Защищенная загрузка с поддержкой FPGA в доверенных вычислительных архитектурах

Защищенная загрузка с поддержкой FPGA в доверенных вычислительных архитектурах

Выпуск 21 (6695) от 24 октября 2019 г.
РУБРИКА: МИКРОЭЛЕКТРОНИКА

Вентильные матрицы, программируемые пользователем (FPGA), могут стать защитой от обратного инжиниринга и предоставлять в некоторых случаях такие возможности обеспечения безопасности, как хранение т. н. черных ключей (black keys – ​средства защиты от копирования) или криптографические средства защиты от атак по сторонним (побочным) каналам. Разработчики встраиваемых вычислительных систем могут установить улучшенную надежную защиту при загрузке с помощью корня доверия (RoT) на основе FPGA.

Корень доверия на основе FPGA не только позволяет защититься от обратного инжиниринга, хранит черные ключи или средства криптографии для защиты от атак по побочным каналам. Пользователи также получают возможность настраивать FPGA для добавления других средств защиты системы и удовлетворения конкретных потребностей программы. Эти усиленные средства защиты обеспечивают необходимую аппаратную инфраструктуру, позволяющую RoT взаимодействовать с датчиками и процессорами безопасности, поддерживая при этом безопасность системы на протяжении всего процесса загрузки. Более того, эти усовершенствованные методы доверенной (надежной) загрузки предоставляют механизмы, обеспечивающие проверку подлинности любого нового кода перед его сохранением в энергонезависимой памяти, а также дополнительные проверки и меры снижения риска доверенных вычислений в процессе загрузки.

Одна из важных концепцией надежных вычислений – ​целостный подход (касающийся не только оборудования), направленный на внедрение технологий и методик безопасности во все аспекты решения – ​от проектирования и тестирования до цепочки поставок и производства. Другими словами, обеспечение безопасности не ограничивается каким-либо конкретным этапом. Этот комплексный, сквозной подход, часто называемый глубокоэшелонированной защитой, создает сеть из нескольких уровней, обеспечивающую надежность решения.

На уровне модулей объединение максимально возможного количества доступных методов безопасности, таких как интеграция уникальной технологии доверенной загрузки на процессоре с уникальной технологией доверенной загрузки, предоставляемой FPGA, позволяет разработчикам системы безопасности реализовать мультипликативный эффект. Так, в сентябре 2019 г. корпорация Curtiss-Wright представила мощный ЦОС-процессор CHAMP-XD1S (рис. 1). Он оснащен 12-ядерным процессором Intel Xeon D, аппаратной платформой, сочетающей «систему-на-кристалле» (SoC) Zynq Ultra Scale корпорации Xilinx и многопроцессорную SoC (MPSoC) на основе FPGA, а также FPGA интеллектуального контроллера управления платформой (intelligent platform management controller, IPMC) на основе флэш-памяти Smart Fusion 2 корпорации Microsemi для обеспечения безопасности процессорной платы, предназначенной для высокопроизводительных встроенных вычислений (HPEC) и работающей в жестких условиях окружающей среды.



Источник: Curtiss-Wright

Рисунок 1. Электронный модуль корпорации Curtiss-Wright с корнем доверия на основе FPGA


Для защиты от злонамеренных атак и обратного инжиниринга на плате реализована как кибербезопасность, так и защита данных физического уровня. Встроенные расширенные функции безопасности включают расширенные возможности доверенной загрузки, такие как аутентифицированный загрузочный код на основе FPGA. Плата поддерживает технологию безопасной загрузки Intel TXT, а также может поддерживать безопасную загрузку UEFI через операционную систему. Этот модуль имеет дополнительную защиту, использующую PUF, размещается на плате MPSoC FPGA для аутентификации загрузочного кода.

PUF, доступный только в устройствах Xilinx Zynq Ultra Scale+, представляет собой надежный идентификатор, связанный только с одной ИС. На основе вариаций кристаллов ИС, характерных для устройств типа Zynq Ultra Scale+, PUF генерирует криптографически стойкий ключ шифрования, уникальный для каждого конкретного прибора.

Полученный ключ не может быть прочитан кем-либо, включая пользователя, и может использоваться в сочетании с криптографическим ядром встроенного расширенного стандарта шифрования (AES) FPGA. PUF, в дополнение к генерации ключа шифрования, также генерирует помощника, который позволяет повторно генерировать ключ шифрования позже, чтобы обеспечить повышенный уровень его безопасности.

Использование PUF делает невозможными для злоумышленника подделку, клонирование или изменение FPGA, поскольку система не сможет распознать устройство с измененным значением PUF. Подпись уникального идентификатора может быть начальным этапом шифрования и аутентификации загрузочного образа и загрузочного кода для FPGA. Более того, аутентификацию возможно расширить для защиты других частей системы, включая другие артефакты загрузки, кроме самой FPGA.

