安全佈建以加強安全性

安全金鑰構成系統安全基礎的基石，保護私鑰和其他機密是任何連接裝置最重要的要求之一。不幸的是，即使在設計中將安全金鑰置於多層保護之下，生產過程時最終加載金鑰和韌體時鬆懈的安全性可能會讓仔細的準備工作付之東流。

對連接系統和基礎設施已知的攻擊讓人注意到建立複雜操作技術 (OT) 解決方案時可能出現的潛在安全漏洞。醫療保健、工業、運輸、能源等關鍵應用中，若是安全措施遭到成功滲透，不僅會暴露敏感資料，還會危及應用本身的安全執行。

隨著消費者將居家和辦公室填滿物聯網 (IoT) 裝置，裝置安全性的破壞變得更加個人化。可以預期裝置設計人員不斷將安全實作列為最重視的開發考量之一。

好消息是有一些可用的解決方案。

保護裝置和套件

市售專用安全晶片和支援安全的處理器大幅簡化裝置安全實作。更甚者，執行其硬體基礎的加密演算法可以防止針對傳統系統軟體架構安全機制的攻擊。這些晶片和處理器大多都包含硬體基礎安全金鑰儲存，並建立在這些受保護的金鑰之上，提供確保端對端安全所需的硬體信任根。然而，將金鑰加載 (或「佈建 (provisioning)」) 到這些硬體裝置的過程常會讓人陷入困難，可能會意外或蓄意暴露秘密，為駭客提供機會使用相當有效的社交工程攻擊 (social engineering attack)。

許多半導體製造商和經銷商提供安全佈建服務，採用硬體安全模組 (HSM) 執行這一關鍵步驟，該模組的設計有保護措施，可防止實體或電子入侵。然而，由於內部要求，不一定能為廠房提供可用或是合用的佈建，物聯網裝置開發人員面臨額外挑戰，需將可信賴韌體安全加載到裝置。幸運的是，有一些可用的替代解決方案。

其中一種更直接的解決方案是完全省略金鑰佈建。Maxim Integrated DeepCover 系列中的 DS28E38 元件採用 Maxim Integrated 基於物理不可仿製功能 (PUF) 硬體的 ChipDNA 技術打造。此類具有 PUF 功能的裝置會自行生成唯一識別，用於建立無法從外部元件引腳進入的私鑰。

Microchip Technology 的零接觸安全佈建套件 (AT88CKECC-AWS-XSTK-B-ND) 等開發系統包括 Microchip 的 ECC508 身份驗證晶片，可針對佈建預先配置，提供將 IoT 裝置連接到 Amazon Web Services (AWS) 所需的憑證。

那麼如何在無法使用基於 PUF 的自生成身分的客製化設計中佈建私鑰和可信賴微控制器 (MCU) 韌體呢？

安全佈建

在某些情況下，開發人員可以使用 MCU 製造商的開發環境，在可支援的 MCU 上產生和佈建這些資產。例如，NXP Semiconductors 的 MCUXpresso Secure Provisioning Tool 可讓開發人員透過圖形介面或命令行腳本存取公司的開源安全配置軟體開發套件 (SDK) (圖 1)。

圖 1：NXP Semiconductors 的 MCUXpresso Secure Provisioning Tool 為其開源安全佈建 SDK 提供介面。(圖片來源：NXP Semiconductors)

STMicroelectronics 提供一項解決方案，旨在幫助開發人員在使用第三方委託製造商時，使用該公司的 STM32 處理器，協助保護設計中的程式碼和資料。開發人員可使用 STM32 Trusted Package Creator 軟體工具產生加密圖像，並將金鑰儲存在 STMicroelectronics 的 STM32HSM HSM 智慧卡中。收到加密圖像和 HSM 智慧卡後，委託製造商使用 STM32 Cube Programmer 將金鑰和韌體安全地佈建到支援 SFI 的 x 和 y 等 STM32 元件上 (圖 2)。

圖 2：開發人員可以使用 STMicroelectronics 的 STM32 Trusted Package Creator 軟體和 STM32HSM HSM 智慧卡將安全資產安全地傳輸給第三方製造商。(圖片來源：STMicroelectronics)

針對使用其他裝置進行開發，IAR Systems 提供與 IAR Embedded Workbench 整合的 Secure Desktop Provisioner。Secure Desktop Provisioner 由 Secure Thingz 業務部門開發，是從安全開發到原型設計、生產和後續更新的開發流程的一部分 (圖 3)。

圖 3：IAR Systems 的開發流程允許設計將開發金鑰和韌體佈建至原型，然後安全地將資產轉移到製造，再由生產金鑰替換開發金鑰。(圖片來源：Renesas)

在 IAR Embedded Workbench 中作業，開發人員使用 Secure Desktop Provisioner 軟體工具在初步原型設計階段提供金鑰和韌體。設計就緒，準備進行初始製造和量產時，韌體資產將轉移給製造合作夥伴，開發金鑰將替換為使用安全設備佈建的安全生產金鑰。

結論

為了實作物聯網裝置等安全連接系統，開發人員不僅需要運用專門的安全晶片和處理器，還需要保護底層的金鑰和可信賴韌體。幸運的是，在生產關鍵佈建階段，有多種解決方案可保護這些資產。