جذر الثقة لاتجاهات إنترنت الأشياء وغيرها من اتجاهات أمن إنترنت الأشياء

إن موضوع أمن المعلومات يزداد أهمية كل عام. يحتل مركز أمن المعلومات المرتبة الأولى في التصنيف والثاني في عدد المشتركين. ومع ذلك ، فإن المواد مخصصة بشكل أساسي لمختلف الشبكات والشبكات والشبكات والتقنيات الأخرى التي يتم اعتبارها تقليديًا في سياق الأمان. وتقريبا لا تنطبق على التطبيقات المضمنة ، خاصة مع الموارد المحدودة. في حين أن العدد الأخير أكثر من أوامر من الحجم. في هذه المقالة ، سنلقي نظرة على بعض الميزات والاتجاهات في أمان الإنترنت للأشياء التي يرجع أصلها إلى نموذج التطوير والتوزيع.


يحمل تطوير التطبيقات المضمنة دائمًا ميزات معينة ، علاوة على ذلك ، بحيث لا يفكر معظم المبرمجين "العاديين" في ذلك ، ويختلف مفهوم ضمان الجودة وعملية الاختبار في كثير من الحالات اختلافًا جوهريًا عما هو مفهوم بشكل عام.

أحد الموضوعات المفضلة التي تمت مناقشتها بشكل دوري في قناة تكنولوجيا المعلومات الكبيرة في Telegram Embedded Group هو "لماذا لا يفهم أحد المطورين المضمنين ويدفعون القليل جدًا؟ (على خلفية المبرمجين "العاديين") ":)

النظام المضمن هو نظام يعمل عن طريق دمجه مباشرة في الجهاز الذي يتحكم فيه. زوجان من الصور للوضوح:



يتم التقاط الصورة اليسرى من مقالة ويكيبيديا حول الأنظمة المدمجة، هو مثال على نظام معقد كبير. على اليمين صورة من مراجعة المنزل الذكي Redmond ، كل شيء أبسط بكثير وأكثر إحكاما هنا ، في الواقع الجهاز بأكمله مصنوع على شريحة واحدة مع الحد الأدنى من الربط. من المهم أن يعمل كلا الجهازين كأجهزة كاملة (لا يزال جهاز الكمبيوتر أحادي اللوحة بحاجة إلى حالة وبعض الأجهزة الطرفية).

كقاعدة ، تنتج الشركة المصنعة الأجهزة النهائية ، والتي تتضمن بشكل أساسي الأجهزة والبرامج ، كقاعدة عامة ، مجمعة وتعمل فقط على هذا الجهاز. لن يكون لدى أي شخص تقريبًا فكرة شراء هاتف ذكي "عارٍ" بدون برامج ، ثم التثبيت على نظام التشغيل والتطبيقات الضرورية ، يجب أن يعمل كل شيء خارج الصندوق. ونتيجة لذلك ، غالبًا ما يؤدي المطورون مجموعة كاملة من المهام لتطوير الأجهزة ، كل من البرامج والأجهزة.

ميزة أخرى للتطوير للأنظمة المدمجة هي أنها تمتلك دائمًا موارد أقل بكثير ، في كل من قوة الحوسبة والذاكرة ، وقناة البيانات ، بالإضافة إلى الاستهلاك. من المستحيل تشغيل معظم التقنيات المألوفة للكثيرين على هذه الأنظمة ، حتى نظام التشغيل ليس في كل مكان. من الضروري أن تتناسب مع الموارد المتاحة وغالباً ما توفر بشكل كبير. يؤثر هذا أيضًا على الأمان - العديد من المعايير من Big World غير مدعومة أو مدعومة بقيود.

