Uç cihazlar, her yıl dağıtılan en yaygın IoT cihazlarıdır, ancak her uç cihaz, bir bilgisayar korsanı için potansiyel bir erişim noktası ekler. Bu uç cihazlar tipik olarak sıcaklık veya konum gibi verileri toplayan ve ardından verileri bir bulut hizmetine veya dahili sunucuya göndermek için yerel ağlara bağlanan sensörlerdir. Çok sayıda uç cihaz ve bunların ağlara sağladıkları erişim ile, güvenliklerinin önemi küçümsenemez.
IoT cihaz güvenliği mikrodenetleyici ile başlar. Güvenli değişmez önyükleme ve kurcalamaya karşı direnç gibi mikro denetleyiciye entegre edilmesi gereken birçok güvenlik önlemi vardır. Bağlı bir cihazla güvenli bir şekilde iletişim kurmak için başka bir önemli gereksinim, cihaz doğrulama, yani kimlik kanıtıdır. Bu kimlik benzersiz olmalıdır. Kimlik oluşturulduktan ve kanıtlandıktan sonra, güvenli bir iletişim bağlantısı oluşturulabilir. Bağlantı, kriptografik anahtarlar kullanılarak şifrelenir. Hem cihazın kimliği hem de şifreleme anahtarları, 'tohum' dediğimiz rastgele sayılardan türetilmiştir. Güvenli bir mikro denetleyici, benzersiz bir kimlik ve şifreleme anahtarları birlikte bir Güven Kökü (RoT) oluşturur. RoT, bir IoT ağı içindeki güvenliğin temelidir.
RoT, Yarı İletken Çipte Nasıl Gömülür?
Bir mikrodenetleyici içinde RoT oluşturmak için iki temel metodoloji vardır. En yaygın olanı, Donanım Güvenlik Modülü (HSM) adı verilen harici bir bilgisayar kullanır. Bu, rastgele sayılar ve kriptografik anahtarlar oluşturmaya ve bu anahtarların yönetimine adanmış bir bilgisayardır. Anahtarlar, mikrodenetleyicide harici olarak oluşturulur ve bir programlama arabirimi kullanılarak 'anahtar enjeksiyonu' olarak bilinen bir işlem olarak ona programlanır. Arayüzün çoğu zaman şifrelenemediği için anahtar yerleştirmeyle ilgili tipik güvenlik sorunları vardır.
Diğer metodoloji, çipin kendisinin benzersiz değerler ürettiği ve bunları kriptografik anahtarlara dönüştürdüğü yerdir. Tipik olarak, mikrodenetleyici, rastgele tohumlar oluşturmak için üretim süreci sırasında ortaya çıkan rastgele fiziksel varyasyonları kullanabilir. Bu işlem varyasyonları, Fiziksel Klonlanamayan İşlevler veya PUF'ler olarak adlandırılır. PUF'ler, daha sonra bir anahtar oluşturma hızlandırıcısı tarafından kimliklere ve kriptografik anahtarlara dönüştürülebilen rastgele tohumlar üretir; bu, zaten mikro denetleyiciye entegre edilmiş bir çevresel devre işlevidir.
Anahtar Enjeksiyonu Hakkında Daha Fazla Bilgi
Özel programlama ekipmanına duyulan ihtiyaç nedeniyle anahtar enjeksiyonu nispeten pahalı olabilir. Genellikle bu, HSM'lerle yakından bağlantılı programcıları kullanan uzman bir programlama evi tarafından sağlanır. Üçüncü bir tarafla uğraştığınız için, bu bir güvenlik riski doğurur ve metodoloji, güvenlik uzmanlarının üçüncü tarafların katılımından kaçınarak güvenliğe sıfır güven yaklaşımı benimsemeye yönelik en son tavsiyelerine aykırıdır.
Enjekte edilen anahtarların cihazın içindeki hafızada saklanması gerekir. Genellikle kalıcı bellekte depolanırlar ve ardından mikro denetleyicinin içindeki donanım güvenlik teknolojisiyle korunurlar. Örneğin, Arm'ın TrustZone teknolojisi, yürütme ortamını güvenli ve güvenli olmayan bellek, çevre birimleri ve işlevlere ayırır. Bu tür önlemler alınsa bile, anahtarlar yalnızca cihazdaki standart flash bellekte kaldıkları için kötü niyetli kişiler tarafından okunmaya karşı savunmasız olabilir. Başka bir güvenlik açığı, anahtarların genellikle şifrelenmemiş bir bağlantı üzerinden cihazlara aktarılmasıdır ve bu da onları saldırılara maruz bırakabilir.
