외부 플래시로부터 보안 부팅 보호 기능을 추가한 새로운 Microchip MCU

외부 SPI 플래시 메모리에서 부팅하는 운영 체제의 경우 Microchip Technology는 악성 루트킷 및 부트킷 맬웨어로부터 보호하는 최신 암호화 지원 마이크로컨트롤러(MCU)를 도입하여 NIST 800-193 지침을 준수하는 하드웨어 루트 오브 트러스트 보호로 보안 부팅을 가능하게 합니다.

확장되는 클라우드 컴퓨팅을 지원하는 새로운 셀룰러 인프라, 네트워크 및 데이터 센터를 포함한 5G의 성장과 함께 개발자는 운영 체제가 안전하고 손상되지 않도록 유지해야 합니다. 루트킷 맬웨어는 운영 체제가 부팅되기 전에 로드되며 일반적인 맬웨어 방지 소프트웨어로부터 숨겨져 탐지하기가 매우 어렵습니다. 루트킷을 방어하는 한 가지 방법은 보안 부팅을 사용하는 것입니다. 하드웨어 신뢰 루트를 사용한 보안 부팅은 위협이 시스템에 로드되기 전에 시스템을 보호하는 데 중요하며 제조업체가 신뢰하는 소프트웨어를 사용하여 시스템이 부팅되도록 허용합니다.

따라서 Microchip의 새로운 CEC1712 MCU는 Arm Cortex-M4를 기반으로 하는 3세대 장치이며 Soteria-G2 맞춤형 펌웨어는 런타임 전에 악성 펌웨어를 감지하고 중지하도록 설계되어 설계자가 보안 부팅을 신속하게 채택하고 구현할 수 있도록 합니다. Soteria-G2는 ROM(Read-Only Memory)에 구현된 CEC1712 변경할 수 없는 보안 부트로더를 신뢰의 시스템 루트로 사용합니다.

브리핑에서 Jeannette Wilson은embedded.com에 "우리는 SPI 플래시에서 부팅할 수 있는 모든 것을 목표로 하고 있습니다. CEC1712에는 최대 15k 코드까지 많은 코드 공간을 절약할 수 있는 중요한 하드웨어 암호화가 장치에 내장되어 있습니다. 이를 통해 훨씬 더 빠른 작업이 가능하므로 모든 검증을 70ms 이내에 완료할 수 있습니다.”

Microchip의 CEC1712 및 Soteria-G2 조합은 5G 및 데이터 센터 운영 체제에서 사전 부팅 중 악성 맬웨어를 방지하는 동시에 연결된 자율 주행 차량 운영 체제, 자동차 ADAS(Advanced Driver Assisted System) 및 기타 부팅 시스템을 위한 보안 인에이블러이기도 합니다. 외부 SPI 플래시의.

CEC1712는 외부 SPI 플래시 메모리에서 부팅하는 운영 체제를 위한 사전 부팅 모드에서 하드웨어 루트 오브 트러스트 보호로 보안 부팅을 제공하는 것 외에도 현장 보안 업데이트를 가능하게 하는 작동 수명 동안 키 취소 및 코드 롤백 보호를 제공합니다. 이는 NIST 800-193 플랫폼 펌웨어 복원성 지침을 준수하는 데 중요합니다. 이 지침은 다음에 대해 보호, 탐지 및 복구 메커니즘이 마련되어 있다고 규정합니다.

윌슨은 OEM이 해킹을 당했을 때 키 해지가 중요하다고 말했습니다. 개인 키가 탈취되고 새 키가 발행되면 이전 키를 거부해야 합니다. "이것은 당연한 것처럼 들리지만 문제는 새 키를 도입하고 서명된 키를 거부하는 방법이기 때문에 들리는 것보다 더 어렵습니다."

CEC1712 보안 부트로더는 외부 SPI 플래시에서 CEC1712에서 실행되도록 펌웨어를 로드, 암호 해독 및 인증합니다. 검증된 CEC1712 코드는 후속적으로 첫 번째 애플리케이션 프로세서에 대해 SPI 플래시에 저장된 펌웨어를 인증합니다. 각각에 대해 지원되는 2개의 플래시 구성 요소와 함께 최대 2개의 애플리케이션 프로세서가 지원됩니다.

코드 실행은 CEC1712 ROM에서 시작되며, OEM의 개인 키로 SPI 플래시에 서명된 애플리케이션 코드는 MCU에서 코드가 인증될 때까지 프로세서를 리셋 상태로 유지하고, 그 후에 호스트 프로세서 SPI 플래시에서 인증된 코드를 로드하고 실행합니다. (이미지:마이크로칩)

고객별 데이터의 사전 프로비저닝은 Microchip 또는 Arrow Electronics에서 제공하는 옵션입니다. 사전 프로비저닝은 과잉 제조 및 위조를 방지하는 데 도움이 되는 안전한 제조 솔루션입니다. 이 솔루션은 최대 몇 개월의 개발 시간을 절약할 수 있을 뿐만 아니라 프로비저닝 물류를 크게 단순화하여 고객이 타사 프로비저닝 서비스나 인증 기관의 간접비 없이 장치를 쉽게 보호하고 관리할 수 있도록 합니다.

Wilson은 고객이 더욱 정교해졌지만 모든 사람이 보안에 대한 전문 지식을 갖고 있는 것은 아니라고 덧붙였습니다. "Soteria를 사용하면 보안 부팅 코드를 수행할 수 있습니다." 코드 개발은 MPLAB 통합 개발 환경(IDE) 도구 모음에서 수행됩니다.

CEC1712는 Microchip의 3세대 MCU이므로 CEC1702 MCU와의 주요 차이점은 무엇입니까? Wilson은 이전 세대는 완전한 중복 부팅을 수행할 수 없었지만 CEC1712는 이와 관련하여 NIST 800-193 요구 사항을 완전히 충족한다고 말했습니다. 또한 키 해지 및 코드 롤백 보호 외에도 새로운 MCU는 4바이트 SPI 주소 모드를 지원하고 SHA-384 해싱(SHA-256과 반대)을 사용하는 부팅 ROM을 제공합니다. 또 다른 차별화는 게임의 프로그래밍 가능한 키패드와 같은 애플리케이션을 위해 Soteria-G2 펌웨어를 통해 사용자 정의할 수 있는 회로 내 사용자 프로그래밍 가능 OTP입니다.

CEC1712 및 Soteria-G2 패키지는 소프트웨어 및 하드웨어 지원을 위한 여러 옵션을 제공합니다. 소프트웨어 지원에는 Microchip의 MPLAB X IDE, MPLAB Xpress 및 MPLABXC32 컴파일러가 포함됩니다. 하드웨어 지원은 MPLAB ICD 4 및 PICkit 4 프로그래머/디버거를 포함한 프로그래머 및 디버거에 포함됩니다. CEC1712H-S2-I/SX는 4.02달러(Soteria-G2 펌웨어 포함)부터 시작하여 10,000개 수량으로 대량 생산이 가능합니다.

Wilson은 여러 고객이 이미 샘플링을 하고 있고 일부는 본격적인 생산을 진행 중이라고 말했습니다. 그녀는 고객이 중요한 서버 회사, 다기능 프린터 회사, 항공우주 및 방위 산업을 포함한다고 말했습니다. Microchip은 게임, 자동차, 컴퓨터/노트북 고객도 대상으로 하고 있습니다.