嵌入式安全保護(hù)物聯(lián)網(wǎng)

脫氧核糖核酸。這很有趣 - 它是將我們與地球上的其他人聯(lián)系起來的東西，但與此同時(shí)，它是使我們每個(gè)人都獨(dú)一無二的東西。世界上沒有人——沒有人——擁有與你完全相同的DNA。

近年來，我們已經(jīng)學(xué)會(huì)了如何使用這種獨(dú)特性作為積極識(shí)別的手段。有些人被錯(cuò)誤地定罪，因?yàn)镈NA證據(jù)清除了他們而被無罪釋放。對(duì)于其他人來說，DNA提供了他們有罪的關(guān)鍵證據(jù)。我們每個(gè)人，在我們身體的每一個(gè)細(xì)胞中，都攜帶著我們個(gè)人身份的絕對(duì)證明。

與技術(shù)世界形成鮮明對(duì)比。在那個(gè)世界中，一種類型的設(shè)備的每個(gè)實(shí)例都必須完全相同，直到最后一微米、微伏和字節(jié)。每個(gè)設(shè)備必須看起來相同，感覺相同，行為相同。大多數(shù)情況下，這是一件好事——作為現(xiàn)代技術(shù)的制造商，您必須提供一致的用戶體驗(yàn)。但這種微小的相同性對(duì)安全性造成了嚴(yán)重破壞。

您如何確保真實(shí)性？

原因如下：由于每個(gè)設(shè)備都是相同的，因此很難知道聲稱來自特定設(shè)備的消息是否實(shí)際上來自該設(shè)備。這些消息可能來自模擬者。例如，門執(zhí)行器可能會(huì)從訪問鍵盤收到一條消息，指出輸入了正確的代碼，并且門應(yīng)該打開。但是執(zhí)行器如何知道消息是真實(shí)的呢？

在面對(duì)面的交流中，這從來都不是問題。我們認(rèn)識(shí)與我們交談的人，因?yàn)槲覀冎浪麄兊南掳托螤?，他們的耳朵，他們的聲?- 也就是說，我們知道他們的DNA的物理特征中的表達(dá)，使我們每個(gè)人都獨(dú)一無二。如果我們的設(shè)備有這種獨(dú)特性就好了。

這就是Maxim創(chuàng)造ChipDNA技術(shù)的原因。采用ChipDNA技術(shù)的設(shè)備包含一個(gè)元素，即使每個(gè)設(shè)備在功能上都是相同的，也使它們中的每一個(gè)都獨(dú)一無二。配備ChipDNA的設(shè)備內(nèi)部是一個(gè)電路元件，用于測(cè)量芯片本身的某些物理特性?，F(xiàn)在，這些物理特性隨著時(shí)間的推移是穩(wěn)定的，但它們確實(shí)因設(shè)備而異。ChipDNA 邏輯使用這些特定于設(shè)備的變體來計(jì)算一個(gè)值，該值在每次計(jì)算時(shí)都保持不變，但對(duì)于設(shè)備的特定實(shí)例是唯一的。此值唯一標(biāo)識(shí)設(shè)備，就像您的 DNA 唯一標(biāo)識(shí)您一樣。

若要了解為什么確保發(fā)件人的身份和消息的完整性很重要，請(qǐng)考慮一個(gè)簡(jiǎn)單的方案。假設(shè)您在遠(yuǎn)程位置有一個(gè)傳感器，并且傳感器發(fā)送一條消息，指出存在問題。您如何相信消息是真實(shí)的？您有以下幾種選擇：

選項(xiàng)一：共享密鑰

在部署傳感器之前，您可以在秘密中編程 - 也許是密碼。然后，當(dāng)傳感器發(fā)送消息時(shí)，它會(huì)以某種商定的方式將密碼合并到消息中。收到消息時(shí)，請(qǐng)檢查以確保密碼已正確發(fā)送，如果是，則接受消息。

問題是，如果所有此類傳感器的密碼都相同，那么對(duì)手可能會(huì)對(duì)設(shè)備進(jìn)行逆向工程并竊取密碼。然后，他們可以模擬來自該類型任何設(shè)備的消息。更糟糕的是，如果密碼是在沒有加密保護(hù)的情況下發(fā)送的，則對(duì)手根本不需要觸摸設(shè)備 - 他們可以竊聽對(duì)話并獲取密碼。這意味著他們可以在部署的任何地方模擬任何傳感器。共享秘密方案不是答案。

選項(xiàng)二：公鑰加密

如果將私鑰編程到設(shè)備中，則設(shè)備可以使用私鑰對(duì)消息進(jìn)行數(shù)字簽名，該私鑰可以使用相應(yīng)的公鑰進(jìn)行驗(yàn)證。以這種方式簽名的郵件幾乎可以肯定地進(jìn)行身份驗(yàn)證。簽名消息幾乎不可能修改或偽造，我所說的“幾乎不可能”是指沒有簽名者的私鑰，就沒有已知的方法可以在任何合理的時(shí)間內(nèi)模擬簽名者。

