IoTが急速に普及している世界では、セキュリティは重大な懸念事項であり、開発者はこの問題に対処するための効果的なセキュリティ ソリューションを常に探しています。ハードウェア ベースのシステムは通常、ソフトウェア ベースのシステムに比べてIoTシステムに対してより完全な保護を提供します。そのため、Microchipはコスト効率に優れた低消費電力のセキュリティ コプロセッサの形で強力なセキュリティ メカニズムを開発しました。これらのソリューション(あらゆるMPUまたはMCUと互換性があり、組み込みシステムにセキュリティを迅速に実装できます)の詳細を確認し、Microchipの効率的で効果的なセキュリティ コプロセッサ ラインを使用したIoTアプリケーション向けのハードウェア ベースのキー ストレージの可能性を発見してください。
モノのインターネット (IoT) のセキュリティ保護は、特にセキュリティ侵害の新たな事例が明らかになるにつれて、現在注目されている話題となっています。高速道路を時速70マイルで走行していた車両がハッカーに乗っ取られたり、飛行中の飛行機が機内エンターテイメント システムを介してハッキングされたり、スペインのスマート メーターが電力窃盗のために侵害されたりしたという話により、IoTセキュリティは消費者だけでなく組み込み設計者にとっても大きな懸念事項となっています。スマートな接続デバイスの価値と利点は、それらに伴う可能性のあるセキュリティ問題に関する不確実性によって影を潜めてきました。
IoTのセキュリティ要件は、従来の組み込み設計の要件とは根本的に異なります。これは、小型でインテリジェントなIoTノードが、人間とのやり取りを制限したり、まったく行わずにエコシステムに対して認証できなければならないためです。これを実行するには、暗号化された資格情報をデバイス自体に保存する必要があります。エッジ ノードは物理的にアクセス可能であることが多いため、これらの資格情報はハッカーに公開される危険があります。
IoT設計を保護するための3つの主要な柱は、認証、暗号化、セキュリティ キーの保存です。認証と暗号化はセキュリティ方程式において同様に重要な構成要素ですが、 暗号化だけではIoTアプリケーションのセキュリティが確保されないことを認識することが重要です。一般的に、複雑な認証および暗号化システムをハッキングするのは非常に困難で時間がかかるため、ハッキングのほとんどは、偽のデバイスを使用して秘密鍵が保存されている領域に侵入することによって実行されます。これらのセキュリティ キーを紛失すると、認証および暗号化プロセスに重大な影響が及びます。つまり、ハッカーが鍵を入手すると、他の2つの保護メカニズムも危険にさらされたり、侵害されたりする可能性があります。したがって、IoTシステムの強度は、実際には秘密鍵の保存に使用されるプロセスの強度によって決まります。
図1. IoTの世界の多様性により、新しいセキュリティ パラダイムが求められています。
この課題に対処するために、組み込み設計エンジニアには、IoTプロジェクトにセキュリティを実装するための2つのオプションがあります。 ソフトウェア ベースのソリューションとハードウェア ベースのソリューションです。ソフトウェアベースのソリューションは柔軟性に優れているという利点がありますが、一般的にIoTシステムのニーズを満たしません。ハッカーやなりすまし犯はソフトウェアのバグを悪用してデバイスのネットワークに侵入する可能性があります。パッチを使用してソフトウェアを更新することは、一時的な解決策しか提供できない一時しのぎの手段です。一方、 ハードウェア ベースのシステムは、ソフトウェア ベースのシステムよりもなりすましやハッキングがはるかに困難であるため、より完全なセキュリティ ソリューションとなります。
IoTのハードウェア セキュリティ ブループリント
IoT 設計では、認証と暗号化のセキュリティ要素を開発サイクルのかなり早い段階で実装する必要があります。したがって、堅牢なセキュリティ ロードマップを作成するには、IoT開発者がエンドツーエンドのエコシステムを明確に理解することが重要です。 ハードウェア セキュリティに対する従来のアプローチでは、マイクロプロセッサ (MPU) またはマイクロコントローラ (MCU) の上にセキュリティ スタックを構築します。ただし、セキュリティ操作を実行するには、かなりの量の計算能力が必要です。たとえば、アプリケーションとファームウェアの認証を高速化するには貴重なCPUサイクルが必要になります。その結果、中央のMPUまたはMCUを中心に構築されたハードウェア ソリューションは、計算集約型の認証によってシステム全体に負担がかかり、最終的にはデバイスのパフォーマンスが低下するため、成功は限られています。また、プロセッサ上に構築されたセキュリティ ソリューションでは、通常、秘密キーがメモリに保存されるため、巧妙なハッカーがスヌーピングなどの侵入メカニズムを介してアクセスする可能性があります。セキュリティ コプロセッサまたは暗号化要素は、この設計上の難問を解決するのに役立ちます。
セキュリティコプロセッサの登場
