보안 제품군은 IoT 위협을 완화하기 위해 작동합니다.

칩 공급업체에 사물 인터넷(IoT) 보안에 대해 이야기할 때 설계자와 제조업체가 보안을 심각하게 고려하지 않는다는 불만이 항상 있습니다. 일반적인 이유는 그것이 제품 비용에 추가되기 때문이며, 그것이 정말로 필수적인 것이 아니라면 왜 누군가가 그것을 추가하겠습니까? 또는 보안이 처음부터 설계되지 않은 경우가 많기 때문에 나중에 추가하면 장치가 여전히 쉽게 손상될 수 있다는 다른 의견이 있습니다.

그러나 전 세계의 정부 기관은 점차적으로 전자 시스템의 보안에 관한 법률을 도입하고 있습니다. 이러한 조치에는 2020년 1월에 발효된 캘리포니아의 SB-327; 소비자 IoT용 사이버 보안을 다루는 유럽의 ETSI 표준 그리고 영국 정부가 제안한 소비자 IoT 보안에 관한 새로운 법률. 한편 공급업체는 IoT 보안에 대한 인식을 높이는 데 앞장서고 있습니다.

이번 주 그러한 발표 중 하나는 IoT 장치용 무선 SoC(시스템 온 칩)에 대한 새로운 하드웨어 기반 보안 기능을 발표한 Silicon Labs의 발표였습니다. Secure Vault 기술은 연결된 장치 제조업체가 증가하는 IoT 보안 위협 및 규제 압력을 해결할 수 있도록 설계된 새로운 고급 보안 기능 제품군입니다. Wireless Gecko Series 2 플랫폼에서 이를 구현했으며, 보안 소프트웨어 기능과 PUF(물리적 복제 방지 기능) 하드웨어 기술을 결합하여 IoT 보안 침해 및 지적 재산 침해의 위험을 줄였습니다.

Silicon Labs에 따르면 Secure Vault의 하드웨어 기능은 비용 효율적인 무선 SoC 솔루션에 구현된 최적화된 수준의 보안을 제공합니다. 전용 코어, 버스 및 메모리를 포함한 보안 하위 시스템은 호스트 프로세서와 분리되어 있습니다. 이러한 하드웨어 분리는 보안 키 저장소 관리 및 암호화와 같은 중요한 기능을 자체 기능 영역으로 분리하여 전체 장치를 보다 안전하게 만듭니다. 보안 기능의 새로운 조합은 유럽의 GDPR 및 캘리포니아의 SB-327과 같은 새로운 규제 조치를 해결하기 위해 노력하는 회사에 이상적입니다.

이것이 TEE(신뢰할 수 있는 실행 환경)를 포함하여 시장에 나와 있는 다른 보안 기능과 어떻게 다른지 궁금했습니다. Silicon Labs의 IoT 보안 제품 마케팅 수석 이사인 Gregory Guez는 EE Times에 이렇게 말했습니다. , “Secure Vault의 아키텍처는 실제로 TEE와 유사하지만 실제로 소프트웨어가 아닌 하드웨어에서 달성되는 보안 요소와 고객 애플리케이션 간의 격리 계층을 제공합니다. 또한 Arm Cortex M33(TrustZone 포함) 애플리케이션 코어를 통해 장치가 PSA를 준수할 수 있습니다. 우리는 다른 회사가 키 관리(종종 제한된 저장 영역)를 제공할 수 있다는 데 동의하지만 Secure Vault 구현은 PUF 기술을 기반으로 하며 암호화를 통해 보안 키 저장을 제공하고 전체 메모리 공간에서 사용할 수 있습니다.”

또한 그는 암호화된 키가 구성 가능한 감지기 및 응답의 완전한 세트를 통해 변조로부터 보호된다고 설명했습니다. “Secure Vault는 무선 스택에서 활용하는 보안 키 스토리지를 제공하여 표준화된 프로토콜 위에 추가 보호 계층을 제공합니다. Secure Vault는 기기의 진위 여부를 확인할 수 있는 인증서 형식의 보안 ID, IoT 시장에서 꼭 필요한 기능, 모든 것을 인증해야 하는 요구 사항이 함께 제공됩니다.”라고 말했습니다.

하드웨어 기반 보안은 종종 IoT 보안에 대한 가장 적절한 접근 방식으로 간주되지만 더 많은 문제가 있습니다. Omdia의 수석 사이버 보안 분석가인 Tanner Johnson에 따르면 “내장형 보안은 IoT 제품의 핵심 요구 사항이며 소프트웨어 업데이트만으로는 안전하지 않은 하드웨어에 존재하는 모든 취약점을 해결할 수 없습니다. 결과적으로 하드웨어 구성 요소는 특히 IoT 제품 보안을 목표로 하는 새로운 법안으로 장치 보안을 위한 최전선 방어를 구성할 수 있습니다.”

