Microchip CEC173x Trust Shield i bezpieczny rozruch - Secure Boot

W stale ewoluującym krajobrazie cyberbezpieczeństwa zapotrzebowanie na solidne rozwiązania chroniące wrażliwe dane i systemy jest niezwykle duże. Rodzina CEC173x Trust Shield to najnowocześniejsza rodzina produktów wzmocniona zaawansowanymi środkami bezpieczeństwa. W sercu architektury zabezpieczeń rodziny CEC173x leży niezmienny, bezpieczny program ładujący, który jest strategicznie zaimplementowany w pamięci ROM jako część sprzętowego rozwiązania typu root-of-trust i kamień węgielny funkcji zabezpieczeń oprogramowania sprzętowego platformy. Ten program ładujący pełni funkcję strażnika bramy, zapewniając, że na procesorze aplikacji systemu może zostać uruchomione wyłącznie uwierzytelnione i niezmienione oprogramowanie sprzętowe. Program ładujący CEC173x, opisany szczegółowo poniżej, można zaprogramować i dostosować za pomocą oprogramowania Trust Platform Design Suite (TPDS) firmy Microchip.

Oprogramowanie sprzętowe Soteria: uwierzytelniony łańcuch zaufania

Oprogramowanie sprzętowe Soteria-G3, integralna część ekosystemu bezpieczeństwa rodziny CEC173x, przejmuje stery po wstępnym uwierzytelnieniu bezpiecznego modułu ładującego. Zaprojektowana z myślą o przyjaznym dla użytkownika dostosowaniu, Soteria udostępnia zestaw funkcji bezpieczeństwa firmware sprzętowego platformy, które utrzymują integralność oprogramowania w czasie rzeczywistym (lub w czasie użytkowania). Funkcje takie jak monitorowanie SPI w czasie rzeczywistym, atestacja komponentów z obsługą funkcji fizycznie nieklonowalnych (Physically Unclonable Function), zarządzanie cyklem życia i inne zostaną omówione w przyszłych wpisach na blogu.

Zapewnienie integralności kodu

W momencie rozruchu CEC173x jest pierwszym urządzeniem, które włącza się. Rozpoczyna się od zresetowania procesorów aplikacji (AP) i odizolowania ich od zewnętrznych komponentów Flash. Boot ROM Trust Shield następnie przesyła obraz AP z zewnętrznej pamięci Flash do własnej wewnętrznej pamięci SRAM. Tam próbuje ustanowić podpis cyfrowy przy użyciu metod uwierzytelniania asymetrycznego dostosowanych przez producenta OEM. Jeśli się powiedzie, punkt dostępowy zostanie zwolniony z resetowania i będzie mógł wykonać kod. W przypadku niepowodzenia można uwierzytelnić obraz zapasowy (lub złoty).

Skrupulatny, ale szybki proces uwierzytelniania gwarantuje, że tylko prawdziwy kod uzyska dostęp do systemu rodziny CEC173x, kładąc podwaliny pod bezpieczne środowisko wykonawcze.

Uwierzytelnianie dynamiczne

Oprócz bezpiecznego rozruchu rodzina CEC173x obsługuje aktualizacje oprogramowania sprzętowego w terenie. Ten sam mechanizm uwierzytelniania asymetrycznego ustanawia podpis cyfrowy z nowymi obrazami kodu (programowanymi bezpośrednio lub drogą bezprzewodową) i przesyła je do zewnętrznych komponentów SPI Flash.

Obsługiwane jest również przywracanie kodu, co pozwala użytkownikowi cofnąć uwierzytelnienie poprzednio ważnego obrazu oprogramowania sprzętowego. Zapobiega to wykorzystywaniu załatanych luk w zabezpieczeniach i zapewnia trwałość głównego źródła zaufania platformy.

Pakiet projektowy platformy zaufania (TPDS)

Funkcja bezpiecznego rozruchu rodziny CEC173x, wspierana przez niezmienny bezpieczny moduł ładujący i obsługiwana przez inne funkcje obsługujące Soteria-G3, wzmacnia i zwiększa odporność firmware platformy. Aby dowiedzieć się więcej o dostosowywaniu tych funkcji do swoich potrzeb, pobierz pakiet oprogramowania Trust Platform Design Suite (TPDS).

Nowoczesne funkcje zabezpieczeń oprogramowania sprzętowego włączone w CEC1736 TrustFLEX – takie jak monitorowanie magistrali SPI, bezpieczny rozruch, atestowanie komponentów i zarządzanie cyklem życia – mogą chronić zarówno środowiska przed uruchomieniem (pre-boot), jak i środowisko w czasie rzeczywistym (czas sprawdzenia i czas użycia) przed zarówno zagrożeniami bezpośrednimi jak i zdalnymi.

Wysoce konfigurowalne, zaawansowane kontrolery I/O CEC1736 integrują 32-bitowy rdzeń, 96 MHz procesora Arm® Cortex®-M4 z ściśle powiązaną pamięcią, aby zapewnić optymalne wykonywanie kodu i dostępu do danych.

Gamma Sp. z o.o. jest autoryzowanym dystrybutorem rozwiązań firmy Microchip Technology w Polsce. Zapraszamy do kontaktu z naszym działem handlowym.