لا تزال C هي اللغة الأكثر استخدامًا لتطوير الأنظمة المدمجة. لديها عدد من أوجه القصور في العمل مع الذاكرة التي تؤثر بشكل مباشر على الأمن. لحلها ، تم تطوير Rust ، وهي تكتسب شعبية (في المقام الأول من لغاتك المفضلةعلى StackOverflow لعدة سنوات ، وتجاوز حتى Python و Kotlin ، وخاصة الشعبية مؤخرًا) ، ولكن لا يزال بعيدًا عن الرائد في قابلية التطبيق المضمنة بسبب الأنظمة والمكتبات المدعومة. نادرًا ما تكون اللغات عالية المستوى نادرة بالنسبة للأنظمة المضمنة ، ومن المحتمل أن تظل كذلك قريبًا.

تتمثل إحدى السمات الهامة لتطوير الأنظمة المضمنة في الحد من إمكانات الأجهزة للنظام الأساسي وحزمة SDK التي توفرها الشركة المصنعة. من المستحيل أو المكلف للغاية تنفيذ العديد من التقنيات من تلقاء نفسها من الصفر لمشروع واحد. لذلك ، من الضروري أن تدعم الشركة المصنعة للشرائح تقنيات الأمان الحديثة. حتى وقت قريب ، تم إيلاء الكثير من الاهتمام لهذا. على سبيل المثال ، إذا ظهرت الأجهزة AES منذ فترة طويلة على الجميع تقريبًا ، فإن الكثير من الناس لا يزالون لا يعرفون كيفية دعم TLS / DTLS. السؤال هو كيفية تحقيق ذلك. لقد كتبت مؤخرًا عن Nordic Zephyr SDK الجديدة التي تحل هذه المشكلة من خلال التكامل مع مشروع كبير تدعمه مؤسسة Linux. هذا نهج واحد. أدناه سننظر في الآخرين.

كجزء من النظر في أمن الأنظمة المدمجة ، من الضروري ملاحظة مجموعة من التطبيقات التي تندرج تحت متطلبات معايير السلامة الوظيفية: الطب والسيارات ومعدات السكك الحديدية والأتمتة الصناعية. هذه التطبيقات تؤثر بشكل مباشر على حياة وصحة الشخص ، وكذلك على الأنظمة التي لا يمكن إيقافها (على سبيل المثال ، مفاعل نووي). هنا يتم تنظيم كل شيء بشكل واضح في جميع مراحل التطور وإمكانية الفشل والتأثير على تشغيل النظام ككل. يتم تطوير حلول الأجهزة والبرامج المتخصصة ، والتي تحتاج أيضًا إلى الحصول على شهادة في المستقبل. ونتيجة لذلك ، اتضح أنها طويلة ومكلفة. لذلك ، لا يفكر أولئك الذين يبدأون التنمية في ذلك إذا لم تكن هناك معايير ملزمة.

نوصي بسلسلة من المقالات حول السلامة الوظيفية للمراجعة .

بالإضافة إلى قضية التطوير ، من المهم الانتباه إلى ظروف تشغيل الأنظمة.

كقاعدة عامة ، تهتم الشركات الكبيرة ومصنعي الخدمات السحابية بأمان خدماتهم لعدد من الأسباب:

• وهم يشاركون في تطوير ودعم أداء الخدمة مباشرة
• لديهم اتصال أوثق بين المطورين ومهندسي الدعم.
• المعدات قابلة للوصول مباشرة للمهندسين ، حتى في السحب
• تسمح قنوات نقل البيانات الواسعة والقدرة الحسابية العالية للمعدات باستخدام أنظمة المراقبة والكشف عن النشاط غير الطبيعي

تعمل أجهزة إنترنت الأشياء بالطريقة المعاكسة تمامًا:

• كقاعدة ، فهي ملك للعميل النهائي ، ومهندسو العميل النهائي ، والكفاءات ، والتي تكون في معظم الحالات دون المستوى لأسباب موضوعية ، تشارك في التكوين والدعم.
• موارد كل جهاز محدودة ، سواء من حيث الأداء ونقل البيانات. ونتيجة لذلك ، من المستحيل عمليا في هذه الحالة نظام لرصد وكشف النشاط غير الطبيعي.

