0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

使用安全元件進(jìn)行固件驗(yàn)證的實(shí)現(xiàn)示例

星星科技指導(dǎo)員 ? 來源:microchip ? 作者:microchip ? 2023-05-06 10:28 ? 次閱讀

Microchip微控制器與安全元件相結(jié)合如何提供幫助?

控制器中的不可變啟動存儲器是任何通過安全啟動和安全固件升級實(shí)現(xiàn)固件驗(yàn)證的應(yīng)用中非常重要的功能。最新PIC24F低功耗微控制器(MCU)和高性能dsPIC33數(shù)字信號控制器(DSC)具有ICSP?寫禁止和CodeGuard? Security的閃存OTP,可實(shí)現(xiàn)不可變的安全啟動。ICSP 寫禁止是一種訪問限制功能,激活后,通過外部編程器和調(diào)試器以及讀寫保護(hù)功能限制對所有閃存的訪問。激活后,ICSP 寫禁止功能可防止 ICSP 閃存編程和擦除操作,并使閃存的行為類似于一次性可編程 (OTP) 存儲器。CodeGuard 安全功能支持將閃存程序內(nèi)存分段為兩個具有不同權(quán)限的專用區(qū)域。第一個內(nèi)存區(qū)域是引導(dǎo)段,它保存實(shí)現(xiàn)固件驗(yàn)證例程的引導(dǎo)加載程序代碼。此引導(dǎo)段可以對自身和內(nèi)存的應(yīng)用程序區(qū)域的所有自寫進(jìn)行寫保護(hù)。CodeGuard 安全性與 ICSP 寫禁止功能的閃存 OTP 一起使引導(dǎo)加載程序不可變。正如我們之前提到的,我們必須記住,在當(dāng)前的上下文中,不可變并不意味著無法訪問或不可讀,但無法通過遠(yuǎn)程數(shù)字攻擊進(jìn)行修改。第二個內(nèi)存區(qū)域稱為保存應(yīng)用程序映像的常規(guī)段。

在 CodeGuard Flash 安全性的引導(dǎo)段中實(shí)現(xiàn)的固件驗(yàn)證碼(不允許更改)向利用 CryptoAuthlib 庫的安全元素發(fā)出 ECDSA 驗(yàn)證命令。來自加密身份驗(yàn)證系列信任平臺TrustFLEX ATECC608 安全元件配備了安全密鑰存儲和基于硬件的加密加速器,能夠在幾毫秒內(nèi)運(yùn)行 ECDSA 驗(yàn)證操作,并且它還將安全地保護(hù)將用于在代碼簽名和/或代碼摘要上執(zhí)行此加密功能的公鑰。公鑰現(xiàn)在存儲在安全元件的不可變安全內(nèi)存區(qū)域中,利用防篡改和側(cè)信道攻擊保護(hù)進(jìn)行物理保護(hù)?,F(xiàn)在訪問和更改密鑰和代碼要困難得多。查看我們的軟件庫,了解MPLAB代碼配置器(MCC)支持的PIC24F MCU和dsPIC33 DSC,MPLAB?代碼配置器(MCC)是一個免費(fèi)的圖形編程環(huán)境,可生成無縫、易于理解的C代碼以插入到您的項(xiàng)目中。MCC 中的 CryptoAuthlib 庫簡化了 TrustFLEX ATECC608PIC24dsPIC33 器件的接口,并可實(shí)現(xiàn)各種安全功能。您可以通過 MCC 16 位引導(dǎo)加載程序庫添加固件驗(yàn)證和安全固件升級功能。有關(guān)更多信息,請訪問我們的嵌入式安全設(shè)計中心,了解如何實(shí)施安全啟動和 OTA。您還可以參考 ShieldsUP 安全網(wǎng)絡(luò)研討會 #26:使用 dsPIC33 DSC、PIC24F MCU 和 ATECC608 器件簡化安全應(yīng)用設(shè)計

MCU 和 ATECC608 TrustFLEX 之間的交易圖是怎樣的?

