česky english Vítejte, dnes je čtvrtek 29. únor 2024

Bezpečnost především

DPS 4/2019 | Články
Autor: Dipl. Ing. Martin Motz, Rutronik Elektronische Bauelemente GmbH

Čím je internet výkonnější a s větším pokrytím, čím výkonnější jsou i komponenty, které zařízení propojená do sítí teprve dělají „chytrými“, tím více oblastí použití bude k dispozici. Mikrokontroléry v kombinaci se softwarem tvoří srdce a duši senzorové technologie v průmyslu 4.0 a IoT. Zatímco konektivita továren a chytrých domácností nabízí obrovský potenciál pro růst a inovace, činí je zároveň zranitelnými nechtěnými útoky.

Bezpečnost především

Zaměřeno na mikrokontroléry

Mikrokontroléry se stále více stávají ochranným štítem proti manipulaci a kybernetickým útokům v rámci IoT, průmyslu 4.0 a robotiky. Některé skupiny mikrokontrolérů již obsahují řadu bezpečnostních prvků. Jako hlavní řídicí a regulační komponenty zaujímají mikrokontroléry klíčovou pozici v propojených systémech. Výrobci již používají vývojové procesy certifikované v souladu s příslušnými bezpečnostními normami. Prostřednictvím svých zabezpečených výrobních řetězců se také výrobci polovodičů starají o to, aby svým zákazníkům nabídli bezpečné řešení end-to-end.

Mikrokontroléry mohou být z hlediska zabezpečení podle svých cílových aplikací rozděleny do různých kategorií:

  • autentizační řešení a TPM (Trusted Platform Module), například ochrana značky a sítě IoT,
  • bankovní a identifikační řešení pro klasické kartové společnosti v oblasti zpracování plateb, osobních ID, dopravy a placené televize,
  • mobilní zabezpečení pro řešení na bázi SIM v mobilních produktech a aplikace typu stroj-stroj (M2M),
  • automobilová řešení pro komunikaci v blízkém okolí (NFC, eSE) a pro bezpečnou jízdu.

Integrované funkce pro zabezpečení dat

V rámci IoT, průmyslu 4.0 a robotiky se většinou používají standardní mikrokontroléry pro průmyslové a spotřebitelské aplikace (General Purpose Microcontroller). I zde jsou již k dispozici modely s integrovanými bezpečnostními funkcemi. Např. produktová řada STM32 má mnoho vlastností, které nabízejí ochranu proti:

  • krádežím identity (ochrana proti manipulaci, integrita, sledovatelnost),
  • odmítnutí datové služby (throttling),
  • špionáži a manipulaci s daty a kódy (ochrana paměti, správa oprávnění, úroveň ladění, ochrana proti manipulaci, integrita, zabezpečené aktualizace firmwaru),
  • fyzickým, případně mechanickým útokům (ochrana proti manipulaci na čipu).

Tyto funkce jsou primárně realizovány pomocí integrace v čipu a zajišťují silnou autentizaci, integritu platformy a průběžnou bezpečnost dat, včetně výsledné ochrany soukromí koncových uživatelů, jakož i komplexní ochrany dat, IP a značky – a jako takové splňují nejvyšší požadavky na bezpečnost dat ve standardních produktech. Typickými cílovými aplikacemi jsou např. tiskárny, počítače, brány, koncové body IoT a senzory.

Bezpečnost především 1

Funkce založené na hardwaru

Integrita a provozní bezpečnost: Cyklická redundantní kontrola vypočítává kontrolní součet, který identifikuje chyby při přenosu nebo ukládání dat. To poskytuje nejen kontrolu jejich integrity, ale také to, že během doby chodu může být vypočítán podpis softwaru. Monitorování sítě je vysoce zabezpečená metoda monitorování napájení: Stav příznaků POR (Power on RESET), PDR (Power down RESET), BOR (Brown out RESET) a PVD (Programmable Voltage Detector) jsou schopny určit důvod resetování a tím zajistit, že bude provedeno s oprávněným přístupem. To je doplněno funkcí „read while write“ pro efektivní detekci manipulace a pro protokolování.