من أجل الوضوح ، سأقدم جدول مقارنة. إبداء تحفظ فورًا:

• هناك العديد من خيارات تسليم البرامج ودعمها. يتم إعطاء المجموعات العامة فقط لأغراض التوضيح.
• من الصعب تقدير عدد أجهزة إنترنت الأشياء بدقة ، حيث يفهم الجميع شيئًا مختلفًا تحته ، ولا توجد أيضًا إحصاءات جيدة عنها.

	الخوادم والحلول السحابية (SaaS وما شابه)	أجهزة المستخدم (أجهزة الكمبيوتر والهواتف الذكية وما إلى ذلك)	انترنت الأشياء
من يتطور؟	مؤمن للحلول	-	-
/ ?
/?
		—
			,
	()		( )
	(Amazon, Google)	2019 : ~266 K, ~1.37	9

ونتيجة لذلك ، تحدث المواقف بشكل دوري حيث تم اختراق الأجهزة ، ولا يُعرف شيء عن هذا لأسباب موضوعية. لسوء الحظ ، هذا الوضع ليس غير شائع ويمكن أن يستمر لأشهر وأحيانًا لسنوات.

أشهر الاختراق للأنظمة المدمجة في السنوات الأخيرة:

• الروبوتات Mirai في عام 2016 ، تعمل بشكل رئيسي على كاميرات الفيديو. وبحسب تقديرات مختلفة ، تجاوز عدد الأجهزة المصابة 380 ألف . وقد استولى خليفته ساتوري في عام 2018 بالفعل على 700 ألف جهاز ، مع التركيز بشكل أساسي على عمال المناجم المشفرة.
• ضرب KRACK WPA2 Wi-Fi في عام 2017 (جميع أجهزة Wi-Fi تقريبًا في آخر 15 عامًا) ووريثه Kr00k ، مع أكثر من مليار جهاز في عام 2019.
• في عام 2018 ، ضرب Bleedingbit رقائق BLE من شركة Texas Instruments. رسميًا ، تأثر عدد قليل فقط من نماذج نقاط الوصول التي استخدمت عائلة CC26xx ، وتم حل المشكلة نفسها في الإصدار الجديد من المكدس. ومع ذلك ، في هذه الحالة ، لا يؤخذ في الاعتبار أن هذه الرقائق تستخدم في عدد أكبر بكثير من الأجهزة (ثاني أكبر منتج لـ BLE في العالم ، 16 ٪ من 3.9 مليار لعام 2018).

تطلق معظم الشركات المصنعة للأجهزة تصحيحات لأجهزتها. ومع ذلك ، يجب تطبيق هذه التصحيحات على الأجهزة نفسها ، وهو أمر صعب أو مستحيل في بعض الحالات لأجهزة إنترنت الأشياء. ونتيجة لذلك ، يظل جزء كبير من الأجهزة عرضة للضعف. وقد لا يتعلمون عن ذلك أبدًا بسبب نقص السيطرة والاهتمام الواجب بهذه القضية.

وفقًا لذلك ، من الضروري استخدام مناهج مختلفة بشكل أساسي لمنع نقاط الضعف والقضاء على عواقب الأجهزة على الإنترنت. يجب أن يكمن الأمن في النظام الأساسي نفسه من مرحلة تصميمه وأن يتم تنفيذه في جميع مراحل تطوير وتشغيل الجهاز النهائي ، ولكن في نفس الوقت يكون بسيطًا وغير مكلف للتنفيذ الشامل (على الأقل فيما يتعلق بالأمان الوظيفي و TEE للمعالجات القوية). تحدث

ARM في عام 2017 عن أمان الأنظمة المضمنة القائمة على CryptoCell و Cortex-M33 ، ومع ذلك ، ظهرت عينات متسلسلة من الرقائق على M33 العام الماضي فقط. التكنولوجيا المقدمة تسمى هندسة أمن المنصة (PSA).


كان جوهر الفكرة هو فصل الأجزاء الحرجة من النظام (المفاتيح والحقوق والبرامج الثابتة) عن المكونات التي يمكن اختراقها ، سواء الأجهزة والبرامج ، للأنظمة التي يكون فيها التنفيذ الكامل لـ TEE مستحيلًا أو صعبًا. تركز التكنولوجيا في المقام الأول على Cortex-M ، ولكنها متوافقة مع جميع عائلات Cortex-A / -R / -M.