信任平臺設(shè)計套件(TPDS)軟件工具是開始使用Microchip安全元件的起點(diǎn)。打開 TPDS 時,可以選擇用例和開發(fā)平臺。然后,該工具將詳細(xì)說明所選用例的實(shí)際事務(wù)圖。

例如,下面是經(jīng)典微控制器和 TrustFLEX ATECC608 之間的固件驗(yàn)證事務(wù)圖。它顯示了主機(jī)MCU如何計算固件摘要,將該摘要作為質(zhì)詢發(fā)送到安全元素,安全元素嘗試使用預(yù)先配置的公鑰以加密方式驗(yàn)證摘要+簽名,最后接收來自安全元素的響應(yīng)。您可以看到主機(jī)MCU用于與安全元件通信的實(shí)際CryptoAuthLib API調(diào)用,例如“atcab_secureboot_MAC”,以及對MCU和安全元件之間實(shí)際發(fā)生的情況的簡單描述。

pYYBAGRVuzeATEbEAAESZGM2DF4271.png


圖 1:使用 TrustFLEX ATECC2 的固件驗(yàn)證用例的信任平臺設(shè)計套件 V608 事務(wù)圖

在此方案中,該工具將引導(dǎo)您完成以下期間需要發(fā)生的情況:

- 原型制作階段:

非對稱密鑰對由工具生成用于原型設(shè)計

公鑰由 TPDS 再次通過您的筆記本電腦進(jìn)行配置,用于原型設(shè)計目的。對于生產(chǎn),Microchip提供安全密鑰配置服務(wù)

使用私鑰對代碼圖像進(jìn)行簽名,以創(chuàng)建代碼圖像的簽名

- 啟動時:

主機(jī)MCU計算摘要

主機(jī)MCU將摘要和簽名發(fā)送到安全元件

安全元件驗(yàn)證并響應(yīng)有效/無效

主機(jī) MCU 接收響應(yīng),指示固件的有效性

固件被授權(quán)在MCU中運(yùn)行

如果您的微控制器沒有 BootROM 功能,但您仍然想使用安全元件怎么辦?

現(xiàn)在想象一下,您的設(shè)計基于經(jīng)典的32位微控制器,例如SAMD21 ARM? Cortex? M0+,并且沒有BootROM功能。這是當(dāng)今絕大多數(shù)設(shè)計的情況,更換為新的微控制器涉及重新認(rèn)證成本和時間,而這些成本和時間并不總是負(fù)擔(dān)得起的。

在這種情況下,您需要假設(shè)您的微控制器代碼可以更改。如果從微控制器到安全元件的ECDSA驗(yàn)證命令可以更改,后果是什么?如果代碼仍然已簽名,并且您的微控制器內(nèi)沒有用于驗(yàn)證的密鑰,則可能會受到影響,但不會影響您的整個設(shè)備群(假設(shè)您使用的是公鑰基礎(chǔ)設(shè)施)。這是由于安全元件使您的公鑰保持隔離,它將保護(hù)隊列的其余部分。需要考慮的幾個問題可能包括:

是否值得花時間對代碼進(jìn)行逆向工程,以簡單地關(guān)閉您必須物理訪問的設(shè)備?在大多數(shù)情況下,可能不會。這會影響設(shè)備隊列嗎?每個設(shè)備都必須物理訪問,這是不切實(shí)際的。從遠(yuǎn)程攻擊的角度來看,如果我們假設(shè)需要 OTA 更新來驗(yàn)證真正簽名的代碼并且代碼中沒有密鑰,則可能不會。

此外,您能否信任您的合同制造商,提供將驗(yàn)證您的代碼的加密密鑰?如果答案是否定的,則安全元件的價值將翻倍,因?yàn)镸icrochip提供安全的密鑰配置服務(wù),可以在我們的安全工廠內(nèi)秘密加載密鑰,以消除合同制造商的密鑰暴露并繞過中間人。計劃您想要更改CM的那一天,如果密鑰位于安全元件中,則只需使用Microchip更改送貨地址即可。

最后,損益(P&L)與財務(wù)風(fēng)險水平的成本影響是一個巨大的考慮因素。我們已經(jīng)看到客戶使用我們的安全元件,因?yàn)樗且环N非常經(jīng)濟(jì)高效的密鑰解決方案。一旦您在嵌入式系統(tǒng)中加載密鑰,您就可以自定義該微控制器或微處理器。想象一下,您的處理器大約是 3-5 美元,現(xiàn)在您已經(jīng)定制了您的控制器,這些控制器是不可取消、不可退回的多美元硅片,放在您的貨架上。安全元件大大降低了財務(wù)風(fēng)險。