Funkce Clock Security System (CSS) je založena na tom, že nezávisle na sobě fungují jak hodiny a systém pro její obnovu, tak i interní a externí hodiny. Rovněž funkce watchdog a okno watchdog monitorují časová okna nezávisle na sobě.

Integritu a důvěryhodnost obsahu paměti zajišťuje kód korekce chyb (Error Correction Code, ECC) a kontrola parity. Ty poskytují také rozšířenou ochranu před útoky zaměřenými na napadení systémů viry. Teplotní čidlo nepřetržitě měří okolní teplotu integrovaného obvodu, aby bylo zajištěno, že teplota zůstane ve specifikovaném rozsahu a obvod nebude trvale poškozen cíleným ohřevem.

Šifrování – ale správné

Metody šifrování chrání zdrojový text před neoprávněným přístupem tím, že zašifrují prostý text pomocí kódu. Kdo kód prolomí, ten potom může dekódovat šifrovaný text. Pokročilejší metody kryptologie používají symetrické nebo asymetrické šifrování. U symetrické metody existuje pro šifrování a dešifrování pouze jeden klíč, takže odesílatel i příjemce používají stejný klíč. U asymetrické metody používá každá z komunikujících stran svůj vlastní klíč, se kterým se vytvoří pár klíčů. Tento pár se skládá z veřejného klíče, s nímž jsou data šifrována, a ze soukromého klíče pro jejich dešifrování.

Bezpečnost především 2

V některých sériích STM32 je za účelem šifrování do čipu plně integrován skutečný generátor náhodných čísel. Šifrování je založeno na symetrické metodě Advanced Encryption Standard (AES). Série STM32 F2, F4, F7, L4 mají klíče s délkou volitelně 128/256 bitů a využívají různé metody (ECB, CBC, CTR, GCM, GMAC, CMAC), zatímco v sériích STM32 L0 / L1 je implementovaná metoda AES s délkou 128 bitů.

Výhodou symetrické metody je to, že existuje pouze jeden klíč. Tím je správa klíčů jednodušší než u asymetrické metody. Šifrování a dešifrování se také provádí mnohem rychleji. Některé modely STM32 mají navíc plně integrovanou hašovací funkci. Při tom jsou data roztrhána a rozptýlena a funkce převede velký objem vstupních dat na menší cílový objem. K dispozici je také kódovaný Hash Message Authentication Code (HMAC). Struktura tohoto kódu Message Authentication Code (MAC) je založena na kryptografické hašovací funkci. Kódy HMAC jsou specifikovány v RFC (Request for Comments) 2104 a v normě FIPS 198 NIST (National Institute of Standards and Technology).

Prevence manipulací

Ochrana proti manipulaci slouží k zábraně záměrně nebo neúmyslně spouštěných fyzických útoků na hardwarový systém mimo mikrokontrolér. Záložní doména propojená s různými zdroji buzení zajišťuje, aby byla ochrana také udržována v režimu nízké spotřeby (Low Power Modus). Hodiny reálného času (Real Time Clock = RTC) přiřazují každé manipulační události časové razítko. Některé série STM32 mají také funkci ochrany RTC registru. Ta blokuje nedovolené psaní a pracuje nezávisle na resetování systému. Nezahrnuje však ochranu při zadávání sekvence kláves. Jakmile je zjištěna manipulace, registr ochranných prostředků zajistí, aby byl obsah napsaný v jejím průběhu automaticky vymazán. Kromě toho mohou být komunikační kanály cíleně uzavřeny konfiguračním zámkem GPIO. Tento zámek blokuje vybrané univerzální vstupy/výstupy (GPIO) a lze jej při dalším resetování zrušit.

Bezpečnost především 3

Další zbraně proti útokům

Blokování ladění zabraňuje neoprávněnému přístupu k mikrokontroléru přes rozhraní ladění (debug). Úroveň zabezpečení je volitelná v závislosti na aplikaci respektive na požadavcích, nelze ji však následně snížit.

