PSA 3 級認證是什么及其重要性
Silicon Labs 3的 PSA 認證級別
Silicon Labs 最近通過著名的平臺安全架構 (PSA) 獲得了最高級別的認證(參見新聞稿)。3 級 PSA 認證旨在為具有強大安全功能的物聯網芯片提供實驗室評估,對瞄準連接設備的芯片供應商來說,是一個重要的里程碑。我們實際上是率先實現這一目標的芯片供應商,但它意味著什么,為什么任何設備制造商都應該關注?
?
什么是平臺安全架構 (PSA) 認證?
在 Arm 開發 PSA 認證并與全世界分享之前,主要由每個芯片供應商開發自己的安全系統。當然,這導致在描述不同解決方案時出現不同程度的魯棒性和令人困惑的術語。作為回應,Arm 花了幾年時間與半導體領域的安全專家交談,并提出了一個通用架構,將所有這些好想法都納入到一個單獨的安全架構規范中,他們將這些架構命名為“平臺安全架構”,其使命是在安全的微控制器中提供他們所稱的“硬件信任根”。
?
“硬件信任根”理念的一些租戶是職能部門,包括:
- 安全啟動,確保芯片上運行的初始代碼是可信的
- 密鑰等安全存儲
- 用于更新安全可信代碼的安全方法
- 安全隔離安全代碼與非安全代碼庫的方法
- 可靠的加密技術
- 安全調試端口
?
解釋 PSA 認證級別
如果 Arm 止步于此,客戶仍然會接受芯片供應商關于其 PSA 實施的說法。Arm 認識到了這一點,并創建了 PSA 認證流程。他們成立了 psacertified.org,安全認證行業的其他巨頭也加入了進來,包括 Brightsight、Riscure、UL Security Solutions 和 TrustCB。
PSA Certified 的首要任務是編寫簡化的保護配置文件,首先將 PSA 架構作為基本要求,然后在此基礎上添加保證級別。保護配置文件定義了供應商在特定組件中聲稱的“什么”安全性。保證級別僅指評估或測試保護配置文件中安全功能的級別或程度。
?
1 級 PSA 認證
因此,PSA 認證部門準備創建三個單獨的文檔。第一種是他們所稱的 1 級調查問卷,它是對供應商如何達到 PSA“信任根”的自我評估。本調查問卷提交給 TrustCB 進行審核,以防止操縱。另外兩份文件是針對軟件和物理攻擊的兩個不同保證級別的保護配置文件。
?
2 級 PSA 認證
到目前為止,最常見的攻擊是軟件攻擊,可以是本地攻擊(設備在您手中),也可以是遠程攻擊(您通過某種通信介質有線或無線連接到設備)。PSA 2 級保護配置文件專門針對可擴展的軟件攻擊,并詳細說明了防止此類攻擊所需的安全功能。PSA 2 級不僅僅是一份調查問卷,還需要獨立第三方實驗室花費特定時間,并嘗試使用各種方法來打破規定的 2 級安全功能。
?
3 級 PSA 認證
PSA 3 級增加了硬件攻擊(無論是本地攻擊還是遠程攻擊),這些攻擊歷來需要更多時間、經驗和更昂貴的設備來執行。因此,如果本地硬件攻擊不如軟件攻擊那么常見,那為什么 Silicon Labs 或任何其他供應商要費盡周折獲得這種高級別認證呢?答案是,市場上有一些工具可以通過降低物理攻擊所需的經驗和設備成本,有效地消除了這兩個障礙。例如,NewAE 有一款名為 ChipWhisperer 的產品,您只需花費 3,800 美元就能獲得入門套件,該工具包可以通過在設備中竊取用于加密操作的密鑰,從而進行一些非常有效的旁路分析攻擊。這家公司還以 3,300 美元的價格銷售一款名為 ChipShouter 的工具,這是一種廉價的 EMF 故障注入工具,它可能導致產品中的軟件出現故障(通常稱為故障攻擊),并允許在產品中注入惡意軟件或執行解鎖鎖定調試端口的操作。我確信在暗網上還有更先進的工具,甚至更致命,這些只是任何人都可以輕易買到的工具示例。
?
對物理攻擊不采取行動的安全風險越來越大
有了這些相對便宜的工具,犯罪集團很容易對品牌、生態系統或公司的利潤造成嚴重損害。如果你是有組織的網絡罪犯,一種簡單的賺錢方法是竊取公司的知識產權,并將其出售給擁有資源制造這些設備仿制品的人。據估計,網絡上銷售的消費電子設備中有 10% 是假冒偽劣品,包括 Wi-Fi 路由器等復雜的設備。公司試圖通過鎖定調試端口來防止 IP 被盜,以防止有人直接轉儲產品的全部內容。借助 ChipShouter 工具,您只需對鎖定調試端口和吊桿的軟件執行故障攻擊,所有 IP 就會溢出。
另一個例子可能是,您為生態系統制定了復雜的認證程序,以防止流氓設備或偽造設備加入您的網絡。這需要設備中的安全身份和安全握手來驗證您的設備是否真實。借助 ChipWhisper 和真正的設備,您可以竊取該秘密身份并輕松克隆設備。
?
Silicon Labs 的物聯網安全
Silicon Labs 致力于預測客戶的安全需求,并在它們成為問題之前加以解決。因此,我們采用了 PSA 架構并獲得了最高級別的認證,以創造能夠主動領先于這種“網絡黑手黨”的產品,而不是在遭受嚴重破壞后被迫做出反應。
有關 Silicon Labs 如何確保物聯網安全的更多信息,請訪問 silabs.com/security。
分享
