軟件或硬件中的密碼學(xué) - 這取決于需要

隨著軟件密鑰長度的增加，以適應(yīng)對(duì)更高安全性不斷變化的需求，因此市場需要更多種類的加密實(shí)現(xiàn)。隨著最近內(nèi)核設(shè)計(jì)和頻率性能的改進(jìn)，設(shè)計(jì)人員現(xiàn)在開始詢問這些安全算法是否仍需要定制IP模塊。簡而言之，設(shè)計(jì)人員是否可以在硬件中使用通用內(nèi)核來節(jié)省空間和成本，并將密碼算法嵌入軟件中？答案很簡單——嗯，沒那么簡單——這取決于需要。

介紹

加密算法是高性能、安全的引擎，在設(shè)計(jì)中需要相當(dāng)大的空間。當(dāng)添加對(duì)策以阻止安全攻擊時(shí)，空間和內(nèi)存要求變得更加苛刻。由于這些原因，加密算法傳統(tǒng)上作為專有設(shè)計(jì)（即知識(shí)產(chǎn)權(quán)，IP）嵌入到智能卡或8位芯片上的硬件中。隨著最近內(nèi)核設(shè)計(jì)和頻率性能的改進(jìn)，設(shè)計(jì)人員現(xiàn)在正在詢問這些安全算法是否仍然需要定制的IP模塊。簡而言之，設(shè)計(jì)人員是否可以在硬件中使用通用內(nèi)核來節(jié)省空間和成本，并將密碼算法嵌入軟件中？答案很簡單——嗯，沒那么簡單——這取決于需要。

保密科學(xué)

密碼學(xué)最初被設(shè)計(jì)并被稱為保密科學(xué)。它是國王、將軍、間諜和大使的武器。在上個(gè)世紀(jì)，密碼學(xué)已經(jīng)成長為一個(gè)更復(fù)雜的工具箱，為用戶提供信息信任。

加密設(shè)備的歷史悠久，比微處理器的歷史還要長。（提醒一下，密碼學(xué)及其陰暗面密碼分析是計(jì)算機(jī)技術(shù)的起源，這要?dú)w功于Colossus項(xiàng)目。1軍隊(duì)和外交官開發(fā)了加密機(jī)器來保護(hù)他們的通信。根據(jù)所需的強(qiáng)度（即戰(zhàn)場上的戰(zhàn)術(shù)通信比外交信息的壽命短），這些機(jī)器滿足了幾個(gè)限制：速度、可靠性、完整性、機(jī)密保護(hù)、易用性和可接受的成本。

當(dāng)安全需求蔓延到民用世界時(shí)，新技術(shù)和制約因素隨之發(fā)展。非對(duì)稱加密2這些市場尤其飆升，而成本成為一個(gè)更大的問題。與此同時(shí)，信任、真實(shí)性和可信度始終是金融和銀行市場的首要考慮因素。只有當(dāng)加密機(jī)制能夠取代傳統(tǒng)的面對(duì)面協(xié)議和握手時(shí)，遠(yuǎn)程金融交易才有可能。

因此，最早的加密設(shè)備嚴(yán)格致力于安全性。憑借類似于地板保險(xiǎn)箱的外形尺寸，不斷發(fā)展的硬件安全模塊 （HSM） 可以安全地托管和處理大多數(shù)密鑰。HSM 由鋼制成，很重，過去和現(xiàn)在都與軍用加固箱非常相似。這些安全模塊由一個(gè)安全盒和處理的安全密鑰組成，主要用于身份驗(yàn)證，但也用于密鑰生成、PIN 碼生成和密鑰保護(hù)（存儲(chǔ)）。開發(fā)了安全標(biāo)準(zhǔn)，例如 NIST FIPS 140-2 認(rèn)證計(jì)劃、用于智能卡的 EMV 標(biāo)準(zhǔn)和通用標(biāo)準(zhǔn) （ISO 15408），然后加速了這些設(shè)備的部署。?

