Программатор G-Shield (GPW-01)
GlobalSign объявила о технологическом партнёрстве со стартапом Big Good Intelligent Systems, который выпустил продукт под названием G-Shield. Это сервер регистрации плюс программатор чипов для физической записи цифровых сертификатов на микросхемы: Big Good называет такие микросхемы «крипточипами» (HVCA Module / ECDH Crypto Chip).
Идея в том, что производитель физически защищает устройства с момента появления, то есть прямо на этапе производства.
Программатор чипов GPW-01
Платформа G-Shield включает в себя сервер регистрации (Enroll Server) и программатор чипов GPW-01. Он работает автоматически, выполняя задачи, поступающие сервера.
Технические характеристики
- Параллельная работа множества программаторов со взаимным подключением.
- Размер: 310×115×35 мм
- ЖК-экран: 3,5 дюйма, разрешение 320×480 пикселей
- Процессор и память: ARM V8 четырёхъядерный Cortex A53 1,2 ГГц, 1 ГБ SDRAM
- Питание: AC 100 В − 240 В 50/60 ГЦ
- ОС: Linux 3.x
- Порты: четыре порта I2C
- Разъёмы для чипов: четыре
Для обслуживания сертификатов используется платформа IoT Identity Platform от GlobalSign с программными интерфейсами RESTful API. Это гибкая и масштабируемая платформа на инфраструктуре открытых ключей (PKI), способная обрабатывать запросы от миллиардов устройств IoT.
Физическая интеграция сертификатов особенно актуальна для устройств Интернета вещей. Big Good собирается внедрять эти крипточипы в собственные устройства для умного дома, но также предлагает крипточипы другим производителям.
Первым внедрит систему в свой производственный цикл Realtek Semiconductor — известный производитель микросхем для телекоммуникационного оборудования, компьютерной периферии и мультимедийных приложений. Микросхемы Realtek используются во многих компьютерах, ноутбуках и планшетах: это сетевые контроллеры, микросхемы PHY, контроллеры доступа к сети, контроллеры мультимедийного шлюза, беспроводных LAN, а также кодеки High Definition Audio, контроллеры кард-ридеров, генераторы синхроимпульсов и контроллеров LCD.
Сейчас Realtek Semiconductor вместе с Big Good и GlobalSign изучают, как лучше всего интегрировать технологию на конвейер.
Защита устройств IoT
Физическое внедрение цифровых сертификатов на этапе производства — логичное решение для защиты устройств IoT в условиях, когда злоумышленник способен не только перехватить и подменить трафик, но и получить физический доступ к этим устройствам.
Слабая защита IoT — одна из самых больших проблем в индустрии. Достаточно посмотреть новости:
- «Выброшенные на помойку умные лампочки — ценный источник личной информации»
- «Казино взломали через термостат в аквариуме»
- «Уязвимости позволяют взломать робот-пылесос Diqee 360 и шпионить за его владельцами»
- «Эффективные техники реверс-инжениринга устройств IoT» (научная статья, анализ защиты 16 популярных устройств Интернета вещей)
Всего этого можно было избежать за счёт грамотной реализации шифрования, в том числе запрограммировав крипточип с цифровым сертификатом на этапе производства.
Криптографический модуль HVCA от Big Good со встроенным цифровым сертификатом
Характеристики криптомодуля IoT
- Алгоритмы PKI: ECDSA (FIPS186-3), ECDH (FIPS SP800-56A)
- Стандарт эллиптических кривых NIST P-256
- Алгоритм хеширования SHA-256 с опцией HMAC
- Длина ключа 256 бит
- Хранение до 16 ключей
- Уникальный 72-битный серийный номер
- Встроенный генератор случайных чисел
- 10 КБ EEPROM для хранения ключей, сертификатов и данных
- Опции журналирования, защита от внешнего вмешательства
- Один пин GPIO
- Стандартный интерфейс I2C 1 МГц
- Питание от 2,0V до 5,5V Supply Voltage Range
- Энергопотребление в спящем режиме менее 150 нА
Очевидно, что в защите нуждаются не только гаджеты для умного дома, но и медицинские импланты, промышленные приборы и другие устройства Интернета вещей.
Платформа управления цифровыми сертификатами GlobalSign с аппаратной поддержкой крипточипа Big Good поддерживает полный жизненный цикл идентификации устройства, от начальной подготовки сертификатов (которые прошиваются во время производства или локально при деплое) до управления жизненным циклом сертификатов с окончательным завершением их действия, включая вывод из эксплуатации или передачу права собственности.
Если у каждого устройства или конечной точки есть уникальный идентификатор, то при выходе в интернет они проходят аутентификацию, а затем на протяжении всей своей жизни доказывают свою целостность и могут безопасно общаться с другими устройствами, службами и пользователями.
Служба IoT Edge Enroll предоставляет гибкий и масштабируемый способ развёртывания этой системы и её поддержания с дополнительными функциями, такими как Registration Authority (RA) и расширенная поддержка протоколов. GlobalSign выдаёт сертификаты со скоростью более 3000 в секунду, что является рекордом среди регистрационных центров.
Безопасность по дизайну
Безопасность по дизайну — принцип разработки программного обеспечения, которое с самого начала проектируется так, чтобы обеспечить максимальную безопасность. Этот принцип можно расширить и на разработку оборудования.
Таким образом, сегодня цифровые сертификаты используются не только для для защиты веб-сайтов и подписи компьютерных программ, но и для обеспечения аутентичности физических устройств. Прошивка выполняется непосредственно на конвейере производителя микросхем.
«По мере развития технологий IoT важно, чтобы безопасность частью дизайна с самого начала, — говорит Роджер Ву, главный исполнительный директор Big Good Intelligent Systems. — Безопасность должна начинаться на уровне компонентов (чипов) и поддерживаться сильной, стабильной и безопасной инфраструктурой PKI на уровне устройств, шлюзов и облаков».