物流供應(yīng)鏈障礙和在MCU中安全配置“驗(yàn)證”密鑰的成本增加

微處理器通常比微控制器具有更豐富的安全功能,但這兩種解決方案都需要有一個安全的物理邊界,密鑰和加密算法都將位于該邊界。不幸的是,這種設(shè)計很難以經(jīng)濟(jì)高效的方式實(shí)現(xiàn),因?yàn)榘踩吔鐣μ幚砥骰蚩刂破鞯?a target="_blank">芯片成本產(chǎn)生重大影響。單體解決方案的成本并不是唯一需要增加的成本,但完全支持此類架構(gòu)的技術(shù)支持、處理多用戶權(quán)限的各種工具以及安全處理密鑰配置的供應(yīng)鏈物流繼續(xù)增加復(fù)雜性和風(fēng)險。讓我們從損益的角度來看這個問題。讓我們想象一下 100,000 個微處理器單元,它們都裝有密鑰,這使得所有這些處理器都是自定義的?,F(xiàn)在想想你貨架上的庫存成本,無論你是分銷商,還是一個OEM,這個成本都會打擊你的損益,并隨著時間的推移增加你的項(xiàng)目風(fēng)險,因?yàn)轫?xiàng)目不斷被自然地推遲。

更具可擴(kuò)展性的架構(gòu)是使用Microchip CryptoAuthentication?配套設(shè)備,如ATECC608 TrustFLEX。密鑰被隔離在經(jīng)濟(jì)高效的安全密鑰存儲中,幾乎可以運(yùn)送到世界任何地方(根據(jù) EAR99 出口法規(guī))。安全密鑰配置服務(wù)消除了密鑰暴露給供應(yīng)鏈中間商,減少了攻擊面。

總之,您需要考慮安全啟動的固件驗(yàn)證、運(yùn)行時代碼驗(yàn)證和 OTA 更新后的安全基礎(chǔ),以及在處理加密密鑰時的各種供應(yīng)鏈風(fēng)險和成本。將安全元件(如 ATECC608)與微控制器(如 dsPIC33 DSC 或 PIC24F MCU)與具有不可變啟動功能的組合是設(shè)計的絕佳基礎(chǔ)選擇。如果微控制器沒有 bootROM 功能,但依賴于安全元件來物理隔離公鑰,則您的威脅模型和風(fēng)險評估可能會在大多數(shù)應(yīng)用程序中驗(yàn)證此類架構(gòu)。

審核編輯:郭婷

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 微控制器
    +關(guān)注

    關(guān)注

    48

    文章

    7575

    瀏覽量

    151714
  • mcu
    mcu
    +關(guān)注

    關(guān)注

    146

    文章

    17196

    瀏覽量

    351887
  • DSC
    DSC
    +關(guān)注

    關(guān)注

    3

    文章

    285

    瀏覽量

    33642
收藏 人收藏

    評論

    相關(guān)推薦

    固件漏洞安全問題的解決辦法

    如何解決?  據(jù)萊迪思半導(dǎo)體亞太區(qū)應(yīng)用工程(AE)總監(jiān)謝征帆介紹,Sentry方案在啟動之前就會加密驗(yàn)證每個IC的固件以保證平臺安全,并且在整個過程中都將進(jìn)行實(shí)時檢測攻擊。當(dāng)檢測到攻擊
    發(fā)表于 09-07 17:16

    如何重用Bootloader固件驗(yàn)證簽名并解密數(shù)據(jù)呢

    程序代碼比重新發(fā)明輪子(在這種情況下是加密)要小得多,也更安全。附件項(xiàng)目是經(jīng)過修改的Z-Wave門鎖示例應(yīng)用程序,該示例應(yīng)用程序演示了如何對Z-Wave固件以外的OTA代碼/數(shù)據(jù)
    發(fā)表于 02-14 07:54

    可以使用ECCDSA去驗(yàn)證FW固件的真實(shí)性嗎

    程序無法驗(yàn)證固件的真實(shí)性。我該如何調(diào)試這個問題?如果我從 STM32CubeIDE 單獨(dú)調(diào)試 SBSFU.elf,安全啟動會告訴我活動插槽中沒有固件(很明顯)所以不
    發(fā)表于 12-12 07:54

    如何使用ECDSA進(jìn)行固件真實(shí)性驗(yàn)證

    我使用帶有 KMS 的 X-CUBE-SBSFU 包在我的 ST MCU 上執(zhí)行固件更新。為了驗(yàn)證固件的真實(shí)性,我使用了 ECDSA。但是,我不明白為什么我只需要提供私鑰而不需要提供公鑰。如果我理解
    發(fā)表于 12-15 08:21

    如何安全實(shí)現(xiàn)車載網(wǎng)絡(luò)通信?

