保护物联网：公钥加密保护连接的设备

本应用笔记是讨论物联网安全性的两篇中的第一篇。它描述了如何识别并评估连接的电子设备的安全风险。它解释了如何将最好的、经过验证的安全性设计到电子设备中并在制造过程中加载。重点是对策，特别是基于公钥的算法。

介绍

电子设备的安全性是当今互联物联网 （IoT） 世界中的“必备条件”。电子设备的范围从智能连接的冰箱到铀离心机控制系统。当设备的安全性受到损害、“损坏”时，我们就不能再依赖该设备进行安全的数据交换、处理或存储。如果电子交易、核电站等关键系统或植入式医疗设备遭到黑客攻击，那么全球信任将受到巨大影响。

电子安全是一个影响深远的话题。这是关于物联网安全性的两部分系列中的第一篇应用说明。在第 1 部分中，我们将介绍如何识别并评估连接的电子设备的安全风险。我们解释了如何将最好的、经过验证的安全性设计到电子设备中。我们的重点是对策，特别是基于公钥的算法。

在后续的第2部分应用笔记中，我们重点介绍了安全启动和“信任根”的重要性，这是电子设备可信度的基石。我们将演示如何方便地实现设备安全性以及如何在现场更新设备。DeepCover安全微控制器将作为支持信任的组件示例来保护物联网。®

互联世界伸出援手

我们的生活越来越多地被现在称为万物互联的互连电子设备所包围。这个物联网和每个安全的便携式设备、工业和医疗设备都有软件在硬件中运行。它们减轻了我们的日子，满足了我们的需求，控制了我们家庭的电气功能，在医疗设备中保护了我们的生活，并通过智能电网或控制发电厂为我们提供公用事业服务（水、煤气、电）。

安全的个人设备和物联网已经改变了许多人的个人行为。这项技术将我们的手臂，我们的意志，我们的思想延伸到我们的身体之外，以帮助我们交流和消费。制造商和许多行业正在采用物联网来提高业务效率和数据跟踪（即工业4.0）。能源和水务公司现在才意识到，他们将通过数据管理和数据挖掘从远程访问到智能电表来收集效率和智能。1在物联网网络上。银行和支付处理器现在可以使用免费（或几乎免费）彩色触摸终端随时随地使用智能卡进行快速交易。物联网的家庭健康 - 心电图监测，葡萄糖分配器或胰岛素泵 - 正在改善患者和医疗机构的生活并节省时间和金钱。预测估计，88年将有2018万移动POS连接。2很明显，连接的电子设备具有一定的价值......以及明确的漏洞。

识别安全风险

使用我们的智能手机几乎可以从任何地方上网变得如此简单、如此舒适，以至于我们已经忘记了旧的 56k 调制解调器。但是，今天的连接设备和对光明世界的即时访问也给了我们一种误导的信心。我们应该记住一个可悲但简单的事实：物联网上的投资、连接和交易也激起了其他不那么善意的掠夺者的胃口。

安全风险来自竞争对手、孤独的掠夺者和犯罪组织。前者更倾向于复制/克隆技术 - 神奇的智能手机或墨盒 - 通常节省多年的研发工作。第二种和后者对窃取支付卡、PIN码、支付终端中的钥匙或勒索个人更感兴趣，可能是通过破坏帐户或远程关闭便携式医疗设备。我们还可以想象通过远程黑客入侵用于工厂或医院能源分配的能源智能电表来想象恐怖主义威胁。3这里不需要更多的例子。可以说，安全风险就在我们身边。

一般来说，利益相关者面临的风险很多。

名誉受损。您（制造商“x”）声称为正品的电池在我的笔记本电脑中爆炸了。

知识产权丢失。“在过去的五年里，我在视频解码器中开发的出色算法已被复制和复制。而且我没有申请专利，以避免暴露我的诡计！

赔钱。“我的零售连锁店中有数十个支付终端被黑客入侵，因此进行了虚假交易和/或持卡人敏感数据被盗。客户会责怪我，我需要识别黑客。

货物损失。“我刚刚读到网络上发布的一个电表被黑客入侵，已经有成千上万的不诚实用户正在实施它以支付更低的账单。

健康损失。“我的胰岛素泵不再分配，或者分配太多。谁下令更改交货时间？

失去对重要基础设施的控制。“谁把整个城市的灯关了？”

