安全合规性,信任根源,嵌入式世界2021年的软件

作为 辩论风靡一时 关于去年孟买市的大规模停电是否是网络攻击的结果,解决网络安全问题已成为近几年嵌入式世界2021的突出部分,正如近年来已成为常态一样。

去年10月,孟买这座拥有2000万人口的印度城市和该国的金融首都,在高峰工作时间数小时内因停电而严重瘫痪。根据一个 新报告 它来自情报公司Recorded Future,它对网络流量分析的分析表明,攻击者已经进行了网络入侵活动。在针对印度关键基础设施的协同行动中,十个印度电力部门组织(包括多个负责电网运行的中心)成为攻击的目标。

在物联网(IoT)时代,如果这是建议的网络攻击,那么这仅仅是对安全策略和合规性自满的潜在结果之一。

在本文中,我们着眼于2021年嵌入式世界的一些硬件和软件安全公告,范围从信任的硬件根源到安全套件,持续的设备管理和合规性。

对于每个在IoT领域工作的组织来说,合规性都是一个挑战,特别是考虑到大多数应用程序都是唯一的,并且正式的认证方法既昂贵又费时。这就是为什么 物联网安全基金会一家非营利性行业协会,开发了一个IoT安全合规性框架,使组织能够建立一种自认证方法,该方法与设计准则在英国和欧洲安全中捕获的13种最佳实践相结合。

Secure Thingz / IAR Systems的合规套件

为了解决这个问题,IAR Systems集团公司Secure Thingz宣布推出其Compliance Suite,这是一套专门针对嵌入式开发人员的工具和培训,旨在为嵌入式开发人员提供简化的途径来构建符合欧洲EN 303645,英国和欧洲标准的应用程序。 澳大利亚的13种最佳做法,以及不断发展的美国《网络安全改进法》(NISTIR 8259)。

该套件包括一组开发工具和预配置的安全上下文,使开发人员能够快速实现准则的核心方面,例如使用高级特定于设备的安全区域来保护已配置的信息。与这些工具结合使用的是一组培训和支持资源,这些功能将功能要求与IoT安全基金会合规性调查表中确定的认证要求联系在一起,以确保能够快速实施并满足国际要求。

合规是正式第三方认证的一步,例如IOT平台(SESIP)和ARM PSA要求的全球平台安全评估标准。通过实施IOT安全基金会合规性框架,开发人员将其组织与最佳级别的方法对齐,使他们能够实现和超越不断变化的行业要求。 Compliance Suite提供一系列安全开发工具,可扩展开发工具链IAR嵌入式工作台;它包括安全开发工具,C-Trust,以及主流微控制器和高级安全设备的一组预先配置的安全上下文。它还包括一套顾问,涵盖了实现合规性和组织漏洞披露的安全实现。

下一代硬件RoT:Lattice Sentry Stack 2.0

在由云安全行业峰会(CSIS)与 开放计算项目 CSIS表示(OCP),“固件是计算机系统,设备和相关基础架构的重要威胁媒介。如果设备上电时执行的第一个代码被破坏,那么整个系统可以并且应该不再被视为安全。固件可以通过恶意攻击或无意中受到破坏。”

为了解决这个问题,莱迪思半导体宣布了其莱迪思哨兵的新版本,该版本通过为开发人员提供一种高效,安全的方式来快速实现增强的系统和加密应用程序,从而满足了当前和新兴服务器平台迅速发展的安全性要求。新的莱迪思Sentry 2.0协议栈通过支持符合以下要求的下一代硬件信任根(RoT)解决方案来支持固件安全性: NIST平台固件弹性(PFR)指南 (NIST SP-800-193),并支持384位加密。借助Sentry堆栈,开发人员可以基于莱迪思安全控制PLD向系统控制应用程序添加对强大固件安全性的支持,从而创建一个平台来建立硬件RoT,以验证系统中所有固件实例的合法性。

格子哨兵2.0
莱迪思哨兵2.0可以在莱迪思Propel中定制(图片来源:莱迪思半导体)

Sentry 2.0的主要功能包括:

  • 更高的安全性– Sentry解决方案堆栈支持莱迪思Mach-NX安全控制FPGA和安全的安全IP块,这些IP块支持384位加密(ECC-256 / 384和HMAC-SHA-384),从而更好地保护受Sentry保护的固件免受未经授权的攻击使用权。许多下一代服务器平台都要求支持384位加密。
  • 预引导身份验证速度提高了4倍– Sentry 2.0支持更快的ECDSA(40毫秒),SHA(最高70 Mbps)和QSPI性能(64 MHz)。这些功能使Sentry 2.0可以提供更快的启动时间,从而有助于最大程度地减少系统停机时间,并减少启动过程中遭受固件攻击的风险。
  • 能够实时监视多达五个固件映像–扩展了由莱迪思Sentry支持的PFR兼容硬件RoT,该堆栈能够在启动和持续运行期间实时监视系统中的多达五个主板组件。例如,基于竞争的基于MCU的安全解决方案缺乏处理性能,无法实时地正确监视许多组件。

Sequitur的EmSPARK:专注于Arm TrustZone设备级别的安全性

Sequitur Labs的EmSPARK安全套件在基于Arm TrustZone架构的设备上实现设备保护,旨在通过解决技术,供应链和业务流程方面的挑战,使IoT硬件制造商轻松地嵌入设备级安全性。 EmSPARK提供了用于加密,存储,数据传输和密钥/证书管理的支持安全功能,并位于安全环境中。

为了支持Microchip,恩智浦半导体,意法半导体和Nvidia,Sequitur Labs宣布了EmSPARK的新部署选项,包括基本软件包和高级软件包。 “基础”软件包通过易于安装,集成和管理的交钥匙解决方案为物联网应用提供了必要的安全防护;该软件包的主要功能包括安全启动,固件更新,设备故障恢复和软件配置。

“高级”软件包提供了一整套安全特性和功能,可在设备的整个生命周期的各个阶段对其进行保护。其中包括功能强大的API和值得信赖的应用程序套件,用于高级功能,包括密钥和证书管理,安全存储,加密,云集成以及在网络边缘对AI / ML模型的保护。

Sequitur EmSpark软件包
EmSPARK安全套件的基本和高级软件包(图片:Sequitur Labs)

Sequitur Labs告诉Embedded.com,“到目前为止,EmSPARK仅作为高级软件包提供。新的基本软件包适用于入门级需求。”

意法半导体提高STM32MP1微处理器的安全性

意法半导体(ST)宣布推出新的软件包和支持,以实现其STM32MP1双核微处理器的安全性。

通过为OP-TEE(开放式便携式受信任执行环境)和TF-A(受信任的固件-A)项目等安全机制提供代码,ST帮助STM32MP1开发人员解决其应用程序中信息安全的关键概念:机密性,完整性,可用性和真实性验证。

此外,圣路德还将授权合作伙伴的名册扩展到嵌入式安全性与Sequitur Labs。 STM32MP1的Sequitur Labs的Emspark安全套件简化固件开发实施保护技术,如安全启动和设备身份验证。安全套件适用于STM32MP1的ARM TrustZone架构,并有助于安全配置,以简化部署连接的设备,同时保密安全。在此,它针对工业控制,建筑自动化,智能家居设备,机器视觉,汽车通信和医疗设备等应用进行了优化。

这些新资源与STM32MP1生态系统以及授权合作伙伴提供的解决方案一起被证明&Run,TimeSys和Witekio,它们为安全软件开发挑战提供了可靠且经过现场测试的解决方案。 ProvenRun通过提供定制的安全工程服务(安全启动,安全固件,OP-TEE)以及基于已认证的安全操作系统ProvenCore的更高级的解决方案,帮助STM32MP1客户将安全性集成到他们的设计中。

TimeSys Vigiles漏洞管理套件嵌入在OpenSTLinux中,并不断监视将设备打开到网络攻击的相关漏洞。 Vigiles还提供用于设备生命周期管理的补救信息。 Witekio的FullMetalUpdate开源空中(OTA)解决方案可帮助IoT平台运营商管理自己的OTA更新,将安全性与灵活性和经济性结合在一起。

