如何在物联网设备的无线SoC中使用物理不可克隆功能
silicon labs(亦称“芯科科技”)物联网安全高级产品经理mike dow近期解释了silicon labs如何在物联网设备的无线soc中使用物理不可克隆功能(physical unclonable functions, puf)技术。silicon labs在其secure vault物联网安全软件中使用了sram puf的技术,得以利用sram的固有随机性,从而获得设备独有的单个对称密钥。sram puf技术在市场上具有值得信赖的可靠性记录。由于我们的客户在现场部署的设备通常要求运行超过10年以上的时间,因此我们需要具有长期可靠性历史的puf技术。
silicon labs通过puf来创建密钥加密密钥(kek),用于封装(加密)系统中的其他密钥,并将它们存储在内部或外部存储器中。“因为这个kek只用于访问包装密钥,它的使用时间是有限的,这反过来限制了它暴露于许多类型的攻击。此外,重构kek的过程只发生在power on reset (por)事件上,这进一步限制了对生成密钥的过程的访问。
在silicon labs的设计中,除加密密钥外,每一代密钥都由符合nist标准的真随机生成器(trng)执行
“在这种设计中,除kek之外的每一个密钥生成都由符合nist标准的trng来执行,然后密钥包装为aes加密。在安全行业中,trng和aes技术都是常见的、易于理解的、经过测试和被验证的。silicon labs还使用256位密钥来增加aes加密的强度,然后在aes算法上应用了差分功率分析(dpa)侧通道保护,进一步增强其对黑客攻击的抵抗能力。该设备的所有密钥材料都以这种方式封装,包括在一次可编程(otp)内存中生成并存储的ecc公私身份密钥对。
当实现需要许多对不对称密钥的复杂云安全方案时,能够在几乎无限的内部或外部内存中安全地存储密钥是一个主要优势。另一种方法是将其存储在纯文本中,但这种方法需要高度物理安全的内存,保护起来既复杂又昂贵。dow评论道:“在设计芯片时,你必须选择一个最佳的安全内存大小。然而,无论你选择什么尺寸,几乎可以保证在产品的使用寿命中都是不够的。”
puf创建一个秘密的、随机的和唯一的密钥,并且puf-key加密在安全密钥存储中的所有密钥,在启动时生成,而不是存储在flash中。
值得一提的是,secure vault提供的密钥管理方案的另一个优点是通过使用aes加密,你还可以要求一个初始向量来提供算法。“这个初始向量就像有一个额外的128位密码,需要使用该密钥执行任何安全操作。然后,该密码可以被人类或运行在芯片上的其他应用程序使用,从而提供使用密钥的双重身份验证。”
“作为一层额外的保护,secure vault技术中包含了一个复杂的篡改保护方案,如果检测到篡改,可以破坏puf重构数据。一旦重构数据被销毁,存储的密钥材料就再也不能被访问了。
总结来说,silicon labs选择了市场上最可靠的puf技术,并将其功能限制为只能提供一个kek来包装或打开关键材料。通过使用另一个双因素身份验证密码,可以进一步保护该密钥。此外,silicon labs提供多种篡改保护源,可以破坏puf密钥,使其无法解密受其保护的所有其他密钥。即使黑客投入了大量的时间和资源来重新设计设备并恢复kek,他们也只危及了一台设备。”
2024年网络安全领域的主流应用趋势
歌尔股份坚持的“4+4”战略和公司内部运营管理所做的工作
了解双电源自动转换开关的操作程序
CPU和GPU的简介和差别
如何在AD中设置过孔盖油
如何在物联网设备的无线SoC中使用物理不可克隆功能
空调制热效果不好是什么原因
飞宇无人机新品亮相2019第四届中国无人机产业博览会
经发展趋势来看,安防行业发展长期利好
电磁兼容简明教程(1)
物联网为什么对我们很重要
APP网络深度优化与网络安全的详细资料讲解
无人机领军企业的大疆想扩展教育领域,前景如何
医疗器械电磁兼容检测不通过,需要EMC整改
充电器的分类及相关知识
BOOM 7事件之后,三星手机又再次出事啦!