機(jī)密性、完整性和身份驗(yàn)證

首字母縮略詞CIA（代表機(jī)密性，完整性和身份驗(yàn)證）象征著密碼學(xué)今天可以提供的主要服務(wù)。用最簡單的術(shù)語來說，它為明確識(shí)別的威脅提供了準(zhǔn)確的答案。

需要保密以避免竊聽和未經(jīng)授權(quán)訪問所有者只想與授權(quán)人員共享的敏感數(shù)據(jù)。因此，大使館向其外交部發(fā)送照會(huì);間諜傳輸行動(dòng)的結(jié)果，其他人不得閱讀所寫的內(nèi)容（“僅供你的眼睛使用”）。在消費(fèi)者的世界里，只有授權(quán)用戶才能訪問的付費(fèi)電視節(jié)目的傳輸需要保密性。需要保護(hù)通過公共網(wǎng)絡(luò)傳輸?shù)膫€(gè)人數(shù)據(jù)，否則這些數(shù)據(jù)很容易訪問。移動(dòng)電話和Wi-Fi連接就是典型的例子。?

完整性可保護(hù)未經(jīng)授權(quán)和/或不受控制的修改。修改設(shè)備意味著改變行為（軟件已被修改）和由此產(chǎn)生的置信度喪失（數(shù)據(jù)不再可信）。這種類型的惡意修改通常是在設(shè)備所有者被誤導(dǎo)時(shí)在其他可信賴設(shè)備上運(yùn)行的惡意軟件完成的。銀行數(shù)據(jù)對(duì)這種威脅特別敏感，因?yàn)槿绻鹑诮灰妆粣阂庑薷?，?shù)據(jù)完整性就會(huì)丟失。

身份驗(yàn)證保證了信息的來源。如果來源未經(jīng)驗(yàn)證，信息有多大價(jià)值？顯然，答案取決于該信息的來源和敏感性。已簽名的合同會(huì)提交簽名者，因此身份驗(yàn)證與合同內(nèi)容本身一樣重要?，F(xiàn)代移動(dòng)設(shè)備和 PC 僅接受經(jīng)過身份驗(yàn)證的授權(quán)應(yīng)用程序更新和/或修改。這可確保沒有人控制設(shè)備并運(yùn)行未經(jīng)授權(quán)的軟件。身份驗(yàn)證可保護(hù)設(shè)備或組件免遭偽造。受信任的元素不僅可以證明其來源，還可以驗(yàn)證其所附加到的設(shè)備的來源。因此，電池、打印機(jī)墨盒或耗材向托管設(shè)備顯示其“憑據(jù)”，而托管設(shè)備又對(duì)該耗材進(jìn)行身份驗(yàn)證“信任”。

加密算法需要成本

加密社區(qū)開發(fā)了許多算法來確保這些安全服務(wù)。非對(duì)稱密碼學(xué)基于數(shù)論，對(duì)稱密碼學(xué)基于更實(shí)用的“配方”。由于它們被廣泛采用和發(fā)布，這些算法今天可以作為標(biāo)準(zhǔn)使用，通常很容易測量并擴(kuò)展到應(yīng)用程序。

這些算法有一個(gè)明顯的缺點(diǎn)，即為已識(shí)別的威脅提供準(zhǔn)確的答案：成本，或者更準(zhǔn)確地說，成本。成本是根據(jù)執(zhí)行時(shí)間、內(nèi)存使用、功耗和芯片表面來衡量的。這些都不是微不足道的小問題;眾所周知，他們過去曾阻止甚至阻止在設(shè)備中實(shí)施有效的安全措施。專有算法和加擾算法是設(shè)計(jì)捷徑，在行業(yè)中經(jīng)常使用，并被認(rèn)為足夠了。誠然，這些快捷方式消耗的資源更少或簡化了安全管理。這些解決方案總比沒有好，并不能真正阻止攻擊者。相反，專業(yè)的安全方法可以促進(jìn)對(duì)客觀識(shí)別的威脅進(jìn)行可靠、標(biāo)準(zhǔn)化和適當(dāng)?shù)姆烙?/p>