セキュリティ コプロセッサは、メインのマイクロプロセッサまたはマイクロコントローラからセキュリティ タスクの負荷を軽減する独立したチップであり、認証を高速化し、製品設計全体への負担を軽減します。暗号要素は、IP盗難、クローン作成、過剰構築、リバース エンジニアリング、不正コードによるIoTデバイスへの感染など、さまざまなセキュリティ脅威に対する保護を提供します。
IoTノードまたはゲートウェイは、一方の端で大量のセンサーやその他の「モノ」を処理し、もう一方の端でリソースに敏感なクラウド コンピューティングを処理する中枢神経系です。 秘密鍵が保護されたハードウェアに保存されている場合にのみ、真に安全になります。 ノードまたはゲートウェイ設計でセキュリティ コプロセッサを使用すると、秘密鍵、証明書、その他の機密セキュリティ データが保護され、認証が保証され、ソフトウェア、ハードウェア、バックドア攻撃に対する保護が実現します。
図2. 暗号要素により、小型で低コストのIoTノード で強力な暗号化セキュリティを実装できます。
セキュリティ コプロセッサはコスト効率に優れた追加機能であり、その暗号化要素は消費電力が非常に低いため、IoT設計には不可欠です。セキュリティ コプロセッサの使用を検討するその他の理由としては、次のものが挙げられます。
- • ハードウェア暗号化アクセラレーションを搭載しており、IoTノードの中央プロセッサから暗号化コードと計算をオフロードしながら強力な認証を実行します
• キーのプロビジョニング、つまりセキュリティ キーや証明書などのその他のセキュリティ機能を製品にロードするプロセスを効率的に処理することで、製造プロセスを簡素化します
• 固有のキーと証明書が事前にロードされているため、製造プロセス全体で暗号化キーが安全であり、メーカーのサプライ チェーンの複雑さも軽減されます
• ハードウェア セキュリティ モジュール (HSM) を使用する従来のアプローチに代わるものです。HSMでは、データベース アプローチを使用してキーを保存、保護、管理するだけでなく、インフラストラクチャとロジスティクスに多大な投資が必要になります
• また、コンピューター業界にルーツがあり、低価格のIoTエッジ アプリケーションには適していないTrusted Platform Module (TPM) チップを置き換えることもできます。セキュリティ コプロセッサは、認定IDプラットフォームを容易にし、IoTノードからクラウドまでの環境に、より小規模でも導入できます。
図3. セキュリティ コプロセッサまたは暗号要素は、メインMCUから認証タスクの負荷を軽減します。
完全なIoTセキュリティプラットフォーム
IoTセキュリティ パラダイムは、 複数のデバイス タイプが多数の有線および無線インターフェイスを介して相互に通信するなど、ある程度流動的なターゲットであるため、IoT開発者は、TPMや セキュア ハッシュ アルゴリズム (SHA) などの暗号化ハードウェアとセキュリティ標準で長年の経験を持つチップ サプライヤーの専門知識に依存しています。マイクロチップは、あらゆるMPUやMCUと互換性のあるセキュリティコプロセッサを提供するだけでなく、強力な開発ツールも提供しています。 実装をお手伝いします セキュリティコプロセッサ 組み込みシステムに素早く導入できます。
ATSHA204A暗号要素は、主にコスト重視の組み込みアプリケーションを対象としており、SHAベースの対称認証に基づいており、4.5KバイトのEEPROMを使用します。 ATAES132A暗号要素は、 Advanced Encryption Standard (AES) に基づいており、32Kバイトの安全なシリアルEEPROMを備えており、より高速な対称認証を実現します。
ATECC508A暗号エンジン は、楕円曲線暗号 (ECC) を使用して、ホームオートメーション、産業用ネットワーキング、医療などのIoTアプリケーション向けの安全なハードウェアベースのキーストレージを作成します。これは、 保護されたキー ストレージと、 楕円曲線デジタル署名アルゴリズム (ECDSA) による相互認証や、 楕円曲線 Diffie-Hellman (ECDH) 技術によるキー共有を含む、ECC暗号スイートのハードウェア アクセラレーションを採用しています。また、ハードウェアTLS (HW-TLS) プラットフォームを利用して、安全なストレージを確保します。 ATECC508Aは、CryptoAuth Xplained Pro 評価および開発キットをサポートし、 CryptoAuthLib sソフトウェア サポート ライブラリと連携します。ATECC508Aは、ハードウェアベースのセキュリティ ソリューションが高価である必要がないことを証明し、ITの人件費とライセンス料を最小限に抑え、大量のIoTアプリケーションに非常に魅力的な価格で提供されます。
図4. ATECC508A暗号要素は最初に独自のキーを生成し、次にECC操作を実行してIoTノードを認証します。
IoTシステム設計に世界クラスのコスト効率に優れた組み込みセキュリティ ソリューションが必要な場合は、AtmelセキュリティIC のWebページにアクセスして、当社のハードウェア ベースのセキュリティ デバイスがコストを削減し、あらゆるシステム設計の信頼性を確保する方法の詳細をご確認ください。