在汽车级芯片RH850和R-Car中实现安全启动的信任根第1部分:安全启动的概念及重要性
自从1960年后期将微处理器引入车辆架构以来,现代汽车的复杂性呈指数级增长。车辆计算机最初用于电动控制燃油喷射,现在可以控制现代车辆的各个方面,从加热座椅到半自动驾驶。现在的汽车上有100多台车载计算机,执行超过1亿行代码。从复杂性的角度来看,1亿个接近小鼠等小动物的DNA碱基对总数(人类大约有33,000亿个碱基对)。未来的自动驾驶汽车将有超过3亿行代码。
随着这种日益增加的复杂性,网络安全是汽车设计中一个持续关注的问题。随着更多的驾驶控制权交给计算机,网络安全事件的影响变得更加复杂。为了让事情变得更具挑战性,安全架构师需要在隐私和安全与功能安全要求之间取得平衡。为了安全和保障,车内运行的代码必须是真实的和不变的。这就是安全启动的用武之地。安全启动回答了“在执行之前我如何知道软件是真实的?”和“我如何知道软件在执行前未被更改?”的问题。本文RENESAS将介绍安全启动的概念以及为什么需要它。
安全启动是现代多层嵌入式系统安全的基础第一步。安全启动是一种安全机制,通过它在执行前验证软件的完整性和真实性。换句话说,安全启动允许在启动嵌入式设备时检测(并可能禁止执行)不真实或修改过的软件。安全启动降低了攻击者在设备中获得持久性的能力。
在最基本的层面上,如果预期的软件与预期的不一致,将执行一组定义的制裁。制裁可能包括禁止访问加密密钥或外设、重置CPU或执行回退或设备恢复程序。虽然在最高层次上,这个概念似乎很简单,但要确保安全启动正常工作,涉及到许多步骤。
建立信任根
为了执行安全启动,需要一个“信任根”。这基本上为所有进一步的步骤建立了基本事实,并将信任链锚定到不可变的东西上。“信任根”,有时被称为“信任锚”,植根于设备硬件的不可变部分。虽然实现这一概念的方法有多种,但通常都有两个关键特征:1)必须能够安全地控制复位向量。2)复位向量指向的代码必须是安全的。
执行复位的常用解决方案包括以下内容:
• 无法更改的固定掩码ROM
• 已经编程和锁定的一次性可编程(OTP)代码闪存
• 在以受保护内存为引导核心的专用安全核心上执行软件
第一个代码块必须执行安全启动逻辑。其目标是为下一个启动阶段的系统做准备并进行验证。这个关键的代码块必须经过严格的审核,并且复杂度保持在最低。作为系统中不可更改的一部分,这部分代码中的任何漏洞或缺陷往往只有通过硬件的完全替换才能修复。
验证软件映像
构建安全启动实现的下一步是验证软件映像。通常有两种不同的方法用于在安全启动中检查真实性和完整性。选择的方法基于设计要求或启动时间等因素。
方法一:使用对称算法进行安全启动验证
验证启动代码的一种方法是使用称为消息认证码的密钥对称加密算法。如果硬件设备具有用于所用算法的加速器,则该方法的优点就得到了实现。使用CMAC或HMAC算法可以缩短启动时间。此解决方案的最大挑战是加密密钥和参考MAC的存储。用于对称算法的私钥需要安全地存储在受保护的安全环境中(如HSM)。此外,由于同样的密钥用于MAC生成和MAC验证,默认情况下不提供不可否认性。为了克服这个缺点,密钥可以被配置为具有MAC生成或仅由硬件实现的验证属性。
方法二:使用非对称算法进行安全启动验证
在此方法中,代码使用非对称加密算法(也称为公钥加密)进行验证。非对称算法基于称为单向函数的数学问题。 两种流行的解决方案是RSA和ECDSA。虽然底层数学和算法不同,但两种解决方案都依赖于公钥和私钥对。
要验证映像,映像必须由签名机构使用私钥进行签名。这是在设备之外完成的。在设备上,安全启动代码使用公钥验证映像。由于密钥是公共的,而且私钥不能很容易地从公钥的知识中获得,所以公钥的隐私不是必需的。虽然不需要公钥的私密性来保证密钥的安全性,但系统仍然必须确保公钥不能在未经授权的情况下被修改或替换。
1、签名生成
为了生成签名,需要根据输入数据计算消息摘要。这通常是在嵌入式设备之外的企业设置中创建的。签名者用自己的私钥对消息摘要进行加密。加密后的摘要称为签名。签名的类型取决于算法和填充方案(如RSA-PSS)。原始映像数据和签名被编入设备。
2、签名验证
签名验证是根据代码签名验证数据的完整性和真实性的过程。验证涉及计算数据的消息摘要并将其与解密签名中收到的摘要进行比较。
建立信任链
在进行安全启动时,有几种方法可用于构建信任链。选择的策略主要由启动时间要求驱动。
执行安全启动的最简单方法是整体方法,其中整个映像由第一阶段启动验证。虽然干净简单,但由于启动时间要求,整体启动很少在现实世界中起作用。通常,嵌入式设备需要在上电复位后的几毫秒内启动并执行其主要任务。在这些情况下,必须采取分阶段的方法。
更高级的解决方案允许部分执行和验证并行运行。这在多核系统上最为常见。
随着映像大小和复杂性的增加,加密硬件加速器成为满足时序要求的必要条件。
制裁
到目前为止,只讨论了验证通过时的一般流程,但是如果其中一个阶段验证失败会发生什么?在这种情况下,需要实施制裁。系统设计人员必须决定在验证阶段失败时要做什么。 根据阶段和其他系统要求,可能会发生一种或多种可能的制裁:
1)系统复位
2)以降低的权限执行下一阶段
• 例如,禁止使用加密密钥或某些外围设备
3)执行替代的验证应用程序
• 将执行更改为回退或替代应用程序
• 这种情况在OTA或诊断更新失败的情况下特别有用
4)停留在当前启动阶段
如何更新软件?
