使用硬件AES引擎保護關(guān)鍵數(shù)據(jù)

本應(yīng)用筆記描述了MAX36025 DeepCover?防篡改反應(yīng)加密節(jié)點控制器如何實現(xiàn)有效的物理篡改保護，幫助設(shè)計人員克服當前和下一代系統(tǒng)中的安全挑戰(zhàn)。

所有終端設(shè)備類別的安全要求都在迅速提高。這種趨勢，加上軟件病毒的風險，導(dǎo)致硬件安全實施的流行程度越來越高。因此，設(shè)計人員在當前和下一代系統(tǒng)中面臨許多安全問題，包括如何安全地加密數(shù)據(jù)和保護加密密鑰。

為了使任何安全解決方案有效，必須實施物理篡改保護，因為即使是最復(fù)雜的安全微處理器、現(xiàn)場可編程門陣列 （FPGA）、智能卡和其他安全組件也容易受到某些攻擊場景的影響。這種威脅需要在系統(tǒng)關(guān)閉時維護一些有源電路，以檢測旨在提取關(guān)鍵信息的潛在攻擊。為此，安全設(shè)備必須消耗低功耗并與多個傳感器接口以檢測威脅。這些設(shè)備還需要在包含敏感內(nèi)容的電路周圍創(chuàng)建安全邊界。此外，如果安全組件可以保護加密密鑰以及安全地加密數(shù)據(jù)，則可以為系統(tǒng)提供更高級別的保護，并緩解設(shè)計人員當前面臨的一些問題。

MAX36025 DeepCover?防篡改反應(yīng)式加密節(jié)點控制器正是這樣做的。它將加密密鑰存儲在獲得專利的*無印記存儲器 （1KB） 中，通過監(jiān)控物理篡改來保護密鑰，并在兩個硬件高級加密標準 （AES） 引擎中加密和解密數(shù)據(jù)。MAX36025采用現(xiàn)有Maxim安全管理器的安全屬性，提供安全存儲器來存儲關(guān)鍵信息，還具有認證網(wǎng)關(guān)，通過發(fā)送質(zhì)詢響應(yīng)，首先對任何試圖與其通信的處理器進行認證。當兩個已知密鑰在微處理器和設(shè)備之間成功交換時，身份驗證過程通過加密的 I2C 接口進行。已知密鑰加載到MAX36025的安全位置。如果身份驗證未成功進行，設(shè)備將不允許訪問內(nèi)部安全存儲器。身份驗證成功后，可以將加密密鑰加載到非印記安全內(nèi)存中。此外，還可以設(shè)置篡改參數(shù)以及通過兩個 AES 引擎進行數(shù)據(jù)路由。

AES 引擎可以在許多場景中運行（參見圖 1 到 圖 3），以 9Mbps 的吞吐率加密、解密或同時加密和解密關(guān)鍵數(shù)據(jù)。AES 引擎通過兩個獨立的雙向 SPI 接口訪問。此外，串行閃存接口可以將大量加密數(shù)據(jù)存儲到外部串行閃存中。這允許用戶將數(shù)據(jù)安全地存儲在標準串行閃存中。

MAX36025是新發(fā)布的安全管理器，可以更輕松地在系統(tǒng)中實現(xiàn)AES加密。作為基于狀態(tài)機的器件，MAX36025不需要代碼**即可與其通信，從而縮短了設(shè)計時間。該器件在市場上是獨一無二的，因為它將硬件AES引擎與一組強大的安全功能相結(jié)合，包括獲得專利的非印記存儲器。

圖1.使用一個 AES 引擎加密數(shù)據(jù)。

圖2.使用兩個 AES 引擎加密數(shù)據(jù)。

圖3.將加密數(shù)據(jù)存儲在外部串行閃存中。

審核編輯：郭婷