密碼學(xué)：硬件或軟件實現(xiàn)更有效嗎

本教程是旨在為產(chǎn)品開發(fā)工程師提供密碼學(xué)快速學(xué)習(xí)指南的系列教程的一部分。每個部分都采用工程方法而不是理論方法。在本期中，您將了解加密解決方案的硬件和軟件實現(xiàn)之間的區(qū)別，并深入了解一些常見應(yīng)用程序。

比較兩種加密方法

現(xiàn)代加密算法可以使用專用加密硬件或在通用硬件上運行的軟件來實現(xiàn)。由于各種原因，專用加密硬件為大多數(shù)應(yīng)用程序提供了更好的解決方案。表 1 列出了更需要基于硬件的加密解決方案的原因。

表 1.硬件與軟件加密比較

當(dāng)今密碼學(xué)中的應(yīng)用

了解安全啟動和安全下載

基于嵌入式硬件的物聯(lián)網(wǎng)設(shè)備已融入我們的日常生活：

家用設(shè)備，如 WiFi 攝像頭、恒溫器和煙霧探測器

醫(yī)療器械

可穿戴設(shè)備，包括健身追蹤器和智能手表

工業(yè)機器，如工廠中的機械臂

幾乎所有這些設(shè)備都包含訪問 Internet 的啟動固件或可下載數(shù)據(jù)，因此它們?nèi)菀资艿桨踩{的攻擊。啟動固件（設(shè)備的大腦）基本上保存在設(shè)備內(nèi)部的非易失性存儲器中。該軟件會定期更新以糾正和增強某些功能，包括為WiFi攝像機添加新的入侵者檢測算法，或者從工業(yè)機械臂的角度更好地定位焊縫。

在本教程中，我們將介紹安全啟動以及在連接的設(shè)備中上傳新固件所需的所有必要步驟。

保護(hù)物聯(lián)網(wǎng)設(shè)備固件或數(shù)據(jù)的重要性

由于物聯(lián)網(wǎng)設(shè)備必須可信，因此必須驗證設(shè)備固件和關(guān)鍵數(shù)據(jù)的真實性。在理想情況下，啟動固件和配置數(shù)據(jù)將在出廠時鎖定。實際上，客戶已經(jīng)開始期望通過互聯(lián)網(wǎng)提供固件更新和重新配置。不幸的是，這為惡意行為者使用這些網(wǎng)絡(luò)接口作為惡意軟件的渠道創(chuàng)造了機會。如果有人獲得了對物聯(lián)網(wǎng)設(shè)備的控制權(quán)，他們可能會出于惡意目的控制該設(shè)備。因此，任何聲稱來自授權(quán)來源的代碼都必須經(jīng)過身份驗證，然后才能被允許使用。

攻擊者可以通過各種方式將惡意軟件傳送到 IoT 設(shè)備（圖 2）：

通過對設(shè)備的物理訪問，攻擊者可以通過物理連接（例如USB，以太網(wǎng)等）引入惡意軟件。

操作系統(tǒng)通常表現(xiàn)出通過補丁發(fā)現(xiàn)時已關(guān)閉的漏洞。攻擊者可以通過訪問未修補的系統(tǒng)來引入惡意軟件。

通常，IoT 設(shè)備會聯(lián)系更新服務(wù)器，以確定更新的固件或配置數(shù)據(jù)是否可用。攻擊者可能會攔截 DNS 請求，并將 IoT 設(shè)備重定向到托管惡意軟件或損壞配置數(shù)據(jù)的惡意源。

正版網(wǎng)站可能配置錯誤，以允許攻擊者控制網(wǎng)站并將正版固件替換為包含攻擊者惡意軟件的固件。

圖2.攻擊者可以滲透到未受保護(hù)的 IoT 設(shè)備與安全的 IoT 設(shè)備。

安全啟動和安全下載有助于防止?jié)B透并防止惡意軟件注入。這意味著物聯(lián)網(wǎng)設(shè)備可以信任從命令/控制中心收到的更新。如果命令/控制中心想要完全信任物聯(lián)網(wǎng)設(shè)備，則需要執(zhí)行驗證物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)的額外步驟。

固件的身份驗證和完整性

身份驗證和完整性可以提供一種方法：

確保目標(biāo)嵌入式設(shè)備僅運行授權(quán)的固件或配置數(shù)據(jù)。

確認(rèn)數(shù)據(jù)受信任且隨后未被修改。

允許使用加密來證明數(shù)據(jù)既真實又具有完整性。

使用加密數(shù)字簽名，如信件底部的印章或手動簽名。

通過身份驗證和完整性，固件和配置數(shù)據(jù)在制造階段加載，所有后續(xù)更新都經(jīng)過數(shù)字簽名。這樣，數(shù)字簽名就可以在設(shè)備的整個生命周期內(nèi)實現(xiàn)信任。數(shù)字簽名的以下功能對于提供安全性至關(guān)重要。