安全行業(yè)早就了解這些原則。它的所有歷史都表明，在最低實(shí)施成本與所需安全級(jí)別的權(quán)衡之間不斷斗爭。一個(gè)明顯的例子是非對(duì)稱加密（例如，RSA，橢圓曲線），其中密鑰長度對(duì)應(yīng)于安全級(jí)別;密鑰越長，保護(hù)越強(qiáng)。但在這種情況下還有一條規(guī)則適用：密鑰越長，復(fù)雜性就越高。重述，計(jì)算時(shí)間更長，所需資源更大。謹(jǐn)慎的風(fēng)險(xiǎn)評(píng)估估計(jì)哪個(gè)密鑰長度足以完成任務(wù)，因此，實(shí)施所需的最低復(fù)雜程度是多少。事實(shí)上，今天在簡單設(shè)備上使用的RSA密鑰正在非常緩慢地延長，而設(shè)備的計(jì)算能力卻在增加。最后，使用太短的鍵會(huì)削弱實(shí)現(xiàn);使用太長的密鑰是不必要的昂貴。

嵌入式密碼學(xué)的演變

加密算法最常用于智能卡。該芯片通過檢查持卡人憑據(jù)（通常是PIN碼）和執(zhí)行加密操作來確保安全性。

這些卡在架構(gòu)方面非常簡單，最初嵌入了算法和8位內(nèi)核，運(yùn)行頻率為幾十兆赫。嵌入式算法提供了一些服務(wù)，但絕對(duì)無法執(zhí)行任何加密計(jì)算。出于這個(gè)原因，必須添加加密硬件塊。

最初，加密硬件塊僅執(zhí)行對(duì)稱加密操作，因?yàn)樗惴ú蝗绶菍?duì)稱對(duì)應(yīng)算法復(fù)雜。因此，這些硬件塊存在很強(qiáng)的安全限制，因?yàn)樗鼈冃枰屑?xì)管理卡個(gè)性化、密鑰分發(fā)和密鑰多樣化。此外，無法執(zhí)行板載RSA計(jì)算導(dǎo)致了安全漏洞。因此，EMV靜態(tài)認(rèn)證方案是用于卡認(rèn)證的唯一方法。因?yàn)檫@些卡并不是那么“聰明”，所以該方案很容易受到欺詐卡的攻擊。

黑客繼續(xù)利用RSA硬件塊的弱點(diǎn)，而該硬件的成本也在下降。基于板載RSA計(jì)算的更安全的身份驗(yàn)證方案出現(xiàn)了。盡管如此，芯片成本仍然限制了所用密鑰的長度，內(nèi)核仍然無法執(zhí)行復(fù)雜的計(jì)算。

其他形式因素出現(xiàn)在 1990 年代。Maxim的iButton器件通過提出創(chuàng)新的密鑰保護(hù)方法和使平臺(tái)更加靈活，增強(qiáng)了安全性。PCMCIA卡也因其易于在PC中接受，快速的數(shù)據(jù)交換速率和更大的外殼而非常受歡迎。?

盡管取得了所有這些進(jìn)步，但直到2003年，密碼學(xué)的架構(gòu)仍然保持不變：一個(gè)緩慢的8位內(nèi)核，通常是8051，由加密硬件塊支持。其他限制仍然存在：RAM大小?。ㄍǔ閿?shù)百字節(jié)），以及應(yīng)用程序范圍有限（主要是ROM代碼，特別是對(duì)于智能卡）。后來出現(xiàn)的非易失性存儲(chǔ)器（如EEPROM和閃存）增加了某些應(yīng)用的靈活性，但并沒有顯著改變加密條件或應(yīng)用方法。

針對(duì)不斷變化的安全需求進(jìn)行重新設(shè)計(jì)

對(duì)于安全性優(yōu)先級(jí)較低且設(shè)備不太關(guān)注加密/安全需求的應(yīng)用程序，軟件實(shí)現(xiàn)通常是靈丹妙藥。如今，檢查完整性并驗(yàn)證嵌入式固件真實(shí)性的引導(dǎo)加載程序通常用于防止對(duì)消費(fèi)者和工業(yè)設(shè)備的大多數(shù)威脅。這些不太復(fù)雜的安全應(yīng)用程序的基本加密需求是哈希函數(shù)和數(shù)字簽名驗(yàn)證，所有這些都可以通過軟件實(shí)現(xiàn)來解決。該軟件實(shí)現(xiàn)顯然比嵌入式保護(hù)更簡單，并且不會(huì)影響芯片尺寸。它不需要可能不是每個(gè)客戶都使用的專用硬件塊，最后也不會(huì)增加系統(tǒng)成本。