Přístupová práva opravňují uživatele nebo skupiny uživatelů k provádění konkrétních akcí. Za tímto účelem rozděluje integrovaná jednotka ochrany paměti (MPU) paměť do oblastí s různými oprávněními a přístupovými pravidly.

Při přenosu dat chrání firewall kódovou nebo datovou část paměti flash, případně SRAM proti kódu (fragmentu) spuštěnému mimo chráněnou oblast. Brána firewall působí restriktivněji než jednotka ochrany paměti (MPU); je integrována pouze v STM32L0 a L4.

Funkce ochrany čtení slouží ke správě kontroly přístupu k paměti. Může zabránit výpisům paměti, resp. ukládání uživatelských IP adres. Ochrana proti zápisu chrání každý sektor před nechtěnými operacemi zápisu. Proprietární ochrana kódů umožňuje konfiguraci každého sektoru paměti jako „execute only“, což znamená, že v tomto sektoru smí být kód prováděn, ale nesmí být zapsán.

Funkce hromadného mazání a bezpečného mazání (Mass Erase a Secure Erase) umožňují bezpečně smazat IP adresy a důvěrná data; akce úplně resetuje paměť na její tovární hodnoty. Pro zajištění sledovatelnosti koncového produktu je hodně sérií STM32 vybaveno specifickým 96bitovým jedinečným ID. To lze také použít k diverzifikaci bezpečnostních klíčů. Mnoho sérií navíc obsahuje funkce pro bezpečnou aktualizaci firmwaru. Bezpečnostní funkce realizované v hardwaru mohou být dále rozšířeny o softwarová opatření.

Bezpečnost koncového výrobku proti manipulaci ze strany třetích stran je založena na implementovaných softwarových řešeních a použitých elektronických hardwarových komponentech. Mikrokontroléry a paměťové komponenty, případně v kombinaci se senzory a aplikačně specifickými integrovanými obvody, jsou pro aplikace IoT a průmysl 4.0 stejnou mírou klíčové. Firma Rutronik ve své bílé knize [1] uvádí bezpečnostně relevantní funkce, které jsou integrované do jednotlivých skupin mikrokontrolérů − ve formě tabulky je uveden výčet funkcí, jako ochrana před manipulací, šifrovací moduly, Permission Management, Debug Lock Level a opatření na ochranu paměti (Memory Protection), dále integrita a funkční bezpečnost.

Společnost Infineon ve svých sériích XMC-1xxx a XMC-4xxx nabízí rovněž rozsáhlou integrovanou ochranu a zabezpečení dat, jak je patrné z tabulky na straně 74/75 brožury „Security Aspects“ [1]. Ohledně speciálních nároků na symetrické nebo asymetrické šifrování odkazuje výrobce na Crypto-Software Package. Na základě vlastního posouzení bezpečnostních rizik pro koncový produkt respektive jeho součásti mohou vývojáři na první pohled zjistit, které mikrokontroléry mohou být při konstrukci desek použity k zajištění souladu s obecným nařízením o ochraně dat (GDPR).

Pokud vývojář definuje bezpečnostní požadavky na konečný produkt, tak produktové portfolio firmy Rutronik nabízí nejrůznější série mikrokontrolérů od výrobců polovodičů, které díky integraci bezpečnostně relevantních prvků splňují požadavky legislativy GDPR.

Při shrnutí komplexu témat vztahujících se k průmyslu 4.0 je důležitým poznatkem, že obchod s daty a službami není obchodováním s produktem, ale s platformou.

V budoucnu nebude pro dosažení vysokého obratu rozhodující počet prodaných strojů nebo zařízení. Místo toho budou v místě nasazení stroje instalovány nejrůznější stroje pro generování dat a provozovatel platformy bude peníze od zákazníka získávat především za související datové služby. To bude znamenat revoluční změnu obchodních modelů v klasickém strojírenství a jeho subdodavatelů.

Literatura

[1] Rutronik: Security Aspects: White Paper on How to Make State of the Art Electronic Designs (k dispozici na http://www.rutronik.com/security-aspects).