PUF'ler Bazı Güvenlik Risklerini Nasıl Ortadan Kaldırır?
PUF'lere daha ayrıntılı bakalım. SRAM PUF, birinci nesil PUF teknolojisinin güzel bir örneğidir. SRAM, çoğu mikrodenetleyici ve mikroişlemciye gömülüdür. Bu yongaları çalıştırdığınızda, SRAM hücrelerinin her biri sıfır veya bir durumu alır. Hangi duruma yerleştikleri, silikon gofretin küçük fiziksel varyasyonlarına bağlıdır. Varyasyonlar rastgeledir ve kriptografik anahtarlar oluşturmak için kullanılabilecek tohumları oluşturmak için kullanılır. Bir cihazdaki SRAM, o mikrodenetleyicinin parmak izi olur ve ona benzersiz bir kimlik sağlar. SRAM PUF'ları zaten bir mikro denetleyicide bulunan bellek teknolojisini kullandığından, PUF'yi çalıştırmak için yalnızca bazı yazılımlara ihtiyacınız vardır.
Flash bellek, başka bir PUF türüdür. Flash bellek, çoğu mikrodenetleyicide zaten mevcuttur. Flaş hücreler, her bir bellek hücresi içindeki transistörlerin kapılarının silikon oksit yalıtım katmanında bir miktar bozulmaya neden olan noktaya kadar aşırı yüklenerek 'programlanır'. Her bir flaş hücreyi oluşturan iki transistör arasındaki uyumsuzluk nedeniyle, ya bir ya da bir sıfır alırsınız. Bu tür bir teknolojide geçit oksit kırılmasını indüklemek için yüksek bir voltaja ihtiyacınız vardır, bu nedenle bir başlangıç programlama aşaması vardır, ancak program tamamlandığında, o flaş hücresinde okuyabileceğiniz rastgele veriler alırsınız. Bu biraz hazırlık gerektirir, ancak yine mikrodenetleyici veya mikroişlemcide bulunan teknolojiden yararlanır.
Bu Birinci Nesil PUF Teknolojilerinin Artıları ve Eksileri
Önce SRAM varyantına bakalım. Önemli bir avantajı, mikrodenetleyiciye anahtar enjekte etmek zorunda kalmamanızdır. Anahtarları oluşturacak tohumlar, zaten çipte bulunan SRAM'ın kendisi tarafından oluşturulur. Anahtarlar bellekte değil, SRAM hücrelerinin fiziksel yapısında saklanır. Bu, çipin hacklenmesini zorlaştırır.
SRAM PUF teknolojisi, Intel, Microsemi, NXP ve Xilinx dahil olmak üzere birçok yarı iletken üreticisi tarafından kullanılmaktadır. Bununla birlikte, teknolojinin sınırlamaları vardır; bunlardan biri, genellikle yalnızca bir tohum üretilme eğiliminde olmasıdır. Birden çok şifreleme anahtarı istiyorsanız, bunları bu ortak tohumdan oluşturmanız gerekir; bu, bunların matematiksel olarak bağıntılı oldukları ve bu ilişkinin var olmamasından daha az güvenli oldukları anlamına gelir.
Diğer bir uzlaşma, hücrelerin her zaman aynı tercih edilen durumda başlamamasıdır. Bu, hücrelerden oluşturmak istediğiniz tohumun kararlı ve tekrarlanabilir olduğundan emin olmak için hata düzeltmeye ihtiyacınız olduğu anlamına gelir. Tekrarlanabilirlik derecesi, belirli bellek üreticisine bağlıdır ve bazen bir SRAM tabanlı PUF'nin entropisi veya rastgelelik derecesi zayıf olabilir. Saldırıya karşı şüpheli bir direnç var. Kimlik bir SRAM hücresinin içinde olduğu için, akan akımları görüyorsunuz ve bu nedenle hücre, her hücrenin durumunu okumak için akım akışını ölçmek veya başka bir elektrik olgusunun kullanılabileceği yan kanal saldırısına duyarlı olabilir. SRAM PUF'ler ayrıca, açılış sırasında nispeten uzun bir kurulum süresinden muzdariptir ve bu, mikrodenetleyiciyi ve kullandığı IoT cihazını bu süre zarfında saldırılara açık hale getirir.