當(dāng)然，應(yīng)用程序在發(fā)展。如果昨天不需要安全，明天可能變得至關(guān)重要。由于現(xiàn)有解決方案中沒有嵌入加密塊，因此只有加密軟件和后續(xù)更新將提供加密升級(jí)。如果安全需求很高并且必須嵌入到硬件中，則需要重新設(shè)計(jì)設(shè)備，這會(huì)導(dǎo)致潛在的解決方案故障。

這一過程的一個(gè)典型例子是能源計(jì)量，這是一個(gè)標(biāo)準(zhǔn)化尚未完成的行業(yè)，專有解決方案和計(jì)劃仍有相當(dāng)大的自由度。與使用軟件添加簡單的加密服務(wù)相比，將安全芯片添加到現(xiàn)有電表可能過于復(fù)雜（即，額外的芯片和未確定的PCB修改），太昂貴，因此為時(shí)過早。如果只是在儀表生命周期中的某些時(shí)間偶爾使用，所有這些甚至可能都不需要。成本與風(fēng)險(xiǎn)分析將量化儀表制造商和用戶的價(jià)值和回報(bào)。從歷史上看，如果在大眾市場中增加安全性的理由不明顯，那么安全性總是因其額外費(fèi)用而被拒絕。

加密軟件引入新風(fēng)險(xiǎn)

現(xiàn)在是時(shí)候承認(rèn)，通過加密軟件增加安全性確實(shí)有其自身的風(fēng)險(xiǎn)。當(dāng)算法執(zhí)行在其他應(yīng)用程序同時(shí)運(yùn)行的環(huán)境中執(zhí)行時(shí)，來自計(jì)時(shí)度量或時(shí)序變化或緩存數(shù)據(jù)的信息泄漏可能允許這些其他應(yīng)用程序檢索有關(guān)已處理密鑰的信息。3這種威脅是嚴(yán)重的，任何“開放”平臺(tái)都會(huì)受到這種威脅的影響。只有經(jīng)過身份驗(yàn)證的平臺(tái)，特別是運(yùn)行經(jīng)過身份驗(yàn)證的應(yīng)用程序的平臺(tái)，才應(yīng)被視為設(shè)計(jì)可接受的平臺(tái)。

了解權(quán)衡：加密硬件還是軟件實(shí)現(xiàn)？

您可能會(huì)問自己是使用軟件還是硬件實(shí)現(xiàn)來獲得所需的安全性。答案取決于需求：應(yīng)用程序真正需要多少安全性？

在很多情況下，使用加密硬件實(shí)現(xiàn)安全性是最有意義的。當(dāng)需要像付費(fèi)電視或SSL加速器一樣處理大量安全數(shù)據(jù)時(shí)，可以在硬件中最好地實(shí)現(xiàn)高性能安全性。

如果使用快速微控制器實(shí)現(xiàn)安全性，則數(shù)據(jù)處理速度將比使用外部軟件實(shí)現(xiàn)更快。硬件模塊還可以簡化設(shè)計(jì)，避免內(nèi)核處理數(shù)據(jù)的問題。在應(yīng)用程序執(zhí)行時(shí)同時(shí)處理數(shù)據(jù)可提供更好的實(shí)時(shí)系統(tǒng)性能。最后，回想一下，硬件實(shí)現(xiàn)的成本高于軟件實(shí)現(xiàn)。

為了使主題進(jìn)一步復(fù)雜化，請(qǐng)注意，硬件或軟件實(shí)現(xiàn)之間的權(quán)衡可以存在于同一應(yīng)用程序中。在這種情況下，最終的設(shè)計(jì)決策應(yīng)基于密碼學(xué)的不同預(yù)期用途。對(duì)稱的批量加密需求可以在硬件中解決，而身份驗(yàn)證、密鑰交換和協(xié)議設(shè)置最好由軟件解決。最終，關(guān)于如何設(shè)置密碼學(xué)的決定將基于時(shí)間、空間、成本或所有平衡。