使用的數(shù)字簽名必須由加密算法計算。

為了帶來最高級別的安全性，算法必須是公開的并且經(jīng)過充分驗證。

對于我們的安全解決方案，我們將研究非對稱加密算法，特別是FIBS 186 ECDSA。

應(yīng)用于安全啟動/下載的非對稱加密

非對稱加密使用公鑰/私鑰對進(jìn)行算法計算（圖 3）。

任何密鑰對生成的開始都包括選擇要用作私鑰的隨機數(shù)。

隨機數(shù)被輸入到密鑰生成器中，計算開始輸出公鑰。

公鑰是公開的（它可以自由分發(fā)給所有人，沒有任何安全風(fēng)險）。

但是，私鑰是必須保密的關(guān)鍵信息。

圖3.非對稱加密包括 ECDSA 密鑰生成。

非對稱加密中安全下載的基本原則是：

固件開發(fā)人員使用私鑰進(jìn)行簽名。

嵌入式設(shè)備（或 IoT 設(shè)備）使用公鑰進(jìn)行驗證。

非對稱密鑰加密的優(yōu)點是什么？

嵌入式設(shè)備上不存儲私鑰。

攻擊者無法檢索私鑰。

選擇的算法 （ECDSA） 使得從公鑰派生私鑰在數(shù)學(xué)上不可行。

現(xiàn)在讓我們看一個使用非對稱密鑰加密的研發(fā)設(shè)施必須發(fā)生的情況的示例。

我們從完整的固件開始。

固件必須經(jīng)過 SHA-256 多塊哈希計算。

私鑰和哈希輸入到 ECDSA 簽名算法中。輸出是一個唯一的簽名，只能由私鑰簽名。

將我們的固件與簽名相結(jié)合，并根據(jù)要求將其發(fā)送出去以供現(xiàn)場使用。

圖 4 更詳細(xì)地說明了這些要點。

圖4.非對稱加密對一組數(shù)據(jù)或固件進(jìn)行數(shù)字簽名。

現(xiàn)在，讓我們檢查一下在字段使用過程中會發(fā)生什么。

嵌入式設(shè)備接收固件和簽名。

固件將經(jīng)過 SHA-256 多塊哈希計算。

我們的嵌入式設(shè)備已經(jīng)包含在研發(fā)設(shè)施生成密鑰期間創(chuàng)建的公鑰。

然后，簽名和其他成分將用作ECDSA驗證的輸入。

ECDSA 驗證的結(jié)果將確定嵌入式設(shè)備是否可以使用該固件。

如果結(jié)果是 PASS，則嵌入式設(shè)備接受同時具有真實性和完整性的固件。

如果結(jié)果為 FAIL，則固件將被拒絕。

觀看此視頻 “安全簡短主題：嵌入式系統(tǒng)的安全固件下載”，了解有關(guān)如何將固件安全地下載到遠(yuǎn)程系統(tǒng)的更多信息。

使用 DS28C36 實現(xiàn)安全啟動和安全下載

對于沒有安全微控制器的嵌入式設(shè)備，DS28C36 DeepCover安全認(rèn)證器是一種經(jīng)濟高效的基于硬件的IC解決方案（圖5）。?

圖5.使用DS28C36，在經(jīng)濟高效、基于硬件的解決方案中安全啟動和安全下載。

安全啟動和安全下載的步驟：

如前所述，在研發(fā)設(shè)施中建立了用于安全啟動或安全下載功能的系統(tǒng)公鑰-私鑰對。該對的系統(tǒng)私鑰用于對固件或數(shù)據(jù)進(jìn)行簽名，最終由終端系統(tǒng)中嵌入的DS28C36進(jìn)行驗證。此系統(tǒng)私鑰永遠(yuǎn)不會離開受控開發(fā)環(huán)境。該對的系統(tǒng)公鑰安裝在DS28C36的密鑰寄存器位置，該位置具有“權(quán)威密鑰”屬性，這是DS28C36中的可配置設(shè)置。

系統(tǒng)私鑰用于計算固件或數(shù)據(jù)的數(shù)字簽名。

帶有預(yù)編程系統(tǒng)公鑰的DS28C36位于主機處理器的接口上。

當(dāng)固件需要由處理器運行時，首先由處理器引導(dǎo)管理器檢索，并以64字節(jié)的順序塊形式傳送到DS28C36，以計算SHA-256哈希。

DS28C36完成SHA-256哈希計算后，處理器提供在開發(fā)環(huán)境中計算并附加到文件中的固件或數(shù)據(jù)的ECDSA簽名。

DS28C36收到ECDSA簽名后，處理器發(fā)送命令，使用預(yù)裝的系統(tǒng)公鑰進(jìn)行簽名驗證。

如果DS28C36驗證簽名，則向處理器傳送一個傳遞結(jié)果參數(shù)字節(jié)和一個設(shè)置為邏輯0的GPIO引腳。此引腳和參數(shù)字節(jié)結(jié)果的狀態(tài)充當(dāng)處理器的通過/不通過結(jié)果，以運行現(xiàn)在已知的受信任固件或數(shù)據(jù)更新。

