问:如何改进嵌入式系统的设计,以减少安全威胁?
Guillaume Crinon,Global IoT战略经理,安全和连接,Avnet Emea
嵌入式系统是我们每天使用的大多数机器和设备的心脏和大脑,例如汽车,咖啡机,电梯,工厂皮带和机器人,以命名为少。它们围绕微控制器或更大的微处理器配备外部存储器(最复杂的外围设备),有时FPGA,当需要高性能,确定性和纳秒的实时时。
因此,所有这些系统都是可编程的,因此,表现出明显的被恶意软件重新编程的脆弱性。因此,每个嵌入式系统都应该围绕提供安全引导功能的处理器进行设计,该功能能够在系统的基础上验证正在运行的软件或固件的完整性。当然,这些安全引导例程本身不应该被重新编程或绕过,因此应该以ROMed代码、ROMed根证书和不可访问的私钥的形式在硬件根上建立信任。提供最先进的反篡改和加密机制的外部安全元素通常是这些安全处理器非常有用的配套芯片。
除了嵌入式系统本身之外,软件和固件的发布应该进行组织,以便提供只有软件编辑器才能生成的具有可信签名的更新。这通常需要能够发出证书、托管私钥并将其作为服务从其高度安全的数据中心为客户管理的可信第三方。
嵌入式系统与远程服务器通信时,他们中的大多数,他们的交流也应该被视为严重当我们连接笔记本电脑上网用的端到端安全性,这样没有人能干涉,并保证真实性,完整性,如果需要保密的数据交换。同样,这只能通过嵌入式系统本身的信任硬件根来实现,并围绕可信任的第三方公钥基础设施进行架构,以颁发和管理唯一的可靠证书。
最后但并非最不重要的一点是,最好的系统应该能够检测、报告攻击,并升级自身的安全,以跟上不断演变的威胁。
Barr Group,CEO,CEO,Andrew Girson
对嵌入式系统的安全威胁的数量和范围,包括像Mettown和Specter这样的可利用硬件缺陷以及Mirai等僵尸网络,正在迅速上升。作为嵌入式系统的专业设计者,我们都有一个道德责任来确保我们的系统更好。
我们最近完成了Barr集团2018嵌入式系统安全和安全调查。结果显示,大约有四分之一的新产品如果出现故障或受到攻击,会导致一人或多人死亡或受伤。令人震惊的是,在这些“危险物联网”设备的设计者中,有16%的人甚至没有把安全作为系统要求!
那么我们如何解决这个问题?我会鼓励嵌入式系统的设计师遵循这一六点计划,以更好地保护您的产品:
1.不要忽视安全!
评估您设计的系统的“社会后果”。ACM的道德和专业责任守则强调了使用最佳软件实践和专业义务在其他开发团队成员或管理层故意忽视纠正产品的已知安全相关风险时的重要性。
2.采用经过验证的行业最佳实践
使用编码标准、代码审查和静态分析。这些有效且廉价的技术只是您可以用于开发更安全、更安全设备的许多行业最佳实践中的三种。采用这些开发过程步骤可以减少安全链中的薄弱环节和产品中的缺陷。
3.使用加密
使用加密 - 这是一个简单但重要的安全技术。更多工程师应该使用加密,但不幸的是,在今年的调查中,我们看到,只有大约55%的人在设计要求中有一个安全性正在加密外部数据。
4 .ecure你的引导加载程序
确保支持未来升级的固件部分是安全的,并且只有经过授权的固件升级才加载到产品的内存中。至少,任何固件更新有效负载都应该由作者的私钥进行数字签名。这些附加的设计将有助于防止您的设备接受任何下载,并打击潜在的攻击。
5.练习纵深防守
通过不同的方式以及为什么黑客可以访问您的系统。想想他们。计划他们。设计挫败他们,分层防御。
6.保持对安全的了解
不仅要关注嵌入式空间的攻击新闻,还要关注桌面和智能手机计算世界的攻击新闻。据报道,最终危及嵌入式系统的安全攻击通常首先针对台式电脑和智能手机。
由MartinBöhner,产品管理安全部和Ota,Elektrobit负责人