所以知道安全启动将确保应用程序是真实的和不变的,但是如何解决新(真实)软件更新的需要?软件更新允许新功能并允许修复错误和安全漏洞。关键是能够保护这些更新。 已发布软件的签署需要成为生产软件开发的构建/发布过程的一部分。解决此过程的复杂性和安全性并非易事。
结论
1)安全启动是创建安全信任链系统不可或缺的一部分
2)它提供:
• #1 - 身份验证(未经授权的映像不允许运行)
• #2 - 完整性(应检测“篡改”的映像)
3)它通常使用:
• 数字签名
• 确保身份验证和完整性
• 私钥 -> 用于签名
• 公钥 -> 用于验证
• (可选)映像/数据加密
• 用于保密
• 用于防克隆/伪造
4)当验证失败时,应用制裁
5)安全启动需要与软件更新策略共存
- |
- +1 赞 0
- 收藏
- 评论 0
本文由天星翻译自Renesas,版权归世强硬创平台所有,非经授权,任何媒体、网站或个人不得转载,授权转载时须注明“来源:世强硬创平台”。
相关推荐
移远通信率先通过ISO/SAE 21434汽车网络安全管理体系认证
近日,移远通信车载前装BU获得了ISO/SAE 21434汽车网络安全管理体系认证证书,表明移远通信车载前装BU的网络安全风险管理满足了产品从概念设计、开发、生产、运营到售后维护的全生命周期的要求,具备为汽车厂商和Tier1供应商提供高质量、高安全的合规车载产品和解决方案的能力。
原厂动态 发布时间 : 2024-10-25
Newsight Imaging推出高精度CMOS图像传感器,可用于自动驾驶汽车的激光雷达、ADAS安全系统、AFS
Newsight Imaging的CMOS图像传感器已经融入到移动领域的许多应用中,并参与到汽车行业的伟大创新中。一些现有应用使用Newsight Imaging的高灵敏度、高精度图像传感器,用于自动驾驶汽车的激光雷达、ADAS安全系统、自适应前照灯系统。
原厂动态 发布时间 : 2022-08-03
Littelfuse针对自动驾驶汽车(AV)控制电路提供一站式保护方案
除非车辆的电子电路具有高度的可靠性和抗电冲击能力,否则自动驾驶汽车(AV)所提供的安全性和便利性无法实现。通过提供过流保护,瞬态浪涌保护,静电放电保护和反极性保护,设计人员可以大大降低电路故障的风险。Littelfuse为自动驾驶汽车提供一站式保护方案。
原厂动态 发布时间 : 2021-03-05
【经验】Silicon Labs蓝牙芯片AES加密算法在网络安全上的应用实践
本文通过实际应用仔细讨论芯科科技(Silicon Labs)在数据加密应用的安全方法,并以EFR32BG22C224F512IM40这款蓝牙芯片上应用加密算法库mbed TLS来讨论AES算法在网络安全上的实践方法。
设计经验 发布时间 : 2020-11-04
【仪器】信而泰重磅发布面向语音、视频、数据应用及网络安全的BigTao U1测试模块
XINERTEL信而泰BigTao U1 L4-7测试板卡是信而泰最新推出的面向语音、视频、数据应用及网络安全的测试板卡,通过精确仿真数百万的真实终端用户的网络访问行为,对单个应用层感知设备如(Firewall/IPS/IDS/WAF/DPI)等或整个系统进行压力和性能测试。
产品 发布时间 : 2024-06-27
信而泰防火墙安全测试解决方案:为网络安全保驾护航
在当今数字化时代,网络安全至关重要。防火墙作为网络安全的第一道防线,其性能和可靠性直接影响到网络的安全性。信而泰提供的防火墙安全测试解决方案,旨在通过全面的测试流程,确保防火墙能够高效、准确地执行其安全任务。
应用方案 发布时间 : 2024-11-12
【产品】方寸微电子自研网络安全芯片集成多种国密算法、支持超高速接口,维护我国信创安全