很明显，任何电子设备提供商都必须有两个目标：首先，提供新的、强大的、具有成本效益的设备或服务;其次，完全致力于其产品的稳健性、责任性和安全性。事实上，这是他们保持用户、利益相关者和消费者信心的唯一途径。

分析风险

上述目标，可以肯定的是，这些目标雄心勃勃，是企业长寿的必要条件。但是，识别安全风险只是提供安全产品的第一步。每个提供商还必须采用并执行严格的持续风险分析流程。

风险分析，最简单的形式，是一个三步过程。它首先评估资产，要保护的货物，其优势和劣势。然后评估任何潜在的攻击者并分析其可能的方法。最后，检查任何可能的攻击路径。资产、攻击方法和攻击路径之间的任何一致性都会使设备（资产）面临风险。

考虑一个可能的情况。如果通过简单的蓝牙连接入侵能源智能电表可以为某人节省 20% 的月度账单，那么大规模甚至广泛欺诈的风险非常高。同样，如果获取控制家用电器水和能源使用的应用程序的二进制代码的成本非常低，那么一些不诚实的竞争对手（或供应商？！）就会这样做。®

风险分析后的行动选择需要逐案决定。

采取法律/合同方法。这条途径总是非常具有成本效益，值得建立。设备制造商可以很容易地要求分包商（例如制造工厂）签署保密协议（NDA），并承诺诚实和忠实。4

实施技术对策。这些步骤将保护设备免受不诚实的合作伙伴、分包商和非法/无法访问的攻击者的侵害。技术对策保证设备的预期行为和功能由制造商控制、密封和批准。没有人，没有任何东西可以修改定义的操作或访问受保护的功能。

当制造商在设备中使用与供应商的法律合同和技术对策时，它正在保护自己的资产并保护设备免受未经授权的篡改和盗窃知识产权。制造商还确保设备为用户，您和我提供安全可靠的运行。

到目前为止是有道理的，但是您如何在设备中真正实施对策？部分答案是软件中的加密。我们现在将看到如何将密码学用作工具箱，以确保设备安全并为制造商和最终用户提供信任和信心。

对策

什么是安全启动？

在本应用笔记中，我们不会过多地谈论安全启动，因为它是我们第2部分应用笔记的主要关注点。尽管如此，我们不能在不提及安全启动的情况下讨论密码学。

电子设备由安装在印刷电路板（PCB）上的一组电子元件组成，通常有一个（或多个）运行嵌入式软件的微控制器。该软件被视为数字内容，并以二进制可执行格式存储在一些内存中。在执行的软件中启用信任是一个基本期望，并且由于安全启动，这种信任得以启用。

安全启动是一个涉及加密的过程，它允许电子设备开始执行经过身份验证的，因此是受信任的软件来运行。现在我们将探讨如何在基于公钥的签名验证的帮助下实现这种安全启动。

基于公钥的签名验证

现有的公钥加密方案5方便、安全地验证数字内容的完整性和真实性。完整性意味着数字内容自创建以来未被修改。真实性意味着相同的数字内容已由一个明确识别的实体发布。这两个基本特征由数字签名方案提供，并且是必需的，以便数字内容（即二进制可执行代码）可以被电子设备信任。

数字内容的完整性由一种称为消息摘要的机制保证，即一种安全的哈希算法，如著名的 SHA-1、SHA-256 和最近的 SHA-3。消息摘要类似于“超级循环冗余校验 （CRC）”6但在输出中产生更多字节。例如，SHA-256 算法产生 32 字节输出;CRC-32 仅产生 4 个字节。安全哈希算法有一个重要的基本属性：不可能伪造产生预定义哈希值的数字内容。推论是两个不同的随机数字内容产生两个不同的哈希值;让两个不同的数字内容产生相同哈希值的概率几乎为零。因此，如果更改了数字内容的某些字节，则数字内容的哈希值也会更改。此外，与CRC不同，不可能将一些字节附加到修改后的数字内容中，以便生成的哈希值与原始的，未修改的数字内容的哈希值匹配。因此，使用哈希算法保护数字内容，不可能秘密修改该数字内容。最后，计算哈希就像计算CRC：不涉及加密密钥。

