搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內不再提示

      加密IC固件保護方案比較

      物聯(lián)網芯片 ? 來源:物聯(lián)網芯片 ? 作者:物聯(lián)網芯片 ? 2022-06-12 12:46 ? 次閱讀

      固件破解和抄襲已經成為了一個龐大的產業(yè),對于電子設備方案商和物聯(lián)網硬件方案來說,核心算法和固件的固件保護與防抄板是最關鍵的一環(huán)。很多使用的是firmware本身的軟加密來實現(xiàn),但是由于密鑰保護并不安全,軟加密算法防護的安全性往往不可靠,軟算法的密鑰在通用存儲中,所以最佳的方式是基于專用的加密IC(即加密芯片)來進行防抄板,固件保護設計。

      用于防抄板固件保護或者物聯(lián)網認證的加密IC一般會有兩個功能:

      1. 如果設備是脫機運行,需保護設備固件不被破解和抄襲,確保設備方案整體不被抄。

      2.如設備是聯(lián)網的,則除了防抄板外,也需要考慮接入物聯(lián)網可執(zhí)行身份認證核心功能,確保物聯(lián)網設備安全。不被克隆或入侵。

      加密IC固件保護方案比較

      目前來說行固件保護的方案是密碼算法握手和應答認證。有兩種密碼算法認證方案:一種基于對稱加密的安全認證保護,另一種基于非對稱加密認證保護。

      對稱密碼加密固件保護流程如下:HOST向DEVICE發(fā)送一個隨機數(shù)random挑戰(zhàn)。設備通過密碼算法計算一個數(shù)字簽名,該簽名是密鑰和認證的函數(shù),并發(fā)送回HOST。主機執(zhí)行相同的密碼運算并對計算結果進行比較。如果兩項運算結果相同,則設備通過安全認證。為了確保結果不被暴力破解,必須使用安全屬性高的函數(shù)和真隨機數(shù)發(fā)生器;SHA-256等安全雜湊函數(shù)或者AES等算法可滿足這些要求。這種應答方式可使得設備在不泄露對稱密鑰的情況下證明自己密鑰的合法性。即使破解者攔截通信數(shù)據(jù),也無法接觸到認證密鑰。

      1. 基于對稱算法加密的加密認證依賴于主機(HOST)和從DEVICE(加密芯片)之間的密鑰。如下圖所示(以MOD208加密芯片為例):

      對稱加密固件保護圖1: 對稱密鑰體系安全(來源MODSEMI)

      非對稱密鑰加密認證依賴于公鑰和私鑰。

      基于非對稱加密的安全認證依賴于兩個密鑰:私鑰和公鑰。只有被認證的設備知道私鑰,而公鑰可透露給希望對設備進行安全認證的任何一方。與上文中討論的方法一樣,主機向設備發(fā)送挑戰(zhàn)(一段隨機數(shù))。設備根據(jù)質詢和私鑰計算數(shù)字簽名,并將其發(fā)送給主機(如下圖,以MOD8ID加密芯片為例)。但此時,主機使用公鑰對數(shù)字簽名進行驗證。用于計算數(shù)字簽名的函數(shù)擁有特定數(shù)學屬性至關重要。非對稱方法中最常用的函數(shù)是RSA和ECC(一般為ECDSA),目前IOT領域以ECC居多,后面將闡述為什么ECC的優(yōu)勢。同樣,設備也在不泄露密鑰情況下提交了自己知道密鑰的證明,即私鑰。

      ECC非對稱加密固件保護圖2,非對稱算法體系認證架構

      為什么要用專用加密芯片

      握手應答加密認證始終要求被認證的對象持有相同密鑰。對稱加密方法中,該密鑰為主機和設備之間的共享密鑰;對于非對稱加密方法,該密鑰為私鑰。無論哪種情況,一旦密鑰泄露,質詢-應答式安全認證就會失去保障。加密IC的一項基本特性是為密鑰和密碼提供強保護,所以專用的加密IC有助于防范這種情況。

      在加密芯片能夠安全的支持基于對稱或非對稱的固件保護方案,如MODSEMI的MOD208支持對稱加密,MOD8ID支持對稱與非對稱ECC加密體系。

      認證芯片:芯片是可配置但固定功能的器件,為實施質詢-應答安全認證提供最經濟的途徑,并且具有基本的加密操作。

      安全加密芯片:在支持握手應答安全認證的基礎上,提供全面的密碼學功能,包括加密關鍵數(shù)據(jù)存儲,身份認證等。

      加密芯片中,基于SHA-256或者AES算法的產品支持基于共享密鑰的安全認證,具備專用的對稱加密算法引擎和密鑰存儲器,典型產品如MODSEMI的MOD208,這種方式的特點是高效快速,適用于一些模組類固件等對效率和資源要求比較高的應用場景,如固件保護,防抄板等。

      基于ECDSA或者RSA的安全芯片使用私鑰/公鑰對(如下圖)。除了具備專用的加密算法引擎外,這些產品擁有板載存儲器。該存儲器是可配置的,可用于儲存經過安全認證的用戶數(shù)據(jù),比如安全配置,安全密鑰,認證證書等等。可以實現(xiàn)具備pki認證體系的一系列功能。典型產品如MODSEMI的MOD8ID。

      以MOD8ID加密芯片為例,它會提供ECC簽名驗簽,AES加解密,密鑰安全存儲,單調計數(shù)器,TLS,Secureboot,證書存儲,線路加密傳輸?shù)雀黝惏踩?a target="_blank">接口功能。相關的安全機制與密鑰保護確保了整個系統(tǒng)具備一個安全的信任根?;灸馨褟拿摍C到聯(lián)網的設備的安全屬性提高到最高等級。適用于資源較為豐富,脫機或者可聯(lián)網等應用場景。如物聯(lián)網安全認證,高端固件保護,生產管理等。