维护网络安全的关键点还是在于依托自主技术创新,实现技术突破。方寸微电子作为深耕芯片领域多年的信创企业,旗下安全芯片不仅可以支持SATA 3.0国密桥接方案(6Gbps)、国密VPN单芯片解决方案和第三方安全芯片扩展接口,还可提供完整的SDK供客户进行定制化开发。
新产品 发布时间 : 2021-05-07
【技术】罗杰斯分享自动驾驶汽车毫米波雷达设计趋势及PCB材料解决方案
这篇文章就将简要说明毫米波雷达的一些应用场景,设计趋势;以及就毫米波雷达天线设计中的关键PCB材料的选型考虑、PCB材料的关键特性等方面来展开讨论。
新技术 发布时间 : 2021-05-28
钛和漏洞扫描解决方案,为网络安全构筑稳固防线
面对日益严峻的网络安全形势,为企业解決安全漏洞管理之痛,钛和网络安全服务推出漏洞扫描解决方案,帮助企业和产品升级网络安全,防范风险。漏洞扫描解决方案漏洞扫描是一种基于漏洞数据库的安全检测行为,通过扫描远程或本地计算机系统,主动发现潜在的安全风险。它广泛应用于信息系统的安全建设和维护工作中,是评估与度量系统风险的基础手段,对于提升信息系统的整体安全性具有重要意义。
产品 发布时间 : 2024-10-16
【应用】TVS用于保护自动驾驶汽车通信模组、高速以太网络、HDBaseT、CAN和LIN总线系统
本文介绍TVS二极管/TVS二极管阵列用于保护自动驾驶汽车“车辆对车辆(V2V)”和“车辆对基础设施(V2I)”通信模块、高速以太网络、HDBaseT、CAN和LIN总线系统等,Littelfuse SM24CANB TVS二极管阵列等器件可保护CAN和LIN数据线免受ESD和其它过电压瞬变的影响,汽车HDBaseT数据线可以采用低电容TVS二极管阵列AQ2555NUTG来进行ESD保护。
应用方案 发布时间 : 2020-01-19
【IC】黑金刚推出采用MIPI A-PHY输出接口的相机模组NCM25-AC,有效像素1920x1280,满足自动驾驶汽车需求
Nippon Chemi-Con宣布开发出采用MIPIA-PHY的相机模组,MIPIA-PHY是下一代汽车电子产品的超高速接口标准。Nippon Chemi-Con的目标是相机模组市场的商业应用,预计该市场将出现与自动驾驶汽车和高级驾驶辅助系统(ADAS)相关的需求。
新产品 发布时间 : 2023-05-18
漏洞防不胜防?钛和漏洞扫描解决方案,构筑网络安全稳固防线!
面对日益严峻的网络安全形势,为企业解決安全漏洞管理之痛,钛和网络安全服务(钛和巴伦)推出漏洞扫描解决方案,帮助企业和产品升级网络安全,防范风险。
产品 发布时间 : 2024-10-12
【元件】Coherent推出点阵投射器模块,面向消费电子产品、机器人和自动驾驶汽车领域深度传感应用
COHERENT高意近日宣布推出点阵投射器模块,专门面向消费电子产品、机器人和自动驾驶汽车领域的深度传感应用;该产品各型号点数介于600-13000,,即便在高亮度户外照明条件下,也能以宽角度、大深度范围捕捉整个场景,并同时维持低功耗。
产品 发布时间 : 2024-01-18
出海合规 | 欧盟RED网络安全要求新动向,无线厂商速来get!
凭借标准的深刻理解以及网络安全领域的专业能力,钛和网络安全服务能够依据EN18031系列标准提供RED网络安全测试评估服务,并持续关注网络安全技术的创新和发展,致力于向客户提供高效准确的解决方案,为数字化时代的网络安全保驾护航。
技术探讨 发布时间 : 2024-10-12
现货市场
授权代理品牌:集成电路
授权代理品牌:分立元件
授权代理品牌:接插件及结构件
授权代理品牌:部件、组件及配件
授权代理品牌:电源及模块
授权代理品牌:电子材料
授权代理品牌:仪器仪表及测试配组件
授权代理品牌:电工工具及材料
授权代理品牌:机械电子元件
授权代理品牌:加工与定制
我要提问
登录 | 立即注册
提交评论