数字内容的真实性由基于公钥的数字签名方案本身（即加密配方）保证。公钥加密基于密钥对。任何人都可以拥有一对密钥：一个秘密存储的私钥（例如，K普里夫）和一个公钥（例如 K酒馆） 公开提供给任何人。私钥可用于对数字内容进行签名。数字内容的发行者使用自己秘密持有的私钥来标识自己是发行人。任何人都可以使用公钥来验证数字内容的签名。这两把钥匙是绑在一起的。确实，使用 K 签署内容普里夫生成可由 K 成功验证的数字签名酒馆只。没有其他公钥可以工作。相反，如果使用 K 成功验证签名酒馆，然后毫无疑问地被K签了普里夫并且没有其他私钥。

数字签名生成涉及两个步骤。第一步包括对数字内容进行哈希处理，并使用上述属性生成哈希值。在第二步中，前一个哈希值使用数字内容作者唯一拥有的未公开私钥进行“签名”。第二步生成附加到原始数字内容的值（“签名”）。

现在，任何想要验证数字内容签名的人都必须执行以下两个步骤。第一步，再次对数字内容进行哈希处理，就像在签名生成过程中一样。然后在第二步中，将生成的重建哈希值与附加到数字内容和公钥的签名一起用作签名验证算法的输入。如果算法确定签名是真实的，这将证明数字内容与原始数字内容相同（完整性），并且该数字内容的作者确实是他声称的身份（真实性）（图 1）。

图1.数字签名的图表，以及如何应用和验证数字签名。插图通过维基共享资源根据知识共享署名-相同方式共享3.0授权。

基于公钥的数字签名方案之所以有效，是因为私钥只能由此私钥的所有者用于对内容进行签名，而不能由其他人使用。因此，私钥必须在妥善保管下保密。然而，公钥不一定是机密的，因为任何人都可以验证数字内容的签名。公钥的唯一基本要求是可信度。请注意，这里的公共并不意味着不安全。公钥可以自由访问，因为它没有指示私钥;知道公钥就无法计算私钥。此外，公钥不允许任何人执行个人身份操作，例如对数字内容进行签名。

但是，由于任何人都可以生成一对密钥，因此必须有一种机制来验证公钥所有者的身份。假设公钥与标识没有强绑定。然后，如果您使用该公钥成功验证了数字内容的数字签名，您仍然无法信任此数字内容，因为您不知道谁实际签署了此数字内容。

因此，公钥的完整性、真实性和身份都必须得到保证。这可以通过不同的方式完成。

方法一：自我认证。数字内容的接收者亲自从发送者那里接收公钥，或者发送者以毫无疑问公钥的合法来源和所有权的方式传输公钥。然后，只要此公钥（也称为根密钥）存储在未经授权的人员无法修改它的地方，就可以信任它。

方法 2：分层认证。在此方法中，验证程序的层次结构保证了公钥的来源。公钥基础结构 （PKI） 提供了此类层次结构的定义。公钥与密钥所有者的身份之间的物理关联是证书。证书由 PKI 层次结构的中间实体（即证书颁发机构）签名。

因此，在使用公钥之前，必须首先使用证书颁发机构的公钥验证该公钥证书的有效性。然后，通过使用父签名机构的公钥，确保此证书颁发机构的公钥证书也有效，依此类推。因此，可以使用连续证书颁发机构的公钥进行验证链，直到最终将其信任为根密钥。您可能还记得，根密钥是受信任的，因为它是使用方法 1 获取的。