      參考資料:MOD208用于固件保護 https://www.modsemi.com/shows/11/12.html

      MOD8ID加密芯片為物聯(lián)網設備提供端到端的安全性 https://www.modsemi.com/shows/11/11.html

      審核編輯:湯梓紅

      聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 加密芯片
        +關注

        關注

        2

        文章

        115

        瀏覽量

        23691
      • 防抄板
        +關注

        關注

        0

        文章

        8

        瀏覽量

        8224
      • 固件保護
        +關注

        關注

        0

        文章

        1

        瀏覽量

        1662
      收藏 人收藏

        評論

        相關推薦

        STM32配合可編程加密芯片SMEC88ST的防抄板加密方案設計

        反而價格更有優(yōu)勢,因為他們的開發(fā)投入幾乎可以忽略不計。 所以針對這種主芯片可以被破解的產品方案,開發(fā)者需要在開發(fā)時在產品方案中使用加密芯片并設計合理的加密
        發(fā)表于 12-27 13:03

        加密芯片的一種破解方法和對應加密方案改進設計

        使用芯片ID和隨機數(shù),結合邏輯加密芯片的加密方案,如果設計不合理,貌似安全可靠的加密方案,在實際使用是可能會被輕易破解。本文通過實例詳細分析
        發(fā)表于 12-23 16:36 ?1次下載

        淺談加密芯片的一種破解方法和對應加密方案改進設計

        目前市面上很多防抄板加密方案都是基于加密芯片的安全存儲和密文通訊來實現(xiàn)對主MCU方案保護。比如把主MCU用到的一些參數(shù)、配置信息等存儲在
        發(fā)表于 12-20 15:31

        淺談加密芯片的一種破解方法和加密方案改進設計

        目前市面上很多防抄板加密方案都是基于加密芯片的安全存儲和密文通訊來實現(xiàn)對主MCU方案保護。比如把主MCU用到的一些參數(shù)、配置信息等存儲在
        發(fā)表于 12-20 15:10

        AG32 芯片保護加密

        AG32 芯片保護加密 代碼安全有兩種方式: 一種是 Lock flash,一個是代碼加密。 Lock flash: Lock flash 是在燒錄代碼后,鎖定 flash,防止外部
        發(fā)表于 09-19 16:01

        電流保護的測量比較元件是哪些

        電流保護是電力系統(tǒng)中用于保護電氣設備免受短路和過載損害的一種重要技術。它通過檢測電路中的電流,當電流超過設定的閾值時,自動切斷電源,以保護設備和人員安全。電流保護的測量
        的頭像 發(fā)表于 09-13 15:56 ?774次閱讀

        嵌入式產品如何做安全加密

        為了防止硬件電路與固件被抄襲,核心在于加密芯片和安全解決方案的設計,目前大多MPU并不具備安全防護功能,所以最好的辦法是使用一顆專用的加密芯片,通過
        的頭像 發(fā)表于 06-20 17:46 ?822次閱讀
        嵌入式產品如何做安全<b class='flag-5'>加密</b>?

        ESP-IDF中能否加密應用固件?

        描述:我啟動了flahs加密,這樣物理上可以防止數(shù)據(jù)的讀取和篡改。但在進行https-OTA時,從服務器傳輸固件到設備的過程中,可能會泄露固件。正常使用ESP-IDF編譯生成的固件是明
        發(fā)表于 06-11 06:50

        如何編譯OTA時的加密固件

        使用的IDF為5.1.2,在新版OTA例程中,有個pre_encrypted_ota示例,是用來加密OTA的固件的。我將他整合到了自己的工程中。 問題: 1.添加了加密組件之后,我再
        發(fā)表于 06-05 08:28

        DW01-A(鋰電保護IC

        DW01-A(鋰電保護IC
        發(fā)表于 05-22 22:23 ?8次下載

        儲能中還有必要單獨裝過流保護IC嗎?

        的正常運行。 ? 這種芯片的工作原理比較簡單,通常過流保護IC會有一個預設的電流閾值,當電路中的電流超過這個安全值時,過流保護IC會啟動
        的頭像 發(fā)表于 05-14 01:10 ?2313次閱讀

        與傳統(tǒng)母線保護方案對比弧光保護的優(yōu)點

        安科瑞 鄒玉麗 弧光保護與傳統(tǒng)母線保護方案比較: 環(huán)流原理的高阻抗母線保護 方案特點:是專用的
        的頭像 發(fā)表于 01-30 10:34 ?745次閱讀
        與傳統(tǒng)母線<b class='flag-5'>保護</b><b class='flag-5'>方案</b>對比弧光<b class='flag-5'>保護</b>的優(yōu)點

        應用方案:實時數(shù)據(jù)加密

        應用方案:實時數(shù)據(jù)加密 利用CPLD設計加密電路方便可行,能夠較好地實現(xiàn)加密功能。AG32系列MCU產品,在芯片內部內置了CPLD邏輯,可以有效地滿足各種數(shù)據(jù)采集需求,降低了客戶的BO
        發(fā)表于 01-15 08:57

        SDW18B:電池組保護解決方案IC應用指南

        電子發(fā)燒友網站提供《SDW18B:電池組保護解決方案IC應用指南.pdf》資料免費下載
        發(fā)表于 01-02 11:44 ?0次下載

        SDW18B電池保護解決方案IC手冊

        電子發(fā)燒友網站提供《SDW18B電池保護解決方案IC手冊.pdf》資料免費下載
        發(fā)表于 01-02 11:41 ?0次下載