安全認(rèn)證器和協(xié)處理器如何簡化加密

介紹

讓我們回顧一下到目前為止我們從密碼學(xué)系列教程中學(xué)到的一些基礎(chǔ)知識(shí)，然后回顧一下如何使用我們學(xué)到的知識(shí)。結(jié)合一些精心設(shè)計(jì)的安全身份驗(yàn)證器，我們將展示如何在一些簡單但非常安全的實(shí)際解決方案中使用它們。

密碼學(xué)的四個(gè)基本目標(biāo)

正如我們?cè)诒鞠盗械牡谝粋€(gè)教程 “密碼學(xué)：它如何在我們的數(shù)字世界中提供幫助”中學(xué)到的那樣，任何好的加密系統(tǒng)的四個(gè)基本目標(biāo)是：機(jī)密性、真實(shí)性、完整性和不可否認(rèn)性（圖 1）。目前，各種制造商提供了廣泛的安全身份驗(yàn)證器和協(xié)處理器，可以幫助忙碌的開發(fā)人員快速實(shí)施安全系統(tǒng)。這些協(xié)處理器基本上從主機(jī)微控制器卸載了加密計(jì)算和數(shù)據(jù)處理要求，并與提供主要安全功能的耦合安全身份驗(yàn)證器無縫集成。接下來，我們將探討其中幾個(gè)協(xié)處理器。

圖1.密碼學(xué)的四個(gè)基本目標(biāo)包括機(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。

使用對(duì)稱密鑰協(xié)處理器

假設(shè)您是一名開發(fā)人員，試圖在您開發(fā)的獨(dú)特小工具中實(shí)現(xiàn)安全系統(tǒng)，并且您的商業(yè)模式的成功可能取決于大批量消耗品或一次性用品的銷售。在此模型中，您向客戶銷售永久部署的主機(jī)系統(tǒng)，然后他們從您和您單獨(dú)購買耗材。此小工具可以是醫(yī)療耗材或打印機(jī)墨盒，其中您的系統(tǒng)性能取決于它所連接的一次性外圍設(shè)備。對(duì)于一次性傳感器或工具等醫(yī)療耗材，主要問題是質(zhì)量、安全和使用管理。對(duì)于打印機(jī)墨盒之類的東西，必須解決諸如劣質(zhì)假冒產(chǎn)品和/或打印輸出質(zhì)量差而導(dǎo)致主機(jī)打印機(jī)損壞等問題。在這兩種情況下，都會(huì)有與假冒一次性用品相關(guān)的收入損失，從而導(dǎo)致您的業(yè)務(wù)模式崩潰。

因此，您需要確保連接到主系統(tǒng)的小工具是真實(shí)的，并且您的系統(tǒng)可以識(shí)別。使用安全認(rèn)證器可以輕松實(shí)現(xiàn)這一點(diǎn)，例如帶ChipDNA的DS28E50 DeepCover?安全SHA-3認(rèn)證器及其配套的DS2477 DeepCover安全SHA-3協(xié)處理器，具有ChipDNA?物理不可克隆功能（PUF）保護(hù)。圖2顯示了這種加密安全系統(tǒng)的簡化系統(tǒng)架構(gòu)。

圖2.安全系統(tǒng)架構(gòu)使用對(duì)稱密鑰安全身份驗(yàn)證器和協(xié)處理器。

在這個(gè)系統(tǒng)中，將你最喜歡的微控制器連接到DS2477，讓它處理所有的識(shí)別和認(rèn)證任務(wù)。它還提供適當(dāng)?shù)碾娦盘?hào)強(qiáng)度和時(shí)序，以驅(qū)動(dòng)位于每個(gè)小工具中的DS28E50。

DS2477設(shè)計(jì)非常靈活，可實(shí)現(xiàn)更好的控制。如果您想深入挖掘并控制加密身份驗(yàn)證過程的各個(gè)方面，它具有低級(jí)命令，可讓您做到這一點(diǎn)。但是，如果您希望它為您處理復(fù)雜性，它具有非常高級(jí)的命令，可以更放手地保護(hù)您的小工具。DS2477 和 DS28E50 均內(nèi)置 ChipDNA PUF 功能，使用未實(shí)際保存在器件中但每次需要時(shí)都會(huì)派生的密鑰來保護(hù)數(shù)據(jù)。該技術(shù)在我們系列的上一個(gè)教程 “密碼學(xué)：了解物理不可克隆函數(shù) （PUF） 的好處”中進(jìn)行了介紹。

使用非對(duì)稱密鑰協(xié)處理器

正如我們?cè)谙盗械纳弦粋€(gè)教程“密碼學(xué)：現(xiàn)代方法的基礎(chǔ)知識(shí)”中學(xué)到的那樣，在某些情況下，系統(tǒng)需要使用非對(duì)稱密鑰來保護(hù)系統(tǒng)。這對(duì)于實(shí)現(xiàn)完整的加密系統(tǒng)完整性和不可否認(rèn)性至關(guān)重要。圖 3顯示了這種類型的系統(tǒng)。