還有另一個(gè)非常重要的情況需要考慮。如果應(yīng)用程序不知道正在使用加密機(jī)制，則加密必須在硬件中。這種情況最典型的例子是出于程序安全而動(dòng)態(tài)自動(dòng)加密/解密。只有加密硬件可以透明地處理此類服務(wù)，因?yàn)樗试S從不安全的上下文輕松移植和執(zhí)行軟件到非常安全的上下文，而無需額外費(fèi)用。假設(shè)加密引擎配置已完成，則一切都以透明方式執(zhí)行。這種嵌入式加密解決方案存在于多個(gè)芯片上，從MAXQ系列RISC微控制器到DeepCover安全微控制器（USIP）平臺(tái)。像這些設(shè)備這樣的嵌入式解決方案有主要的好處：軟件開發(fā)不需要開發(fā)密碼學(xué)，甚至像完整的Linux操作系統(tǒng)這樣的復(fù)雜軟件也可以輕松移植到安全平臺(tái)，而無需修改代碼。???

一些傳統(tǒng)情況傾向于硬件加密。具有非常小內(nèi)核的芯片（如IC的“古老”時(shí)代）沒有資源或時(shí)間以合理的方式執(zhí)行加密計(jì)算。即使考慮到非常優(yōu)化的實(shí)現(xiàn)，也是如此。RSA 加密幾乎在每個(gè)平臺(tái)上都是可行的，而 RSA 解密對(duì)于密鑰長度大于 1024 位是完全不現(xiàn)實(shí)的。

當(dāng)由于芯片不嵌入任何內(nèi)核而沒有軟件執(zhí)行空間時(shí)，硬件中的加密是唯一的解決方案。這種情況在成本面臨壓力且安全性不是銷售優(yōu)勢的消費(fèi)品中很常見。事實(shí)上，這就是制造商希望保護(hù)其知識(shí)產(chǎn)權(quán)免受造假者或競爭對(duì)手侵害的地方和方式。雖然這種防御性功能沒有向客戶聲明或推廣，但它仍然以盡可能低的成本存在。保持這些低成本意味著最小的芯片尺寸，這意味著芯片功能最小化。我們通常只在這些情況下看到身份驗(yàn)證芯片。這些芯片執(zhí)行對(duì)稱的加密計(jì)算，這涉及挑戰(zhàn)和響應(yīng)：發(fā)送秘密并接收身份驗(yàn)證。對(duì)稱質(zhì)詢和響應(yīng)密碼學(xué)現(xiàn)在通常用于筆記本電腦和手機(jī)的電池，因?yàn)橹圃焐谭浅ｊP(guān)注假冒。

隨機(jī)數(shù)生成（如果不是偽隨機(jī)）也需要在硬件中進(jìn)行加密實(shí)現(xiàn)。隨機(jī)數(shù)的質(zhì)量（即真正的隨機(jī)性）和易用性（即不需要存儲(chǔ)狀態(tài)號(hào)）要求硬件資源。理想情況下，軟件后處理可以通過應(yīng)用單向函數(shù)來幫助生成更多數(shù)字。

金融終端對(duì)安全性要求更高

最近的標(biāo)準(zhǔn)，如EMV，萬事達(dá)卡PayPass。??，或VISA PED導(dǎo)致了新類別安全設(shè)備的開發(fā)和改進(jìn)。今天，每當(dāng)人們談到智能卡時(shí)，你實(shí)際上指的是智能卡讀卡器。通過 PIN 碼進(jìn)行身份驗(yàn)證意味著對(duì)該 PIN 碼的保護(hù)，最后，PIN 碼加密意味著可以使用加密服務(wù)。?