图2.公钥和数字内容签名的验证过程。

使用基于公钥的签名验证软件

当应用于软件时，这种公钥签名技术允许您信任可执行的二进制代码。现在，您只需将该软件视为数字内容即可。此数字内容的发送者是软件审批者，负责接受针对设备验证的软件。接收器是电子设备。软件审批者生成一对密钥，并在制造过程中将公共验证密钥加载到电子设备中一次。私钥保存在安全的地方，如下所述。软件审批者使用自己的私钥对生成的代码进行签名，然后再将其加载到电子设备中。然后在通电时，电子设备可以使用预加载的公钥在运行二进制代码之前验证其完整性和真实性。

有趣的是，您可以转到下面的侧边栏以阅读有关密钥，其限制以及如何保护它的信息。

公钥加密和对策

公钥管理

公钥不需要防止泄露，因此不需要任何旨在禁止访问密钥值的对策。与密钥不同，公钥不需要通过删除/擦除其验证密钥来对篡改事件做出反应。无需侧信道对策。唯一必需的保护机制必须针对密钥替换/修改和修改的软件行为。所有这些都使设备设计更简单。所涉及的算法不受出口法规的约束，因为它们不包括加密，而只是数字内容摘要（即哈希算法和签名验证）。最后，请注意，数字签名验证算法（图 1）仍然必须足够强大，以防止有意或意外的干扰：电源故障、格式不正确的数字内容和数字签名。

私钥管理

如上文介绍的基于公钥的数字签名方案所述，公钥加密基于密钥对。（密钥对由公钥和私钥组成。私钥是秘密存储的，因为它允许接收设备对内容进行身份验证——只有密钥所有者才能对内容进行签名。相反，任何人都可以使用公钥，因为任何人都可以验证签名。这既无害又没有风险。

显然，正确管理私钥是基于密钥的加密的关键要求。任何窃取私钥的人都可以签署任意可执行代码，然后电子设备将成功验证这些代码。因此，软件审批者必须将私钥存储在受到严格保护以防止泄露的地方;他们必须确保没有人可以使用密钥（即使没有披露）。某些认证（如 PCI PTS 4.0）需要使用硬件安全模块 （HSM） 来管理密钥。HSM 是防篡改设备，能够安全地生成和使用密钥对。虽然可以导出公有密钥，但关联的私有密钥仍保留在 HSM 中。在 HSM 中使用私钥（例如，用于对数字内容进行签名）需要事先进行强多因素身份验证。需要签署二进制可执行代码的人员必须使用智能卡和 PIN 码来解锁 HSM 中的私钥。根据安全策略，该操作可能需要两个或更多人。此外，HSM必须保存在保险箱中，以便在不使用时最大限度地提高安全性。此过程可确保只有受信任的人对二进制可执行代码进行签名。

ECC 与 RSA 加密的优势

几十年来，基于公钥的密码学一直是RSA算法。但在过去几年中，椭圆曲线密码学（ECC）已经出现并在整个安全行业中传播。与 RSA 相比，基于椭圆曲线的签名验证具有相同的数量级，但使用的计算资源要少得多。它的密钥大小要小得多，从而减少了内存占用。RSA 的安全应用程序现在至少需要 2048 位安全性;RSA 密钥需要 256 个字节。等效椭圆曲线密钥的长度仅为 224 位7密钥只有 28 个字节。因此，椭圆曲线加密是保护新设备的首选。

结论

ADI公司开发了一种基于公钥的安全启动机制，使生产和密钥管理变得简单。此外，在密钥管理方面，ADI公司满足严格的PCI PTS 4要求。

公钥加密消除了制造分包商通常需要的一些安全约束，包括在这些设备中加载软件。由于公钥加密不涉及任何秘密，但加载软件的真实性得到保证，因此我们得到了两全其美。

现在我们回到我们对物联网的开场讨论。为了确保物联网的完整性，我们不允许电子交易、核电站等关键系统或植入式医疗设备的任何安全漏洞。物联网必须保护金融、工业和医疗设备，才能使广泛的通信蓬勃发展。最终，物联网设备需要信任，这里讨论的安全机制使这种信任成为可能且易于实现。

审核编辑：郭婷