Таким образом, создается парадигма комбинации FPGA и необходимого аппаратного и программного обеспечения (рис. 2)



Рисунок 2. Парадигма сочетания FPGA и необходимого аппаратного и программного обеспечения


Две FPGA лучше, чем одна

В дополнение к MPSoC FPGA-модуля на плате также имеется FPGA Smart Fusion 2, обеспечивающая не только исправность и управление, но и интеграцию дополнительных функций безопасности. Smart Fusion 2 – ​это FPGA корпорации Microsemi, созданная на основе флэш-памяти, а не СОЗУ, как MPSoC корпорации Xilinx. Она может быть зашифрована, а также имеет собственный набор внутренних средств защиты. Таким образом, пользователю предоставляется два разных типа FPGA.

Новая плата также оснащена микросхемой безопасности модуля доверенной платформы (trusted platform module, TPM) версии 2.0, использующей криптографические методы обеспечения целостности платформы на протяжении всего процесса загрузки вплоть до запуска приложения. TPM часто служит основой для поддержки TXT корпорации Intel, но в более общем смысле она генерирует ключи и управляет ими. TPM 2.0, по сравнению с более ранними версиями, имеет обновленные и дополненные криптографические алгоритмы, предоставляющие разработчикам надежных вычислений бóльшую гибкость. Она также поддерживает не один, а несколько разных криптографических ключей. Помимо этого пользователи могут использовать функции безопасности TPM после загрузки.

Из-за деликатного характера проектирования доверенных компьютеров невозможно публично обсудить все возможности и функции безопасности, встроенные в CHAMP-XD1S. Тем не менее важно отметить, что основным требованием при разработке архитектуры безопасности была гибкость. Плата поставляется с инструментарием FPGA, который дает возможность клиентам добавлять свои собственные функции безопасности или дополнительные расширенные возможности безопасности, предоставляемые корпорацией Curtiss-Wright или даже другими фирмами. Например, разрабатываются дополнительные СФ-блоки, которые можно интегрировать в FPGA для дальнейшего улучшения безопасной загрузки и работы с доверенными вычислениями по сравнению с тем, что доступно у поставщиков.

Хотя разработчикам средств безопасности важно понимать и реализовывать каждый из доступных индивидуальных подходов, пригодных для их аппаратного обеспечения, необходимо также учитывать то, как реализация и взаимное увязывание нескольких подходов могут обеспечить мультипликативный эффект. Конечно, все указания по архитектуре аппаратного обеспечения должны соблюдаться, однако если все сделано правильно, целое действительно становится больше, чем сумма его частей.


Smetana Denis. FPGA-Enabled Trusted Boot Is Part of Building Security into Every Aspect of Trusted Computing Architectures. Military & Aerospace Electronics journal, September 25, 2019: https://www.militaryaerospace.com/trusted-computing/article/14040672/trusted-computing-embedded-computing-realworld


В ЦЕНТРЕ ВНИМАНИЯ

Curtiss-Wright

Дата основания : 1929 г. (в результате объединения 12 фирм).
Основная продукция: авиационно-космическая, оборонная, атомная энергетика, другие отрасли промышленности.
Штабквартира: г. Дэвидсон, шт. Северная Каролина, США.
Количество студентов: 9,0 тыс. человек (2019 г.).
Годовой доход: 2,41 млрд долл. (2018 г.).

Curtiss-Wright активно осваивает область радиоэлектроники, сделав ее основным направлением перспективного развития. На это ясно указывают осуществленные в последние годы сделки слияния и поглощения:

Hybricon (2010 г., 19 млн долл.) – ​поставщик электронных модулей аэрокосмического, военного и гражданского назначения, интеграция электронных подсистем;

AcraControl (2011 г., 61 млн долл.) – ​поставщик систем и сетей сбора данных, регистраторов данных и наземных станций телеметрии военного и гражданского аэрокосмического назначения;

Exlar Corporation (2013 г., 85 млн долл.) – ​разработчик и производитель высокотехнологичных электроприводов, используемых в решениях по управлению движением на промышленных и военных рынках;

Parvus (подразделение Eurotech S.p.A., 2013 г., 38 млн долл.) – ​разработчик и производитель надежных компьютеров малого форм-фактора и подсистем связи аэрокосмического, военного и промышленного назначения, подрядчик Министерства внутренней безопасности.


ЧИТАЙТЕ ТАКЖЕ

Выпуск 24/25 (6748/6749) от 23 декабря 2021 г. г.
Выпуск 24/25 (6748/6749) от 23 декабря 2021 г. г.