這種增強(qiáng)安全性的最大市場之一是金融終端，銷售點(diǎn)（POS）和自動(dòng)取款機(jī)（ATM）。雖然POS機(jī)和ATM機(jī)已經(jīng)在使用磁條技術(shù)，但由于銀行和信用卡計(jì)劃的大力支持，EMV標(biāo)準(zhǔn)的實(shí)施最近激增。從美國國內(nèi)的幾個(gè)市場，POS機(jī)和ATM已經(jīng)擴(kuò)展到一個(gè)全球性的標(biāo)準(zhǔn)化市場。與支付交易相關(guān)的服務(wù)正在增長，因?yàn)镻OS和ATM設(shè)備現(xiàn)在托管豐富的多個(gè)應(yīng)用程序。事實(shí)上，這些商業(yè)設(shè)備現(xiàn)在的功能更像消費(fèi)類設(shè)備，因?yàn)樗鼈冊谟?jì)算能力方面就像舊的PC，它們通過回收技術(shù)（例如觸摸屏，顏色，便攜性，設(shè)計(jì)）來模仿智能手機(jī)。

然而，與種類繁多的消費(fèi)設(shè)備不同，金融終端仍然需要高水平的安全性。這些終端是篡改的關(guān)鍵目標(biāo)，因此標(biāo)準(zhǔn) PCI PTS 地址的安全性必須包括物理保護(hù)和廣泛使用加密技術(shù)。

智能卡架構(gòu)不再是保護(hù)這些金融終端的唯一選擇。現(xiàn)在兩種主要方法并存，雙芯片架構(gòu)和單芯片架構(gòu)。

雙芯片架構(gòu)結(jié)合了多用途、通用、32位功能強(qiáng)大的微控制器和更小的配套安全芯片。此體系結(jié)構(gòu)使制造商能夠?qū)踩?wù)和其他服務(wù)分開;安全芯片處理安全服務(wù)，而其他服務(wù)由通用微控制器尋址。安全芯片可能具有足夠的計(jì)算能力，但它通常包含加密硬件塊。這種配置主要用于歷史原因，因?yàn)檫@些芯片通常繼承基于智能卡或iButton設(shè)備等先行者設(shè)計(jì)的技術(shù)。此方法允許您將具有現(xiàn)成芯片的加密服務(wù)添加到已設(shè)計(jì)的舊技術(shù)的繼承認(rèn)證中。當(dāng)這種“智能”軟件運(yùn)行并利用硬件塊時(shí)，用戶可以實(shí)現(xiàn)幾乎所有常用算法。因此，軟件的靈活性和硬件的性能結(jié)合在一起，以實(shí)現(xiàn)最大的結(jié)果。

單芯片架構(gòu)使用具有強(qiáng)大 32 位內(nèi)核的單芯片，時(shí)鐘頻率為數(shù)百兆赫，能夠運(yùn)行具有圖形效果的豐富操作系統(tǒng)并處理各種通信鏈路（例如以太網(wǎng)、Wi-Fi、移動(dòng)）。該芯片解決了所有加密任務(wù)，并且很有意義，因?yàn)樗梢岳密浖拇罅抠Y源來實(shí)現(xiàn)幾個(gè)明顯的好處。

算法選擇的靈活性;向平臺(tái)添加新算法就像軟件更新一樣簡單。

滿足性能與應(yīng)用需求相對(duì)應(yīng)。

無限制地支持較大的密鑰長度，從而延長了安全設(shè)備的使用壽命。

添加簡單的對(duì)策。

芯片上沒有額外的成本;由于加密使用，沒有芯片增加。

這種安全單芯片的一個(gè)例子是Maxim USIP PRO，它非常有效地運(yùn)行最常見加密算法的軟件實(shí)現(xiàn)（表1）。

此性能表明，通常的加密需求（如 PCI PTS 要求中表示的需求）可在可接受的時(shí)間內(nèi)得到解決。

結(jié)論

隨著軟件密鑰長度的增加，以適應(yīng)對(duì)更高安全性不斷變化的需求，因此市場需要更多種類的加密實(shí)現(xiàn)。新算法（橢圓曲線）可能會(huì)降低應(yīng)用程序的復(fù)雜性，但設(shè)計(jì)人員仍然必須在軟件或硬件中實(shí)現(xiàn)安全性之間進(jìn)行權(quán)衡。盡管特定服務(wù)、利基市場或非常小的芯片總會(huì)有例外，但嵌入式密碼學(xué)正在取代軟件密碼學(xué)，提供更廣泛的服務(wù)。金融交易的高度安全性是一個(gè)及時(shí)的例子，說明為什么以及如何只有嵌入式密碼學(xué)才能保護(hù)這些系統(tǒng)及其用戶。

審核編輯：郭婷