Silicon Labs는 Secure Vault가 제품 제조업체가 브랜드, 디자인 및 소비자 데이터를 보다 쉽게 ​​보호할 수 있도록 하는 하드웨어 및 소프트웨어 기능의 조합을 통해 IoT 보안을 발전시킨다고 말했습니다. 무선 SoC 내에 보안 시스템을 통합하면 설계자가 개발을 단순화하고 제품 수명 주기 전반에 걸쳐 연결된 장치를 무선으로 안전하게 업데이트할 수 있습니다. 연결된 제품에 신뢰할 수 있는 정품 소프트웨어 또는 펌웨어를 제공하면 예상치 못한 악용, 위협 및 규제 조치를 완화하는 데 도움이 됩니다.

Silicon Labs는 Secure Vault가 IoT 보안의 4가지 기둥인 기밀성(제안된 대상에서만 데이터를 읽을 수 있도록 보장), 인증(가상 발신자가 실제 발신인인지 확인), 무결성(원본 메시지의 정보를 보장하는지 확인)을 해결하기를 희망합니다. 그대로 유지됨) 및 개인 정보를 보호합니다. 현재 제공하는 주요 보안 기능에는 보안 장치 ID 제공, 보안 키 관리 및 저장, 고급 변조 감지가 포함됩니다.

보안 장치 ID는 연결된 장치의 가장 큰 문제 중 하나인 배포 후 인증을 해결합니다. 선택적 보안 프로그래밍이 포함된 Silicon Labs의 공장 기반 신뢰 프로비저닝 서비스는 IC 제조 중 출생 증명서와 유사한 보안 장치 ID 인증서를 각 개별 실리콘 다이에 제공하여 배포 후 보안, 진위성 및 증명 기반 상태 확인을 가능하게 합니다. 장치 인증서는 칩의 수명 동안 신뢰성을 보장합니다.

Secure Vault는 PUF(이미지:Silicon Labs)를 사용하여 생성된 마스터 암호화 키를 사용하여 암호화된 키와 함께 보안 키 저장소를 제공합니다.

둘째, 장치 및 데이터 액세스에 대한 보안 체계의 효율성은 키 비밀성에 직접적으로 의존합니다. Secure Vault를 사용하면 키가 암호화되고 애플리케이션 코드에서 분리됩니다. 모든 키가 PUF를 사용하여 생성된 마스터 암호화 키를 사용하여 암호화되므로 거의 무제한의 보안 키 저장소가 제공됩니다. 전원 켜기 서명은 단일 장치에 고유하며 전원 켜기 단계에서 마스터 키가 생성되어 마스터 키 저장을 제거하여 공격 벡터를 더욱 줄입니다.

변조 감지와 관련하여 회사는 이 기능이 구현하기 쉬운 제품 인클로저 변조 방지에서 전압, 주파수 및 온도 조작을 통한 정교한 실리콘 변조 감지에 이르기까지 광범위한 기능을 제공한다고 말했습니다. 해커는 이러한 변경 사항을 사용하여 하드웨어 또는 소프트웨어가 예기치 않게 작동하도록 하여 결함 공격에 대한 취약성을 만듭니다. 구성 가능한 변조 대응 기능을 통해 개발자는 인터럽트, 재설정 또는 극단적인 경우 비밀 키 삭제와 함께 적절한 대응 조치를 설정할 수 있습니다.

Secure Link는 마이크로컨트롤러와 Wi-Fi 칩 간의 인터페이스를 암호화하여 공격자가 인터페이스를 분석하여 네트워크 SSID와 패스키를 학습하여 네트워크에 액세스하는 것을 방지합니다. (이미지:Silicon Labs)

Secure Vault의 다른 기능에는 롤백 방지 및 보안 링크가 있습니다. 전자는 패치된 결함을 다시 노출하기 위해 디지털 서명된 오래된 펌웨어가 장치에 다시 로드되는 것을 방지합니다. 이것은 공격자가 이전 펌웨어 버전의 보안 결함을 알고 있는 경우 발생할 수 있습니다. 후자는 마이크로컨트롤러와 Wi-Fi 칩 사이의 인터페이스를 암호화하여 공격자가 네트워크에 액세스하기 위해 네트워크 SSID와 패스키를 학습하기 위해 인터페이스를 분석하는 것을 방지합니다. 암호화된 인터페이스는 세션당, 장치별로 Diffie-Hellman 알고리즘 키 교환을 사용하며 링크는 지정된 장치에서 고유하게 보호되고 키가 각 전원 주기마다 재생성됩니다. 따라서 키가 자주 재설정되고 양도할 수 없기 때문에 링크를 악용하는 것은 더 복잡합니다. 또한 보안 통신을 활성화하기 전에 키를 상호 인증해야 하므로 신뢰할 수 없는 상대방과의 통신을 방지할 수 있습니다.

Silicon Labs는 현재 2020년 2분기 말에 출시될 예정인 새로운 Secure Vault 지원 무선 SoC를 샘플링하고 있습니다.