圖3.安全系統(tǒng)架構(gòu)使用非對(duì)稱密鑰安全身份驗(yàn)證器和協(xié)處理器。

在這里，就像以前一樣，您需要保護(hù)您的小工具，但您希望使用公鑰/私鑰組合來實(shí)現(xiàn)您的加密目標(biāo)。圖3所示為DS2476 DeepCover安全協(xié)處理器作為加密助手，內(nèi)置工具執(zhí)行非對(duì)稱ECDSA和對(duì)稱SHA-256功能。ECDSA 和 SHA-256 算法在之前的教程 “密碼學(xué)：仔細(xì)觀察算法”中都有介紹。DS2476還具有符合NIST標(biāo)準(zhǔn)的隨機(jī)數(shù)發(fā)生器，主機(jī)微控制器可以使用該隨機(jī)數(shù)產(chǎn)生防止“中間人”攻擊所需的隨機(jī)數(shù)。

在圖3所示的系統(tǒng)中，DS2476和DS28C36器件（DS28E83/DS28E84適用于抗輻射醫(yī)療應(yīng)用）協(xié)同工作，保護(hù)您的新設(shè)計(jì)免受仿冒和其他惡意攻擊。

工廠個(gè)性化/預(yù)編程自定義數(shù)據(jù)

現(xiàn)在是使用安全身份驗(yàn)證器輕松快速地實(shí)現(xiàn)加密安全系統(tǒng)的最后一塊難題。這包括使用為工廠生產(chǎn)量身定制的個(gè)性化/預(yù)編程服務(wù)。此服務(wù)使用您的私有或公共數(shù)據(jù)對(duì)設(shè)備制造商設(shè)施中的身份驗(yàn)證器和協(xié)處理器進(jìn)行個(gè)性化或預(yù)編程。示例數(shù)據(jù)可以是對(duì)稱密鑰/機(jī)密或非對(duì)稱密鑰證書。個(gè)性化流程的示例如圖 4 所示。

此個(gè)性化服務(wù)有助于將所需數(shù)據(jù)編程到生產(chǎn)設(shè)置中的身份驗(yàn)證器。在大多數(shù)情況下， 制造商 需要 開發(fā) 自己 的 測(cè)試 系統(tǒng) 和 基礎(chǔ)設(shè)施 來 完成 此 任務(wù)， 這 可能 非常 耗時(shí)且 成本高昂。數(shù)十年來，Maxim Integrated一直為各類客戶提供這項(xiàng)服務(wù)，有效地幫助保護(hù)他們的數(shù)據(jù)。

該過程從客戶請(qǐng)求時(shí)開始，然后將所需數(shù)據(jù)安全地傳輸?shù)組axim。如圖4的前兩部分所示，客戶在其中將數(shù)據(jù)安全地輸入到其設(shè)施中的Maxim工具中。完成后，該工具將對(duì)數(shù)據(jù)進(jìn)行加密，然后將其發(fā)送給Maxim。此時(shí)，Maxim接管并完成樣本生成過程，如圖4所示。

圖4.在設(shè)備制造商的工廠中對(duì)私有或公共數(shù)據(jù)進(jìn)行個(gè)性化/預(yù)編程有助于快速實(shí)施加密安全系統(tǒng)。

一旦樣品獲得客戶的批準(zhǔn)，該客戶的零件就會(huì)投入生產(chǎn)。從那時(shí)起，“即用型”零件將根據(jù)要求運(yùn)送給客戶。

結(jié)論

在密碼學(xué)手冊(cè)中，我們從一般概述開始介紹了密碼學(xué)的基礎(chǔ)知識(shí)，然后定義了安全密碼系統(tǒng)的特征。我們描述了各種加密概念的細(xì)節(jié)，例如加密和對(duì)稱/非對(duì)稱加密。然后，我們概述了各種加密算法，如SHA，ECDSA，AES，3DES和RSA。接下來，我們提供了物理上不可克隆函數(shù)的以實(shí)現(xiàn)為中心的解釋。我們希望這種方法能讓忙碌的工程師快速理解為什么這些功能對(duì)于目標(biāo)應(yīng)用至關(guān)重要。

在概述和討論了基本和詳細(xì)的加密概念之后，我們展示了如何將這些概念用于實(shí)際應(yīng)用的示例，例如安全啟動(dòng)或IP保護(hù)。最后，我們回顧了最新的安全認(rèn)證器和協(xié)處理器以及個(gè)性化/預(yù)編程服務(wù)的一些非常重要的功能。我們相信，安全認(rèn)證器可以幫助工程師以非常高的置信度快速開發(fā)和部署加密安全系統(tǒng)。

審核編輯：郭婷