如果我们查看典型的威胁来源,我们会看到从不考虑整个系统的不正确的范围设置所产生的错误,逻辑和设计错误或问题。在实施方面,从一开始和彻底实施和质量管理中,安全的认识作为整体要求是减少威胁的关键。
最有效的措施之一是设计和保持系统的小和简单,以减少攻击面和管理复杂性。我知道这并不总是容易实现的,但是从安全的角度来看,添加配置选项以避免实际决策的常见做法并不是一个好的策略。如果整个系统不能设计得小而简单,那么目标就是将其划分为可管理的子系统,并为各个部分分配最小的特权和特权分离原则。
然而,在汽车领域,我们要处理一些当今最复杂和最关键的嵌入式系统。它们是高度连接的,由多达1亿行代码组成,并由数百家供应商实现。没有人能假设这样的系统在实际情况下在任何给定的时间点都是完美无缺的。
必须应用深度原则中的防御,以维持检测和反应的可能性,如果出现问题。与系统工程的合作起到了重要作用,以确保从不同角度和多层安全方法通过将正确的元件软件或基于系统的正确位置放置正确的元件软件或硬件来结合安全和其他方面。
所以,答案是,我们必须尽一切努力减轻威胁的可能性,而另一方面,另一方面,接受并接受监测我们的系统的挑战,并有能力对现场系统的系统的新兴威胁作出反应 -只要系统正在运行。
经过斯科特琼斯,嵌入式安全,Maxim集成的终极董事总经理
随着嵌入式系统变得更加智能和互联,它们更容易受到安全威胁。为了减少安全威胁,嵌入式系统设计师可以采用各种技术。基于软件的安全性是一种选择,它被认为是相对划算的,易于实现和更新。然而,软件安全可能会引入漏洞,如侧通道泄漏或易感恶意修改,这意味着恶意软件可以很容易地渗透或渗透软件。一个更强大的选择是基于硬件的安全性,如果操作正确,它可以为侧通道分析提供对策,并集成专门的功能,以防范广泛的攻击威胁。一种安全IC,如安全微控制器,执行来自内部的代码,不可变的存储器,防止试图破坏电子设备硬件的攻击。存储在微控制器ROM中的启动代码被称为“信任的根”,因为它不能被修改。因此,它是可用于验证和身份验证授权签名的应用程序软件的可信软件。通过自下而上地实现信任的根方法,设计师可以关闭更多潜在的设计入口点。下一代安全集成电路现在以物理不可克隆功能(PUF)技术的形式提供了更高级的加密强度。 PUF technology natively generates a digital fingerprint for its associated IC. This fingerprint, or key, supports algorithms for authentication, identification, anti-counterfeiting, hardware-software binding, encryption, and decryption. Because PUF technology is derived from the complex and variable physical and electrical properties of IC devices, it’s virtually impossible to duplicate or clone. Also, the key is generated only when needed and is never stored on the chip. An attempted invasive attack on a PUF-based chip can change the electrical characteristics of the PUF circuit, further impeding such an attack. For designers, PUF technology is another weapon in their arsenal against cybercrime.
