Παρά τον αυξανόμενο αριθμό επιθέσεων δικτύου σε συσκευές IoT, η ασφάλεια υλικολογισμικού τοποθετείται συχνά σε δευτερεύουσα θέση. Καθώς οι εισβολείς διεισδύουν στη στοίβα του συστήματος και στοχεύουν στη διαδικασία εκκίνησης και στις υποκείμενες ρυθμίσεις παραμέτρων υλικού, η επιλογή της αρχιτεκτονικής μνήμης έχει γίνει μια βασική απόφαση για τη δημιουργία μιας επαληθεύσιμης αλυσίδας εμπιστοσύνης.
Επομένως, η διασφάλιση της ασφάλειας υλικολογισμικού απαιτεί κάθε στοιχείο να υποβάλλεται σε επαλήθευση κρυπτογράφησης πριν από την εκτέλεση. Αυτή η διαδρομή ξεκινά με έναν αμετάβλητο φορτωτή εκκίνησης, ο οποίος είναι υπεύθυνος για τη φόρτωση και την επαλήθευση του κύριου υλικολογισμικού. Ωστόσο, η τεχνολογία μνήμης που χρησιμοποιείται σε κάθε βήμα μπορεί να οδηγήσει σε ευπάθεια υλικολογισμικού σε μη εξουσιοδοτημένες τροποποιήσεις.
Εσωτερική και εξωτερική μνήμη flash
Η φυσική θέση της μη πτητικής μνήμης που χρησιμοποιείται για την αποθήκευση υλικολογισμικού είναι ένας από τους πιο κρίσιμους παράγοντες στα μοντέλα απειλών συσκευών. Οι μηχανικοί υλικολογισμικού πρέπει να κάνουν μια επιλογή μεταξύ ενσωματωμένου φλας στο τσιπ (eFlash) και εξωτερικών μονάδων φλας που συνδέονται μέσω σειριακών διεπαφών όπως SPI ή QSPI.
Η ενσωματωμένη μνήμη flash συνήθως ενσωματώνεται απευθείας σε μικροελεγκτές ή τσιπ SoC. Αυτή η αρχιτεκτονική παρέχει το υψηλότερο επίπεδο φυσικής ασφάλειας, καθώς δεν υπάρχουν εξωτερικά λεωφορεία που να μπορούν να χειριστούν οι εισβολείς. Ακόμη και η πρόσβαση στην εσωτερική μνήμη flash ελέγχεται από αποκλειστικούς καταχωρητές και bits κλειδώματος.
Επιπλέον, η ενσωματωμένη μνήμη flash υποστηρίζει μόνιμη προστασία ανάγνωσης. Με βραχυκύκλωμα εξειδικευμένων ασφαλειών, οι προγραμματιστές μπορούν να απενεργοποιήσουν τις διασυνδέσεις εντοπισμού σφαλμάτων JTAG ή SWD για να αποτρέψουν τους χάκερ να τροποποιήσουν εικόνες υλικολογισμικού. Ωστόσο, καθώς τα SoC κινούνται προς μικρότερους κόμβους, αυτή η τεχνολογία αντιμετωπίζει σημαντικές προκλήσεις επεκτασιμότητας.
Αντίθετα, η εξωτερική μνήμη flash τοποθετείται έξω από τον κύριο επεξεργαστή και επικοινωνεί μέσω μιας σειριακής διεπαφής υψηλής ταχύτητας. Αυτή η αρχιτεκτονική επιλογή καθιστά εύκολη την κλίμακα της χωρητικότητας αποθήκευσης, αλλά και διευρύνει την επιφάνεια επίθεσης του συστήματος. Οποιαδήποτε δεδομένα μεταδίδονται μεταξύ του επεξεργαστή και της εξωτερικής μνήμης flash είναι εγγενώς ευάλωτα σε απειλές όπως η υποκλοπή, οι επιθέσεις από τον άνθρωπο στη μέση και η φυσική παραβίαση.
Για την αντιμετώπιση αυτών των κινδύνων, οι μηχανικοί υλικολογισμικού πρέπει να εφαρμόζουν μέτρα προστασίας υλικού και λογισμικού ήχου. Πολλές εξωτερικές συσκευές μνήμης flash NOR είναι εξοπλισμένες με φυσική ακίδα προστασίας εγγραφής. Όταν η ακίδα τοποθετηθεί σε μια συγκεκριμένη τάση, η εσωτερική λογική του τσιπ θα εμποδίσει την εκτέλεση εντολών διαγραφής ή εγγραφής.
Εικόνα 1: Η ασφαλής σειριακή μνήμη flash NOR της Winbond Electronics W77Q32JWSSIR TR έχει πολύπλοκες δυνατότητες κρυπτογράφησης καναλιών επικοινωνίας. (Πηγή εικόνας: Winbond Electronics)
Ωστόσο, εάν τα δεδομένα μπορούν να διαβαστούν, δεν αρκεί απλώς το κλείδωμα της μνήμης flash. Κατά τη διάρκεια της εκτέλεσης, οι εισβολείς μπορούν ακόμα να έχουν πρόσβαση στη διεύθυνση και στο δίαυλο δεδομένων. Αυτή η ευπάθεια έχει προκαλέσει την ανάπτυξη εξειδικευμένων ασφαλών συσκευών flash, συμπεριλαμβανομένων μηχανισμών ρίζας εμπιστοσύνης που βασίζονται σε υλικό, κρυπτογραφημένων καναλιών επικοινωνίας και μονοτονικών μετρητών για την αποφυγή επιθέσεων επαναφοράς.
