PUF操作,該活動會修改底層電路特性,從而阻止攻擊者發現密鑰
PUF就像一個獨特的指紋,對于安全IC使用的秘密密鑰和私鑰的實現非常有價值。例如,PUF派生的秘密密鑰用于加密存儲在安全ICEEPROM內存中的所有信息。檢索EEPROM內容的安全攻擊肯定會被阻止,因為內容是加密的,并且無法提取解密所需的PUF密鑰。
非對稱和對稱算法
加密算法對加密功能(如身份驗證、授權和加密)進行鎖定或解鎖。有兩種算法:對稱算法和非對稱算法。對稱算法涉及到發送方和接收方之間的私有密鑰。它們的共享密鑰被安全存儲,絕不會與其他任何人共享。
發送方和接收方使用這個共享密鑰對數據進行身份驗證,這為信息源的可信任提供了保證。非對稱算法使用一個秘密存儲的密鑰和一個公開存儲的密鑰。使用私鑰簽名的數據只能通過與其相關聯的公鑰進行驗證。
高級加密標準(AES)
AES算法是一種適于批量加密的定寬對稱算法。它基于輸入密鑰的值以可逆的方式打亂和替換輸入數據,從而產生密文(加密或編碼的信息)。輸入消息首先被填充,以確保它能放入“n”個128位塊中。每個128位元塊與加密密鑰一起被送入加密算法。
然后,該算法根據加密密鑰中的比特數對輸入塊比特進行一定次數的模糊處理。模糊處理包括數據位變換,其中部分數據被查找表中的值替換,并執行異或操作,根據輸入加密密鑰生成的一組圓密鑰中的位值將位從0翻轉到1。為了解碼原始輸入塊數據,AES解密函數使用相同的加密密鑰執行與加密函數相反的操作。
數字簽名
數字簽名是密碼學中的一個標準元素,它為接收方提供了一個理由,使其相信消息是由已知的發送方創建的,并且在傳輸過程中沒有被修改。換句話說,對數據進行簽名的能力驗證了設備和數據的真實性。數字簽名的生成采用了對稱和非對稱兩種算法。
利用SHA和ECDSA實現安全引導
安全哈希算法(例如SHA-2或SHA-3)利用哈希,它將可變大小的數據壓縮成固定大小的位字符串輸出。例如,對于SHA-256,散列輸出是256位長。橢圓曲線數字簽名算法(ECDSA)通過為基于私鑰的輸入消息生成數字簽名來實現可信通信。公鑰在數學上與私鑰相關,由其他人提供和使用,以驗證通信器的真實性。
SHA-256和ECDSA一起提供了以下功能,可安全引導主機處理器。在OEM開發環境中,對最終由微控制器執行的固件文件計算SHA-256散列。然后,這個散列值由ecdsa用私鑰簽名,該私鑰駐留在開發環境中,并且在開發環境的范圍內受到保護。
固件和ECDSA簽名然后存儲在最終應用程序中,例如閃存中。此外,在最后的應用程序中,微控制器存儲ECDSA公鑰,以驗證固件是真實的,在執行前沒有修改,即一個安全的引導過程。要執行此驗證,微控制器將在存儲的固件上計算SHA-256哈希值,然后使用此哈希值和存儲的公鑰對ECDSA簽名執行驗證操作。如果驗證通過,微就可以信任并執行固件。
高級安全集成電路現在被設計為內置這些安全特性。高效密碼協處理器為現有的和新的嵌入式設計提供了一個很好的選擇。其中一個好處是,協處理器可以讓主機(不安全的)微處理器不必管理復雜的加密和安全密鑰存儲。由于耗電量小,這些設備在電池驅動的物聯網設計中運行良好。
這類加密協處理器的一個例子是低功耗的DS28S60,它具有PUF技術、用于快速吞吐量安全操作的高速20MHzSPI接口、用于安全引導的SHA-256數字簽名和ECDSA-P256簽名和驗證,以及用于端到端加密的內置密鑰交換。
安全集成電路如何保護
以上就是安全集成電路如何保護的全部內容了,希望綜上能給予各位一定的幫助。
安全集成電路如何保護
我們正在努力開發下一代的智能聯網設備。它改進了前任的功能,同時增加了一些新特性。
在安全性方面進行設計永遠不會太遲,而且它比以往任何時候都更加重要。物聯網給我們的生活、工作和娛樂方式帶來了極大的便利。但如果不加保護,智能設備可以提供進入更大網絡和敏感數據的入口
假冒和克隆
一些物聯網設計漏洞比其他漏洞更引人注目。假冒和克隆是常見的威脅,導致原始設備制造商的收入損失,通常還會影響到客戶的質量。擁有真實的部件可以保證部件將按照預期的方式工作,還有助于確保病毒不會被引入到環境中。例如,在自動化工廠或公用事業工廠中,被篡改的設備可能會引發故障,從而導致昂貴的停機、損壞,甚至傷害客戶。
接下來的攻擊可能會造成潛在的生命傷害。例如,考慮一個支持無線網絡的起搏器。去年,美國國土安全部發布了一個警告,黑客可以很容易地獲得一個品牌的植入式心臟除顫器。據司法部稱,能夠近距離接觸到該產品的攻擊者可以在該產品的無線電被打開時,在遙測通信中插入、回放、修改和/或攔截數據。
醫療設備的另一個問題是產品翻新。雖然美國食品和藥物管理局允許,但翻新醫療設備可能會產生問題。最大的威脅是有限使用的外設。雖然翻新過程可以恢復外圍設備,使其像新的一樣,但它也可能否定其有限的使用屬性。
