ALLTID skyddad

System stängs ned. Ibland vill du stänga ned dem, för underhåll eller energibesparing eller av någon annan anledning. Och ibland stängs de av när du inte vill det, och det vill du undvika. Det är avgörande att det inte händer när systemet startas eller stängs av – då säkerheten oavsiktligt kan vara slapp.

Det är ganska väldokumenterat hur du skyddar systemet när allt går bra. Men så är det inte nödvändigtvis för när systemet startas eller stängs av, särskilt om avbrottet är oplanerat. Så vad gör du i dessa olyckliga situationer?

Det enkla svaret är att se till att konstruera en microcontroller som innehåller alla de senaste säkerhetsfunktionerna. Men det är svårare att avgöra om det faktiskt är så, eftersom standarder och funktioner ändras ganska snabbt och bovarna verkar bli smartare för varje minut som går. Mer information om den här tekniken finns i artikeln ”The Anatomy of Security Microcontrollers for IoT Applications” (Anatomin för säkerhetsmicrocontrollers för IoT-tillämpningar).

Figur 1: Gränsområden för skydd på en industriell plattform. (Bildkälla: Maxim Integrated Products)

I en typisk ”säker” design fungerar alla de inbäddade säkerhetsbyggblocken tillsammans under en gemensam gräns. Den övre nivån i skyddshierarkin omfattar teknik som kryptografi och maskinvarusäkerhet (figur 1). Den gränsen isolerar autentiseringsnycklar från programvara som ska hindra hackare att göra angrepp, bland annat sådana som kan göras när systemet slås på och stängs av. Men om strömmen tas bort är det avgörande att systemet sedan startas i rätt ordning, vilket betyder att säkerheten läses in först, utom synhåll för spejande ”ögon”.

Enheter i RX-produktfamiljen från Renesas, till exempel RX651-microcontrollers, implementerar säkerhet med hjälp av betrodda säkerhetsfunktioner. Det här är en metod som systemkonstruktörer använder för att hantera start och avstängning. Systemet vet att det måste startas och stängas av i en viss ordning, med hjälp av de betrodda säkerhetsfunktionerna. Det läser in de krypterade nyckelorden, som ger ”klarsignal” till resten av systemet.

RX651-microcontrollers hanterar även säkerhetsfrågor genom att integrera TSIP (Trusted Secure IP) och betrott flash-områdesskydd, som möjliggör uppdateringar av fast flash-programvara på fältet via säker nätverkskommunikation. TSIP ger robust nyckelhantering, krypterad kommunikation och manipulationsdetektering för att säkerställa starkt skydd mot externa hot som avlyssning, manipulation och virus.

En andra säkerhetsmetod, en som är ganska populär idag, är Arms TrustZone, som isolerar kritisk fast säkerhetsprogramvara och privat information, till exempel säker start, uppdatering av fast programvara och nycklar, från resten av tillämpningen. I grunden delar funktionen in microcontrollern i två delar, där en del är helt skyddad och innehåller krypteringsnycklarna osv., och den andra delen är distribuerad för allmän aktivitet. De två domänerna förblir isolerade, så möjligheten till manipulation elimineras.

En microcontroller som använder TrustZone är STM32MP151A från STMicroelectronics. Den baseras på 32-bitars RISC-kärnan Arm Cortex-A7, som fungerar på upp till 650 MHz och innehåller instruktions- och datacachar på 32 kB samt en nivå 2-cache på 256 kB. Onboard-minnesskyddsenheten (MPU) förstärker tillämpningens säkerhet. Detta är utöver den inbäddade TrustZone-tekniken.

Säkerhet från en andra källa

En annan enhet, en som fungerar oberoende av microcontrollern, är det säkra elementet ATECC608A från Microchip (figur 2). Enheten har en slumpgenerator (RNG) för unik nyckel-generering och följer även de senaste kraven från National Institute of Standards and Technology (NIST). Den har också kryptografiska acceleratorer som AES-128, SHA-256 och ECC P-256 för ömsesidig autentisering.

Figur 2: ATECC608A från Microchip är en kryptografisk co-processor som fungerar tillsammans med en microcontroller. Den ger säker maskinvarubaserad nyckellagring. (Bildkälla: Microchip)

Hookarna är inbyggda för att stödja Microchips omfattande produktfamilj av microcontrollers, men delen är agnostisk för alla mikroprocessorer eller microcontrollers. Enheten kräver mycket lite effekt och behöver bara en GPIO över ett brett spänningsområde. Med sitt lilla format (paket med 8-stifts UDFN eller SOIC med 8 ledare) blir designen enkel på kortet.

Som du ser finns det många sätt att skydda systemet. Välj det som passar din tillämpning bäst.