Ωστόσο, εάν επιλεγεί λανθασμένη αρχιτεκτονική αποθήκευσης, η συσκευή θα αφήσει βασικά ελαττώματα που δεν μπορούν να επιδιορθωθούν πλήρως με ενημερώσεις κώδικα λογισμικού. Για παράδειγμα, τα σχέδια που αποθηκεύουν υλικολογισμικό σε εξωτερικό EEPROM χωρίς κρυπτογράφηση ή επαλήθευση είναι πάντα ευάλωτα σε εισβολείς υλικού. Αντίθετα, η επιλογή μιας μνήμης με υπερβολικούς περιορισμούς μπορεί να επηρεάσει τη λειτουργικότητά της.
Ως εκ τούτου, οι μηχανικοί πρέπει να κατανοούν τις βέλτιστες πρακτικές και τις τεχνικές σχεδιασμού για τη μεγιστοποίηση της ασφάλειας υλικολογισμικού μέσω της αρχιτεκτονικής μνήμης.
Βέλτιστες πρακτικές για ασφαλή σχεδιασμό αποθήκευσης υλικολογισμικού
Κατά το σχεδιασμό μιας ασφαλούς διαδρομής αποθήκευσης υλικολογισμικού από την εκκίνηση έως το χρόνο εκτέλεσης, οι μηχανικοί υλικολογισμικού πρέπει να ακολουθούν τις ακόλουθες αρχές:
1. Βασισμένη στο υλικό ρίζα εμπιστοσύνης
Η εκτέλεση πρέπει πάντα να ξεκινά από αμετάβλητες περιοχές μνήμης. Για παράδειγμα, η ROM εκκίνησης ή ο μόνιμα ασφαλής τομέας flash θα πρέπει να περιέχει κώδικα για την επαλήθευση όλων των άλλων υλικολογισμικών. Αυτό θα διασφαλίσει ότι οι εισβολείς δεν μπορούν να παρακάμψουν την επαλήθευση παραβιάζοντας τον αρχικό κωδικό πρόσβασης.
2. Χρησιμοποιήστε κρυπτογραφημένες υπογραφές
Διαμορφώστε τον ασφαλή φορτωτή εκκίνησης ώστε να εκτελεί μόνο εικόνες υλικολογισμικού υπογεγραμμένες με αξιόπιστα ιδιωτικά κλειδιά. Με αυτόν τον τρόπο, ακόμα κι αν οι εισβολείς μπορούν να έχουν πρόσβαση στη μνήμη και να τροποποιήσουν bits, μπορούν να αποτρέψουν τον μη εξουσιοδοτημένο κώδικα. Εάν απαιτείται εμπιστευτικότητα, το αποθηκευμένο υλικολογισμικό μπορεί να κρυπτογραφηθεί.
3. Χρησιμοποιήστε χαρακτηριστικά ασφαλείας υλικού
Εάν η αρχιτεκτονική του συστήματος χρησιμοποιεί εξωτερικό χώρο αποθήκευσης, οι μηχανικοί θα πρέπει να επιλέξουν συσκευές που υποστηρίζουν ασφάλεια υλικού, όπως ενσωματωμένη προστασία με κωδικό πρόσβασης ή απλή κρυπτογράφηση. Αν και αυτές οι συσκευές μπορεί να μην είναι τόσο στιβαρές όσο τα πλήρη εξαρτήματα ασφαλείας, προσθέτουν ένα άλλο επίπεδο προστασίας.
Εικόνα 2: Το Macronix υποστηρίζει MX25L3233FM2I-08Q σειριακή μνήμη flash NOR 32 Mb με σειριακή περιφερειακή διεπαφή. (Πηγή εικόνας: Macronix)
4. Απομονώστε το υλικολογισμικό και τα δεδομένα
Οργανώστε την περιοχή μνήμης και διαχωρίστε τον πιο ευαίσθητο κωδικό. Στο MCU, τοποθετήστε κρίσιμες οδηγίες ρουτίνας σε μια ασφαλή περιοχή μνήμης. Ακόμη και το υλικολογισμικό, εάν υποστηρίζεται από υλικό, μπορεί να επισημάνει ορισμένες τράπεζες μνήμης flash ως εκτελέσιμες μόνο ή μόνο για ανάγνωση.
5. Σχέδιο ενημέρωσης υλικολογισμικού ασφαλείας
Βεβαιωθείτε ότι η ίδια η διαδικασία ενημέρωσης είναι επικυρωμένη (π.χ. απαιτείται η υπογραφή του πακέτου ενημέρωσης). Εάν ο σχεδιασμός χρησιμοποιεί εξωτερικό χώρο αποθήκευσης για προσωρινές ενημερώσεις, θα πρέπει να ληφθούν τα ίδια μέτρα ασφαλείας με τον κύριο χώρο αποθήκευσης υλικολογισμικού.