由Erez Kreiner,联合创始人,纳米克洛克安全
Meltdown和Spectre安全漏洞揭示了过去20年CPU设计的基本问题,令科技行业感到不安。虽然芯片厂商试图用软件补丁来保证市场,但对于当前和未来由内部设计缺陷、编码错误和外部黑客入侵造成的漏洞,这些补丁的效力有限,所有这些都会对大量设备产生巨大影响。
考虑到数以十亿计的物联网终端cpu(传感器、阀门、开关、电子控制单元等)将最终构成社会关键基础设施的最重要功能,这种紧迫感就会加剧。这个行业需要一个端到端的解决方案来保护从深度嵌入的端点到云,再到企业管理层的整个漏洞链。
对于满量程的嵌入式安全性,解决方案必须是:
- 硬件和基于软件。
- CPU和OS-Obswort。
- 保护固件,尤其是在空中更新期间。
- 便宜、简单、高效,并且使用最小的延迟。
CPU和设备制造商必须理解并拥抱他们今天面临的挑战,与生态系统合作克服它们,最重要的是,在防御上一场战争的同时,为下一场战争做好准备。随着计算机嵌入式设备的数量呈指数级增长,在未来几年,我们将看到这些类型的缺陷越来越频繁地暴露出来。我们必须做好准备。
经过Mary Ellen Bauchman, Rutronik Inc.产品营销总监
与任何复杂的不同部分的复杂组成一样,嵌入式系统的可靠性不仅需要每个部分都能是安全的,而是这些部件之间的界面也是如此。它从电源设计开始,因为电源的中断可能导致数据丢失和系统关闭,这可能是安全问题。解决方案可能涉及冗余电源和/或不间断电源(UPS),以为系统提供备用电源,如果电源发生故障,或者如果实用电源中断。
另一个安全方面是建立对嵌入式系统的安全访问。PIN-code或password是基本的安全步骤,但这些密码可能被未经授权的人发现或被窃取的数据。射频识别应答器提供了更多的安全性,但也可能丢失或被盗。最安全的访问是通过使用生物传感器实现的——指纹传感器、虹膜传感器或3D摄像系统的面部识别。
对于嵌入式系统中的安全数据存储,有必要加密个人数据,避免静默数据损坏,防止删除数据的恢复,并在长时间维护数据完整性。基于单级单元(SLC)闪存技术的集成安全性的固态驱动器(SSD)的RAID系统是一个理想的解决方案;但是,在安全解决方案的技术和财务方面之间存在权衡,结果往往是一个妥协。
由于嵌入式系统安全有许多技术和实际考虑因素,最好的出发点是与应用程序专家进行个人讨论,这些专家可以推荐一系列硬件、软件和服务——通常是具有嵌入式系统专业知识的分销商或增值分销商(VAR)。由于每个嵌入式系统的需求是不同的,因此咨询一个经验丰富的工程师团队是非常重要的,他们在最先进的解决方案方面受过良好的培训。
Lars Lydersen, Silicon Labs产品安全高级总监
安全性不是嵌入式系统的二进制属性或特征。首先,它是一个必须在整个系统生命周期中进行管理的过程,从体系结构到实现,以及整个系统生命周期的各个阶段。
嵌入式系统仅对在给定时间的给定的对手抵抗。通常,在考虑更有能力的对手时,确保系统的成本越来越大。对于大多数嵌入式设计,可以维持高成本以确保对抗国家各国是不可行的。值得注意的是,由于安全级别的增加,对手的数量急剧缩小。因此,为了减少安全威胁,有必要增加系统的安全级别。好消息是,对于大多数系统,有几种廉价且简单的手段,将显着提高安全水平。
在设备级,控制在设备上运行的软件是很重要的。这是通过控制如何将新软件编入设备的机制来实现的。特别是,有必要关闭JTAG接口并实现安全引导加载程序。
在通信级别上,打开通信协议中的安全性是至关重要的。所有新的无线协议,如Zigbee、蓝牙、Thread和传输层安全(TLS),都实现了相当好的安全性,并且在开发过程中可以直接使用。
在系统级别,启用软件分发机制很重要。这尤其重要,因为时间抵御大多数嵌入式设计的安全性。随着时间的推移,对手越来越强大。您今天可以推出的攻击大约1000美元USD的攻击比在十年前拥有同一资金水平推出的攻击更强大。因此,将系统的寿命考虑在内是重要的,并且防止未来的对手的唯一方法是设计具有可升级安全性的系统,并通过在整个产品生命周期内通过空中更新升级系统。
理查德·海顿(Richard Hayton), Trustonic首席技术官
“嵌入式”用于暗示隔离系统的窥探的窥探和开放网络的危险。然而,由于“全部IOT”或以前关闭的系统被打开到新的应用程序(以及新攻击),今天很少的嵌入式系统非常孤立。