    現(xiàn)場應(yīng)用的固件漏洞補(bǔ)丁。此外,這些固件更新還需要加密安全實(shí)現(xiàn),它們通常需要使用對稱(AES)密鑰對傳入固件有效負(fù)載
    發(fā)表于 02-28 13:42

    Arm平臺安全架構(gòu)固件框架1.0

    )的標(biāo)準(zhǔn)化,以確保安全跨一系列安全硬件實(shí)現(xiàn)的服務(wù)允許并鼓勵固件的重用組件。這種重復(fù)使用對于可持續(xù)地降低安全開發(fā)和集成的成本至關(guān)重要設(shè)備。 本
    發(fā)表于 08-08 07:14

    如何使用Xilinx AXI進(jìn)行驗(yàn)證和調(diào)試

    了解如何使用Xilinx AXI驗(yàn)證IP有效驗(yàn)證和調(diào)試AXI接口。 該視頻回顧了使用的好處,以及如何使用示例設(shè)計進(jìn)行模擬。
    的頭像 發(fā)表于 11-20 06:38 ?4149次閱讀

    STM32通過IAP實(shí)現(xiàn)固件升級的分析與示例

    大部分MCU都可以通過IAP對片內(nèi)flash進(jìn)行讀寫來實(shí)現(xiàn)固件升級。這里主要是STM32如何實(shí)現(xiàn)IAP升級。不同內(nèi)核的stm32方式可能略有不同.這里先說F1內(nèi)核的IAP過程,這里以
    發(fā)表于 12-14 18:50 ?11次下載
    STM32通過IAP<b class='flag-5'>實(shí)現(xiàn)</b><b class='flag-5'>固件</b>升級的分析與<b class='flag-5'>示例</b>

    AN4062_STM32F0DISCOVERY外設(shè)固件示例

    AN4062_STM32F0DISCOVERY外設(shè)固件示例
    發(fā)表于 11-21 08:11 ?2次下載
    AN4062_STM32F0DISCOVERY外設(shè)<b class='flag-5'>固件</b><b class='flag-5'>示例</b>

    UM1851_STM32303E評估板固件示例

    UM1851_STM32303E評估板固件示例
    發(fā)表于 11-22 19:09 ?0次下載
    UM1851_STM32303E評估板<b class='flag-5'>固件</b><b class='flag-5'>示例</b>

    UM1819_STM32091C評估板的固件示例

    UM1819_STM32091C評估板的固件示例
    發(fā)表于 11-22 19:11 ?0次下載
    UM1819_STM32091C評估板的<b class='flag-5'>固件</b><b class='flag-5'>示例</b>

    使用MAX32520的安全USB加密狗應(yīng)用示例

    安全加密狗的第一個要求是固件映像身份驗(yàn)證和加密。MAX32520包含一個安全引導(dǎo)加載程序,用于驗(yàn)證并執(zhí)行閃存中的
    的頭像 發(fā)表于 01-16 15:24 ?1062次閱讀
    使用MAX32520的<b class='flag-5'>安全</b>USB加密狗應(yīng)用<b class='flag-5'>示例</b>

    使用安全元件的3大固件驗(yàn)證用例

    法規(guī)和指南,在當(dāng)?shù)叵M(fèi)市場銷售物聯(lián)網(wǎng)產(chǎn)品。UL2900 最初非常注重軟件安全實(shí)踐,現(xiàn)在正被大公司視為消費(fèi)者市場。在所有主要標(biāo)準(zhǔn)或法規(guī)中,您會發(fā)現(xiàn)建議驗(yàn)證代碼是否真實(shí)的常見要求。
    的頭像 發(fā)表于 05-06 09:34 ?785次閱讀
    使用<b class='flag-5'>安全</b><b class='flag-5'>元件</b>的3大<b class='flag-5'>固件</b><b class='flag-5'>驗(yàn)證</b>用例

    車規(guī)MCU的安全啟動固件

    。其主要功能包括以下幾個方面: 啟動驗(yàn)證安全啟動固件通過驗(yàn)證啟動代碼的完整性和真實(shí)性來確保系統(tǒng)啟動過程的安全性。它會對啟動代碼
    的頭像 發(fā)表于 10-27 17:20 ?2365次閱讀
    車規(guī)MCU的<b class='flag-5'>安全</b>啟動<b class='flag-5'>固件</b>

    安全驅(qū)動示例代碼和實(shí)現(xiàn)

    的mk文件)和common.mk文件,同時也需要將安全驅(qū)動集成到OP-TEE的內(nèi)核中。 然后編譯整體OP-TEE后就能夠使用該份示例代碼來驗(yàn)證本書提供的安全驅(qū)動
    的頭像 發(fā)表于 10-30 16:07 ?679次閱讀
    <b class='flag-5'>安全</b>驅(qū)動<b class='flag-5'>示例</b>代碼和<b class='flag-5'>實(shí)現(xiàn)</b>