Şimdi flash bellek PUF'lerini ele alalım. Bir kez daha, cihaza anahtar enjekte etmeniz gerekmez ve zaten mikrodenetleyicide bulunan flash bellekte tohumlar oluşturulur. Tohumlar belleğe programlandıktan sonra, basit bir okuma kullanarak bunları düşük gecikmeyle çıkarabilirsiniz. İşlem, hata düzeltmeye ihtiyaç duymaz çünkü flash hücre programlandıktan sonra durumu değişmez.
Tabii ki, tohumları bellekte depolamak, saldırıya açık oldukları anlamına gelebilir ve flash bellek PUF'lerinin bir başka dezavantajı, işleme yüksek voltajlar vermek için gerekli olan bir şarj pompası gereksinimi nedeniyle ek silikon alanı yüküdür. yarı iletkenin oksit tabakasını yırtın. SRAM PUF'leri gibi, flash bellek PUF'leri de bağımsız, özel bir güvenlik devre bloğuna dayalı değildir. Flash belleğin amacı değiştirildiğinden, diğer işlevler için kullanılamaz. Ayrıca nispeten uzun bir kurulum süresi vardır çünkü belleği oksit tabakasının yırtılmasına neden olacak şekilde programlamanız gerekir.
İkinci Nesil PUF'ler IoT Güvenliğini Nasıl Artırır?
İkinci nesil PUF'ler, güvenlik için özel olarak tasarlanmış ve standart CMOS süreçleri için optimize edilmiş silikon IP bloklarıdır. Tipik olarak, bir parmak izinin çıkarıldığı her cihazın CMOS işleminde pişirilen 64'e 64 hücre dizisinden oluşurlar. Bu parmak izinin rastgele doğası, dizideki CMOS transistörlerinin silikon oksit tabakasındaki nanoyapıların atomik konumlarına ve kusurlarına dayanmaktadır. IP içindeki devreler, her transistör çiftinin oksit tabakası boyunca kuantum tünelleme akımını ölçer. Tünelleme akımının olasılıklı, rastgele doğası, parmak izinin bir ve sıfırlarını oluşturur. Ölçülen akımlar femto amper sırasına göredir. Bu akımlardaki varyasyonlar, isteğe bağlı olarak kriptografik anahtarların da oluşturulabileceği benzersiz, değişmez ve klonlanamaz çip kimlikleri üretmek için kullanılan rasgele sayıları üretir.
Bu ikinci nesil PUF'ler, mümkün olan en yüksek güvenliği sağlar. İlk olarak, yüksek entropi veya rastgelelik sergilerler. Bu, olasılıksal bir kuantum etkisini ölçtüğünüz için garanti edilir. 64'e 64 hücre dizisi içinde çok sayıda ilişkisiz anahtar üretirler ve anahtarlar talep üzerine üretilir, bu nedenle sızıntıya açık olabilecekleri bellekte depolanmaları gerekmez.
Teknolojinin bağımsız olarak test edilmesi, bilinen tüm saldırı yöntemlerine karşı güvenli olabileceğini ve EAL Seviye 4 güvenlik sertifikasını desteklediğini gösteriyor. Bir versiyon ayrıca PSA Seviye İki Hazır olarak PSA Sertifikalıdır. Tabii ki, SRAM ve flash bellek benzerleri gibi, ikinci nesil PUF'ler de anahtar enjeksiyon ihtiyacını ve bu sürece dahil olan güvenlik risklerini ortadan kaldırır. IP, minimum işlemci yükü tüketen küçük bir hata düzeltme algoritması ile kolayca telafi edilen maliyetleri minimumda ve düşük hata oranlarında tutmak için küçük bir silikon ayak izine sahiptir. Kanıtlanmış test çipleri bugün mevcuttur ve büyük yarı iletken şirketleri önümüzdeki aylarda bu ikinci nesil PUF'yi Güven Kökü teknolojisi olarak benimsediklerini açıklayacaklardır.
Yazar, Güven Kökü hakkında daha fazla bilgi veren ve buradan izlenebilecek bir video oluşturmuştur:
Plato Ai. Web3 Yeniden Düşünüldü. Güçlendirilmiş Veri Zekası.
Erişmek için buraya tıklayın.
Kaynak: https://www.iotforall.com/how-to-choose-an-affordable-rot-for-maximum-iot-security
