確定在嵌入式設計中增強隱私的要求

隨著聯(lián)網(wǎng)設備變得越來越普遍，它們正在加劇隱私風險。幸運的是，現(xiàn)在有許多現(xiàn)成的芯片和服務可用于幫助設計抵御入侵并防止未經(jīng)授權訪問私人數(shù)據(jù)。關鍵在于確定需要緩解的特定威脅。

廣義地說，隱私需要在未經(jīng)信息所有者授權的情況下保持指定信息不可訪問。隱私涉及安全；如果不保證信息的安全，信息就不能保密。但它們不是一回事。信息安全還涉及防止惡意更改或破壞。從這個意義上說，信息可以在不保密的情況下保持安全。

將信息保密的原因有很多，其中最主要的原因之一是世界各地的許多政府法規(guī)和要求，以維護與個人相關的信息的隱私，稱為個人身份信息 (PII)。構成 PII 的大部分內(nèi)容是顯而易見的——諸如一個人的姓名、地址、帳號、位置、健康狀況、圖像和活動等都是大多數(shù)人認為值得隱私的 PII。

但其他類型的可能需要保密的信息顯然不那么私密，因為這些信息本身并不能識別個人身份。然而，與第二條信息配對后，第一條信息可能會變得可識別，因此需要隱私。例如，連接的恒溫器的溫度設置可能看起來不需要隱私保護。某處恒溫器設置為 55 度。所以呢？然而，將該設置與有關恒溫器當前位置的信息配對，它突然變得個人化了。知道某個特定房屋的恒溫器設置為 55 度的人可能會讓他們推斷出業(yè)主正在度假并且房屋相對安全，不會被盜竊。

在電子設備中，可能需要保持安全的信息或數(shù)據(jù)是大量的。靜態(tài)數(shù)據(jù)，即內(nèi)存或存儲中的數(shù)據(jù)，以及通過網(wǎng)絡或沿著電線和電路傳輸?shù)倪\動數(shù)據(jù)，都需要保護。如果該保護涉及加密，它通常會這樣做，那么加密密鑰也必須受到保護。除了存在或移動的個人數(shù)據(jù)和密鑰之外，設計人員可能需要確保系統(tǒng)軟件和固件不會被篡改，以免“壞人”改變系統(tǒng)行為，使其泄露本應保密的信息。

還有大量且不斷增長的方式可以損害電子數(shù)據(jù)的安全性。遠程攻擊者可以竊聽網(wǎng)絡通信?！爸虚g人”可以攔截傳輸中的消息并偽裝成預期的接收者，在合法方之間傳遞消息以隱藏中斷。遠程攻擊者還可以發(fā)送觸發(fā)系統(tǒng)弱點的消息，在配置或無線更新期間插入惡意軟件，或利用其他代碼漏洞。

如果攻擊者可以物理訪問，甚至只是接近系統(tǒng)，那么額外的攻擊途徑就會打開，包括侵入式和非侵入式。對信號總線的探測可以揭示私人信息，因為它流經(jīng)系統(tǒng)。監(jiān)控電源線或 EMI 輻射可以提供允許恢復加密密鑰的信息。通過物理訪問也可以更改甚至替換代碼存儲設備的內(nèi)容，剝離封裝以暴露裸片以進行探測和分析也是可能的。

對數(shù)據(jù)安全性的物理訪問攻擊也可能在部署設備之后發(fā)生。例如，不良行為者可以在制造和組裝過程中復制加密密鑰，甚至克隆整個系統(tǒng)。然后，設備的克隆可以在系統(tǒng)中運行，就好像它屬于那里一樣，通過“內(nèi)部”活動繞過幾乎所有形式的安全措施。一旦設備退役并被丟棄，有人可以在閑暇時獲取它并提取信息。

沒有一種方法可以提供針對可能的無數(shù)類型攻擊的安全性，并且實施所有可能的安全方法可能非常昂貴。此外，攻擊機會和風險因應用程序而異。因此，開發(fā)人員必須仔細選擇他們將實施的方法。開始的地方是在開始詳細設計之前，通過創(chuàng)建威脅模型。該模型不僅應考慮設備本身，還應考慮與其相連的系統(tǒng)。它還應該檢查設備正常操作設置的環(huán)境，以及整個生命周期。

在開發(fā)威脅模型時，開發(fā)人員應該采取幾個步驟：

確定他們需要保護的資產(chǎn)（數(shù)據(jù)）。出于隱私考慮，這將包括任何存在或通過設備移動的 PII。如果使用，它還必須包括加密密鑰，并且可能需要包括系統(tǒng)固件、身份代碼、消息元數(shù)據(jù)等。

識別這些資產(chǎn)可能遭受的攻擊類型，估計它們的可能性，并評估成功攻擊的影響。確保包括設備的整個生命周期，包括制造、部署和處置。這將有助于確定哪些威脅嚴重到需要緩解。

根據(jù)設計時間、性能和物料清單確定所需的對策及其實施成本。

由此開發(fā)的威脅模型將有助于指導保護數(shù)據(jù)隱私所需的硬件和軟件設計屬性。幸運的是，半導體行業(yè)一直在開發(fā)大量設備和服務，以應對大多數(shù)威脅，并為開發(fā)人員確定應用正確對策提供支持。