具有高級加密特性的安全集成電路可以保護發電廠和類似應用中的物聯網傳感器節點免受安全威脅。
非密碼學專家
保護物聯網設計免受威脅需要:
端點的安全通信和真實性
強大的密鑰管理,保護和加密敏感數據
安全啟動以驗證固件和防御惡意軟件的攻擊
特性控件,以便您可以安全地啟用和禁用各種基于工廠的選項
安全集成電路繼續為現有的和新的嵌入式設計提供高級級別的保護。使用這些設備進行設計的一個好處是,您可以利用健壯的密碼功能,而不必是密碼專家。基于軟件的方法將需要更多的開發工作,同時引入黑客可以利用的漏洞。讓我們仔細看看為了保證物聯網設計的安全,你想要擁有的安全IC的關鍵特性。
物理不可克隆功能(PUF)技術
如果您想要強大的防御入侵和逆向工程攻擊,PUF技術可以提供幫助。PUF電路依賴于基本MOSFET器件自然發生的隨機模擬特性來產生密碼密鑰。因為密鑰只在需要時生成,而不是存儲在芯片上的任何地方,所以攻擊者沒有東西可以偷。如果攻擊者試圖探測或觀察PUF操作,該活動會修改底層電路特性,從而阻止攻擊者發現密鑰
PUF就像一個獨特的指紋,對于安全IC使用的秘密密鑰和私鑰的實現非常有價值。例如,PUF派生的秘密密鑰用于加密存儲在安全ICEEPROM內存中的所有信息。檢索EEPROM內容的安全攻擊肯定會被阻止,因為內容是加密的,并且無法提取解密所需的PUF密鑰。
非對稱和對稱算法
加密算法對加密功能(如身份驗證、授權和加密)進行鎖定或解鎖。有兩種算法:對稱算法和非對稱算法。對稱算法涉及到發送方和接收方之間的私有密鑰。它們的共享密鑰被安全存儲,絕不會與其他任何人共享。
發送方和接收方使用這個共享密鑰對數據進行身份驗證,這為信息源的可信任提供了保證。非對稱算法使用一個秘密存儲的密鑰和一個公開存儲的密鑰。使用私鑰簽名的數據只能通過與其相關聯的公鑰進行驗證。
高級加密標準(AES)
AES算法是一種適于批量加密的定寬對稱算法。它基于輸入密鑰的值以可逆的方式打亂和替換輸入數據,從而產生密文(加密或編碼的信息)。輸入消息首先被填充,以確保它能放入“n”個128位塊中。每個128位元塊與加密密鑰一起被送入加密算法。
然后,該算法根據加密密鑰中的比特數對輸入塊比特進行一定次數的模糊處理。模糊處理包括數據位變換,其中部分數據被查找表中的值替換,并執行異或操作,根據輸入加密密鑰生成的一組圓密鑰中的位值將位從0翻轉到1。為了解碼原始輸入塊數據,AES解密函數使用相同的加密密鑰執行與加密函數相反的操作。
數字簽名
數字簽名是密碼學中的一個標準元素,它為接收方提供了一個理由,使其相信消息是由已知的發送方創建的,并且在傳輸過程中沒有被修改。換句話說,對數據進行簽名的能力驗證了設備和數據的真實性。數字簽名的生成采用了對稱和非對稱兩種算法。
利用SHA和ECDSA實現安全引導
安全哈希算法(例如SHA-2或SHA-3)利用哈希,它將可變大小的數據壓縮成固定大小的位字符串輸出。例如,對于SHA-256,散列輸出是256位長。橢圓曲線數字簽名算法(ECDSA)通過為基于私鑰的輸入消息生成數字簽名來實現可信通信。公鑰在數學上與私鑰相關,由其他人提供和使用,以驗證通信器的真實性。
SHA-256和ECDSA一起提供了以下功能,可安全引導主機處理器。在OEM開發環境中,對最終由微控制器執行的固件文件計算SHA-256散列。然后,這個散列值由ecdsa用私鑰簽名,該私鑰駐留在開發環境中,并且在開發環境的范圍內受到保護。
固件和ECDSA簽名然后存儲在最終應用程序中,例如閃存中。此外,在最后的應用程序中,微控制器存儲ECDSA公鑰,以驗證固件是真實的,在執行前沒有修改,即一個安全的引導過程。要執行此驗證,微控制器將在存儲的固件上計算SHA-256哈希值,然后使用此哈希值和存儲的公鑰對ECDSA簽名執行驗證操作。如果驗證通過,微就可以信任并執行固件。
高級安全集成電路現在被設計為內置這些安全特性。高效密碼協處理器為現有的和新的嵌入式設計提供了一個很好的選擇。其中一個好處是,協處理器可以讓主機(不安全的)微處理器不必管理復雜的加密和安全密鑰存儲。由于耗電量小,這些設備在電池驅動的物聯網設計中運行良好。
這類加密協處理器的一個例子是低功耗的DS28S60,它具有PUF技術、用于快速吞吐量安全操作的高速20MHzSPI接口、用于安全引導的SHA-256數字簽名和ECDSA-P256簽名和驗證,以及用于端到端加密的內置密鑰交換。
安全集成電路如何保護
以上就是安全集成電路如何保護的全部內容了,希望綜上能給予各位一定的幫助。
相關閱讀
一周排行榜
熱門活動
工具推薦
-
工程設計計算器
-
河姆渡方案館