英飞凌采用OPTIGA Authenticate IDoT解决假冒设备问题

消费者设备,家电和工业机器不断暴露于假冒备件和配件的风险。假货可以危及功能,用户安全和 - 结果 - 品牌价值。为了解决这个问题,英飞凌技术已经推出了Optiga认证idot(物品的身份)防伪交钥匙解决方案,它将增强的认证与配置灵活性相结合。新的嵌入式安全解决方案提供了增强的基于硬件的安全性和灵活性,以解决客户和应用要求。

该解决方案具有-40°至+120°C的扩展温度范围,非常适合工业应用,并支持不断增长的认证需求。用例包括用于HVAC和水过滤器的一次性用品,便携式设备,轻型电动车以及高度复杂的eMobility,工业和IoT环境中的计算和机器人系统的可充电电池。

英飞凌OPTIGA_Authenticate_IDoT_applications
OPITIGA Authenticate IDoT的应用包括用于便携式设备,轻型电动汽车以及高度复杂的eMobility,工业和IoT环境中的计算和机器人系统的可充电电池。 (图片:英飞凌科技公司)

OPTIGA Authenticate IDoT封装在经过验证的坚固TSNP SMD外壳中,尺寸仅为1.5 x 1.5 x 0.38 mm3。它支持四种ECC身份验证模式:单向,相互,主机绑定和主机支持。设计人员可以从三个温度范围,两个通信配置文件,三组存储器和四个集成的安全递减计数器中进行选择,这些计数器具有安全的生命周期管理,无盖LDO和强大的ESD保护。 OPTIGA Authenticate IDoT还提供独特的片上交钥匙数字证书和密钥对。

恩智浦发布EdgeLock安全区域

恩智浦半导体推出了其Edgelock SecureCence,一个预先配置的安全子系统,简化了复杂的安全技术的实现,并帮助设计人员避免昂贵的错误。它通过自主管理通过对关键安全功能的自主管理来增强保护,例如信任,运行时间证明,信任配置,安全启动,关键管理和加密服务,同时还简化了行业标准安全认证的路径。 Edgelock Secure ConcaceAve智能地跟踪电源转换,当终端用户应用程序运行时,以帮助防止新攻击曲面涌现。

安全区域将成为i.MX 8ULP,带有Azure Sphere的i.MX 8ULP-CS和i.MX 9应用程序处理器的标准集成功能,为开发人员提供广泛的计算可扩展性选项,以轻松地在边缘部署安全性。应用程序。

独立的On-Die硬件安全子系统拥有自己的专用安全核心,内部ROM,Secure RAM,并支持最先进的侧频攻击弹性对称和非对称加速器和散列函数,提供安全数组SOC内的其他用户可编程核心的服务。从本质上讲,安全的飞地函数(Soc)内的安全总部或堡垒(SOC),存储和保护关键资产,包括腐败和加密键,以保护系统免受物理和网络攻击。

该子系统与其他处理应用程序和实时处理功能的处理器内核隔离。这种物理隔离的体系结构支持SoC中定义良好的安全范围,并通过隔离安全密钥库管理和加密来增强SoC和应用程序的安全性。

恩智浦i.MX 8ULP-CS Microsoft Azure映像
恩智浦已与Microsoft合作,通过i.MX 8ULP-CS(云安全)应用处理器家族中的Azure Sphere芯片到云安全性,向客户提供持续的受信任设备管理。图片:恩智浦半导体)

恩智浦还与Microsoft合作,为其客户带来持续可信赖的设备管理,以i.MX 8ULP-CS(云安全)应用程序处理器系列中的Azure Sphere芯片到云安全性。 I.MX 8ULP-CS带Azure Spente包含在Edgelock Secure Cancave上启用的Microsoft Pluton作为内置于硅本身的信任的安全根,并作为为广泛的IOT和工业应用启用高度安全设备的关键步骤。除了固定的硬件外,Azure Spenth还包括安全的Azure Sphere OS,基于云的Azure Sphere Security Service,以及超过十年的On OS更新和安全改进。


相关内容:

要获得更多嵌入式产品, 订阅嵌入式’的每周电子邮件通讯.

发表评论

该网站使用Akismet减少垃圾邮件。 了解如何处理您的评论数据.