此外，如果命令/控制中心希望信任DS28C36，可以選擇額外的ECDSA簽名引擎。

總之，我們展示了一種經(jīng)過驗證的安全解決方案，用于使用DS28C36進(jìn)行安全啟動或安全下載，以解決物聯(lián)網(wǎng)設(shè)備面臨的威脅。這款安全認(rèn)證器IC減輕了繁重的計算數(shù)學(xué)負(fù)擔(dān)，以證明固件或數(shù)據(jù)更新的真實性和完整性。

有關(guān)Maxim安全啟動和安全下載解決方案和服務(wù)的更多信息，請參見以下內(nèi)容：

DS28C36 I2C 接口深蓋安全身份驗證器

DS28E36 1線接口深蓋安全認(rèn)證器

轉(zhuǎn)至安全實驗室工具執(zhí)行此序列示例，或使用Maxim的其他附加硬件實驗室。

雙向身份驗證以保護(hù)您的 IP

雙向（或相互）身份驗證是安全通信的重要組成部分。溝通雙方都應(yīng)確定他們的對手是可以信任的。這可以通過證明擁有私人信息來實現(xiàn)。這些信息可以在各方之間共享，也可以完全保密，只要存在證明擁有的能力。

對稱身份驗證系統(tǒng)要求在給定通信中的所有參與者之間共享信息。這些信息通常被稱為“秘密”。秘密是只有需要它的人知道的信息。該密鑰與對稱身份驗證算法（如 SHA）以及參與者之間共享的其他數(shù)據(jù)一起使用。在通信雙方生成匹配簽名的能力證明擁有機密。

非對稱身份驗證系統(tǒng)（如ECDSA）使用不在各方之間共享的隱藏信息（稱為“私鑰”），但用于生成公眾可以知道的信息（稱為“公鑰”）。正確使用公鑰證明擁有私鑰，因為需要私鑰來解鎖被公鑰鎖定的消息，反之亦然。

收件人身份驗證

要在發(fā)件人-收件人配置中對收件人設(shè)備進(jìn)行身份驗證，將向收件人發(fā)送一段隨機數(shù)據(jù)（也稱為“質(zhì)詢”）。除了設(shè)備之間的任何共享數(shù)據(jù)外，質(zhì)詢還通過具有密鑰或私鑰的簽名操作來運行，以生成“響應(yīng)”簽名。響應(yīng)簽名可以由發(fā)送方驗證，因為發(fā)送方擁有共享密鑰或與接收方私鑰對應(yīng)的公鑰。此過程的一般流程如圖 6 所示。

圖6.發(fā)件人-收件人系統(tǒng)中的收件人設(shè)備身份驗證。

身份驗證通常取決于生成簽名的算法，這些簽名證明擁有參與者的隱藏信息，但很難發(fā)現(xiàn)信息本身。這些稱為單向函數(shù)。SHA和ECDSA就是這種算法的例子。

發(fā)件人身份驗證

為了證明各方都是可以信任的，發(fā)件人還必須向收件人證明真實性。下面以經(jīng)過身份驗證的寫入形式顯示了此過程的示例。

在圖 7 中，發(fā)送方正在將新數(shù)據(jù)寫入接收方設(shè)備。但是，要完成寫入，收件人必須通過要求發(fā)件人根據(jù)該信息以及發(fā)件人的隱藏數(shù)據(jù)（秘密或私鑰）生成簽名來驗證信息的真實性。通過使用共享密鑰或與發(fā)件人私鑰對應(yīng)的公鑰，收件人可以驗證簽名是否真實。

圖7.發(fā)送方將新數(shù)據(jù)寫入接收方設(shè)備。

使用單向功能可能允許任何竊聽者查看正在傳輸?shù)乃袛?shù)據(jù)，但它會阻止他們確定產(chǎn)生與數(shù)據(jù)關(guān)聯(lián)的簽名的隱藏信息。沒有這些隱藏的信息，竊聽者就不能成為冒充者。

這種雙向身份驗證模型可以輕松用于確保存儲在設(shè)備中的知識產(chǎn)權(quán)得到很好的保護(hù)，免受造假者的侵害。

TRNG（真隨機數(shù)發(fā)生器）輸出和典型用途 Maxim的ChipDNA?安全認(rèn)證器具有內(nèi)置TRNG（圖8）。這由設(shè)備用于內(nèi)部目的。但他們也有一個命令，如果用戶請求，它會發(fā)出 TRNG 輸出。此時，TRNG 輸出長度的最大長度為 64 字節(jié)。此硬件 NIST 兼容的隨機數(shù)源可用于加密需求，例如主機處理器生成“質(zhì)詢（隨機數(shù)）”。

圖8.ChipDNA安全認(rèn)證器包括一個內(nèi)置的真隨機數(shù)生成器。

與TRNG相關(guān)的有三種不同的規(guī)格

美國國家標(biāo)準(zhǔn)研究院 SP 800-90A

IST SP 800-90B

美國國家標(biāo)準(zhǔn)研究院 SP 800-90C

審核編輯：郭婷