这意味着虽然安全应该要放在心上,因为它经常被忽视。我相信这是因为嵌入式安全难的。与桌面或web应用程序的开发不同,它通常缺乏基本的支持——简单的库、开发人员论坛,以及一个可以依靠的人类用户来回答“你确定吗?””的问题。
要使嵌入式设备能够满足IOT挑战,必须简单。这并不意味着导入一个以虚拟为中心的方法,因为这将需要仅仅不适用的安全性宗旨,而且,桌面可以与膨胀,大小一起生活真的很重要在嵌入式空间。
以下是设备安全的五步计划:
- 识别设备。电话另一端的人需要知道打电话的人是真正的心脏起搏器还是黑客。如果这个操作不正确,那么系统将要就会大打折扣。
- 提供消息完整性,机密性,重放保护和未来的安全性。这些东西很难解释,更不用说实际操作了——这就是为什么安全库是必须的。
- 把小麦和谷壳分开。软件错误。时期。现代的mpu可以隔离代码区域,这意味着LCD驱动程序中的一个bug不需要影响胰岛素泵的安全性。
- 保持它。如果设备具有32 kB,并且安全性“成本”30 KB,则不会使用它。
- 使安全简单。以上所有必须提供
由Scott Phillips,营销副总裁,富型固态存储和记忆
今天最紧迫的挑战工业嵌入式系统设计师面临的是开发达到苛刻的功能目标的产品,同时保持数据安全性。没有技术部门免受数据安全威胁 -包括industrial-embedded空间。
不仅安全漏洞的前期成本大大降低了系统设计的投资回报,而且数据落入错误之手的后果也会导致成本呈指数级增长。
工业物联网的嵌入式系统设计师历来采取长远的方法;他们重视系统的可靠性、持久性和完整性——这些都是数据存储的关键属性。
例如,设计人员选择富实状态驱动器,例如,因为他们了解保护任务关键数据是至关重要的,在优先级列表上放置耐用性和数据完整性,而不是“速度和馈送”。他们还知道,因为数据容易发生安全风险,他们在设计阶段采取措施,集成系统访问和数据保护方案,例如加密的SSD,身份验证和虚拟专用网络(VPN)。当然,数据加密有几个“味道”,所以对于支持工业物联网和机器到机器应用的嵌入式系统,更良好。
我们在熟练倡导者和提供使用高级加密标准(AES-256)的自加密驱动器(SED)。被视为美国政府的事实上的安全标准和最强大的加密选项,AES-256提供了256位密钥大小,提供了一个惊人的1.1 x 1077可能的组合数量。此外,安全密码擦除功能可确保最苛刻的工业嵌入式设计和应用程序的最佳数据保护。我们还提倡和支持领先的身份验证技术,包括可信计算组(TCG)提出的技术,以及内部开发解决方案,包括硬件和软件写保护。
嵌入式系统不可能100%避免安全威胁,但可靠的安全策略和最佳实践(包括内置在ssd中的身份验证和数据加密)有助于降低这种可能性。
由C.S. Lin,营销执行官,Winbond Electronics Corporation America
闪存存储在几乎是电子和信息技术的几个部分 - 来自Minuscule摄像机和数字音乐播放器,这些播放器将剪辑我们的服装到庞大的数据中心和超级计算系统。所有这些应用程序都是共同的,即在Flash中收集的数据永远不会受到安全威胁的100%。嵌入式系统是对这种安全漏洞的特别丰富的目标,因为他们的组织依赖于系统的连续运行和关键数据的集合,因此不小部分。
我们在非易失性的闪存存储世界对这种威胁非常敏感 - 并一直采取重大步骤来抵消它们。具体而言,在Winbond中我们集成了安全功能直接进入我们的Flash设备用于嵌入式系统和其他以数据为中心的应用程序。当然,实现内置安全性挑战我们的工程师设计安全闪光灯设备而不牺牲成本或性能。
作为背景,我们都了解嵌入式flash设计的约束条件:内存可伸缩性、成本、性能和铸造能力。这些因素在我们追求最佳安全闪存的每一步中都表现出来,从设备架构到后端流程,再到设计验证。我们调整了现有的方法,并发明了新的方法,以满足首要目标:安全。
从那种整体方法来源于设计和方法来源于Trustme安全的Flash架构,解决了需要安全的非易失性存储的需求,独立于芯片过程和铸造功能等因素。该体系结构涉及ARM平台安全架构,该架构显然概述了安全引导,信任的根源和安全存储的要求。
通过尽早解决安全问题——在设计和方法论阶段,并直接将安全特性构建到flash设备中——嵌入式系统在本质上更安全。
提交:行业法规