問題是秘密私鑰必須位于目標(biāo)設(shè)備的內(nèi)存空間中的某個(gè)位置。如果攻擊者可以溜進(jìn)惡意軟件，惡意軟件很容易泄露私鑰。一旦惡意軟件被開發(fā)出來，固件更新機(jī)制就可以用來傳播惡意軟件，很快，大量受影響的設(shè)備就遭到了破壞。它比簡(jiǎn)單的共享密鑰更好，但不是最佳選擇。

選項(xiàng)三：芯片DNA技術(shù)

ChipDNA技術(shù)克服了傳統(tǒng)公鑰-私鑰系統(tǒng)的問題，私鑰永遠(yuǎn)不會(huì)泄露，甚至不會(huì)透露給其所有者。事實(shí)上，私鑰甚至不存在于設(shè)備中，直到實(shí)際需要它。相反，ChipDNA 邏輯計(jì)算的值僅在消息準(zhǔn)備好簽名時(shí)才在硬件中生成，然后立即銷毀。計(jì)算值永遠(yuǎn)不會(huì)出現(xiàn)在微控制器的內(nèi)存映射中。以下是使用ChipDNA的一種方法：

在設(shè)備制造商部署物聯(lián)網(wǎng)（IoT）設(shè)備之前，它會(huì)命令ChipDNA硬件計(jì)算與ChipDNA值相對(duì)應(yīng)的公鑰 - 私鑰。實(shí)際的ChipDNA值從未披露過。然后，設(shè)備制造商使用自己的公司私鑰對(duì)公鑰進(jìn)行簽名，以創(chuàng)建證書，然后將其寫回設(shè)備。該證書稍后可以證明設(shè)備提供的公鑰與出廠時(shí)計(jì)算的公鑰相同，因?yàn)槿绻麤]有公司私鑰，任何人都無法創(chuàng)建有效的證書。

部署后，當(dāng)物聯(lián)網(wǎng)設(shè)備想要發(fā)送消息時(shí)，它可以通過重新計(jì)算ChipDNA值并將該值用作私鑰來對(duì)消息進(jìn)行簽名。如果消息的接收方具有該設(shè)備的公鑰，則可以高度保證驗(yàn)證消息是否真實(shí)、未經(jīng)修改且來自該特定設(shè)備。

ChipDNA技術(shù)基于物理不可克隆功能（PUF），可防止侵入性攻擊

但是，在野外有數(shù)百萬臺(tái)物聯(lián)網(wǎng)設(shè)備的情況下，誰來保存屬于每個(gè)物聯(lián)網(wǎng)設(shè)備的公鑰數(shù)據(jù)庫？任何從物聯(lián)網(wǎng)設(shè)備接收消息的人都不太可能擁有該特定設(shè)備的公鑰。但是他們可以向設(shè)備本身發(fā)送請(qǐng)求，要求提供設(shè)備的公鑰證書。當(dāng)設(shè)備發(fā)送證書時(shí)，接收方可以使用兩步過程檢查證書的有效性：首先，接收方使用簽名者的公鑰驗(yàn)證證書的簽名。證書證明有效后，接收方可以繼續(xù)執(zhí)行第二步：使用證書中包含的公鑰測(cè)試設(shè)備消息的有效性。雖然這看起來像是一個(gè)復(fù)雜的系統(tǒng)，但整個(gè)過程不到一秒鐘。

保護(hù)物聯(lián)網(wǎng)免受侵入性攻擊

問題是，這個(gè)系統(tǒng)有多安全？好吧，考慮一下：在測(cè)量芯片的物理特性之前，私鑰甚至不存在，即使這樣，私鑰一旦使用就會(huì)被銷毀。使用惡意固件無法發(fā)現(xiàn)私鑰，因?yàn)樗借€僅存在于安全的隔離硬件中，而永遠(yuǎn)不會(huì)存在于微控制器的實(shí)際內(nèi)存空間中。即使攻擊者試圖探測(cè)芯片本身，探測(cè)設(shè)備的行為也會(huì)改變?yōu)榇_定ChipDNA值而測(cè)量的特性，因此將破壞再次恢復(fù)私鑰的任何希望！

我們已經(jīng)了解了如何使用ChipDNA來絕對(duì)保證來自物聯(lián)網(wǎng)設(shè)備的消息既真實(shí)又未經(jīng)修改，但ChipDNA也可以用于許多其他目的 - 從驗(yàn)證固件映像到管理設(shè)備的授權(quán)使用。ChipDNA可以在任何必須絕對(duì)確保交易中涉及的設(shè)備的身份的地方使用，可能性是無窮無盡的。

審核編輯：郭婷