HAS 2023 | 激发运营商B2B业务新增长
电缆技术:国产电缆故障测试仪目前还存在哪些问题
国半LVDS串行/解串器芯片组芯片组所需导线少
一位工程师的成长之路
silicon labs通过puf来创建密钥加密密钥(kek),用于封装(加密)系统中的其他密钥,并将它们存储在内部或外部存储器中。“因为这个kek只用于访问包装密钥,它的使用时间是有限的,这反过来限制了它暴露于许多类型的攻击。此外,重构kek的过程只发生在power on reset (por)事件上,这进一步限制了对生成密钥的过程的访问。
在silicon labs的设计中,除加密密钥外,每一代密钥都由符合nist标准的真随机生成器(trng)执行
“在这种设计中,除kek之外的每一个密钥生成都由符合nist标准的trng来执行,然后密钥包装为aes加密。在安全行业中,trng和aes技术都是常见的、易于理解的、经过测试和被验证的。silicon labs还使用256位密钥来增加aes加密的强度,然后在aes算法上应用了差分功率分析(dpa)侧通道保护,进一步增强其对黑客攻击的抵抗能力。该设备的所有密钥材料都以这种方式封装,包括在一次可编程(otp)内存中生成并存储的ecc公私身份密钥对。
当实现需要许多对不对称密钥的复杂云安全方案时,能够在几乎无限的内部或外部内存中安全地存储密钥是一个主要优势。另一种方法是将其存储在纯文本中,但这种方法需要高度物理安全的内存,保护起来既复杂又昂贵。dow评论道:“在设计芯片时,你必须选择一个最佳的安全内存大小。然而,无论你选择什么尺寸,几乎可以保证在产品的使用寿命中都是不够的。”
puf创建一个秘密的、随机的和唯一的密钥,并且puf-key加密在安全密钥存储中的所有密钥,在启动时生成,而不是存储在flash中。
值得一提的是,secure vault提供的密钥管理方案的另一个优点是通过使用aes加密,你还可以要求一个初始向量来提供算法。“这个初始向量就像有一个额外的128位密码,需要使用该密钥执行任何安全操作。然后,该密码可以被人类或运行在芯片上的其他应用程序使用,从而提供使用密钥的双重身份验证。”
“作为一层额外的保护,secure vault技术中包含了一个复杂的篡改保护方案,如果检测到篡改,可以破坏puf重构数据。一旦重构数据被销毁,存储的密钥材料就再也不能被访问了。
总结来说,silicon labs选择了市场上最可靠的puf技术,并将其功能限制为只能提供一个kek来包装或打开关键材料。通过使用另一个双因素身份验证密码,可以进一步保护该密钥。此外,silicon labs提供多种篡改保护源,可以破坏puf密钥,使其无法解密受其保护的所有其他密钥。即使黑客投入了大量的时间和资源来重新设计设备并恢复kek,他们也只危及了一台设备。”
2024年网络安全领域的主流应用趋势
歌尔股份坚持的“4+4”战略和公司内部运营管理所做的工作
了解双电源自动转换开关的操作程序
CPU和GPU的简介和差别
如何在AD中设置过孔盖油
如何在物联网设备的无线SoC中使用物理不可克隆功能
空调制热效果不好是什么原因
飞宇无人机新品亮相2019第四届中国无人机产业博览会
经发展趋势来看,安防行业发展长期利好
电磁兼容简明教程(1)
物联网为什么对我们很重要
APP网络深度优化与网络安全的详细资料讲解
无人机领军企业的大疆想扩展教育领域,前景如何
医疗器械电磁兼容检测不通过,需要EMC整改
充电器的分类及相关知识
BOOM 7事件之后,三星手机又再次出事啦!
HAS 2023 | 激发运营商B2B业务新增长
电缆技术:国产电缆故障测试仪目前还存在哪些问题
国半LVDS串行/解串器芯片组芯片组所需导线少
一位工程师的成长之路