تنظر بشكل أساسي في 4 مراحل لحماية أجهزة إنترنت الأشياء. اعتبرها بالتسلسل عند ظهورها أثناء تشغيل الجهاز.

الإقلاع الآمن

• تم التحقق من أن البرنامج الثابت أصلي ولم يتم تغييره ولا يمكن تخفيضه.

تحديث آمن للبرامج الثابتة عبر الأثير (Secure FOTA)

• يمكن تنزيل التحديثات المصادق عليها والتحقق منها فقط.
• ( )

API

• , .
• «» API.
• —

• (MITM)

لحماية الجهاز ، يُقترح تحديد / التحقق من البيانات التي تصل في كل مرحلة. يعتمد المفهوم على فكرة جذر الثقة (جذر الثقة ، RoT). خلاصة القول هي أن معرّفًا معينًا (مفتاحًا) مخيطًا في الجهاز ويتم إجراء إجراء الأجهزة للتحقق من أن المفتاح فريد للنظام الأساسي الحالي والرمز القابل للتنفيذ. في المستقبل ، تستخدم جميع المكتبات الهامة RoT لعملها الخاص.


عادة ، يحدث هذا في 3 مراحل رئيسية:

1. توفير الثقة: إدراج "جذر الثقة" في مرحلة الإنتاج في بنية الشريحة. يوفر
   معرف الشريحة غير القابل للتغيير وجذر الأجهزة الثقة الأساسية وتحديدًا فريدًا للجهاز.
2. :
   ,
3. :
   , 2 .

الحل الأكثر شيوعًا في السوق هو TrustZone من ARM. لقد كتب الكثير عن تطبيقه على حبري ، منذ إدخال التكنولوجيا نفسها لفترة طويلة. أوضح ما تم تلخيصه في رأيي في أحد أحدث المنشورات .

في سياق هذه المقالة ، تجدر الإشارة إلى أن TrustZone السابق كان امتيازًا لمعالجات عالية الأداء من عائلة Cortex-A. وخلال العام الماضي ، أصدرت جميع الشركات المصنعة للأنظمة اللاسلكية القائمة على البلورات تقريبًا حلولًا تعتمد على Cortex-M ، مع كون Cortex-M33 هو الأكثر شعبية .

بالحديث عن أمن المعلومات ، يجدر التذكير بنظام المعايير العامة(معايير مشتركة) ، تم تبنيها دوليًا وكمعيار وطني. يسمح لك بتحديد مستوى مستوى ضمان تقييم الثقة (EAL) من 1 إلى 7 (EAL1 - EAL7) ، يشير الرقم الأعلى إلى مستوى أعلى من الأمان. لفهم أن معظم أنظمة تشغيل Windows لديها مستوى EAL4 أو EAL4 + ، LInux / Unix ، EAL5 تحتوي بشكل أساسي على بطاقات ذكية (الخدمات المصرفية ، النقل ، بما في ذلك عدم الاتصال) ، تسمح لك EAL6 باستخدام الحل في المواقف عالية المخاطر ، EAL7 في المواقف شديدة الخطورة ، على سبيل المثال ، ل شبكات أحادي الاتجاه (الثنائيات البيانات).

في أبريل من هذا العام، واللحاء-M33 وM35P كانت معتمدة ل EAL6 +. هذا مستوى عالٍ للغاية يسمح لك بتطبيق الحلول في المواقف عالية الخطورة.

يوفر ARM TrustZone Cryptocell في Cortex-M33 / M23 الجديد تخزينًا آمنًا للمفاتيح (بما في ذلك واحد بمعرف فريد للأجهزة) ، وفحص البرامج الثابتة ، سواء أثناء التنزيل والتحديث عبر الهواء ، وتسريع تشفير الأجهزة AES ، SHA ، ChaCha ، ECC ، في بما في ذلك مع DMA (نتيجة لذلك ، يمكن تشفير جميع البيانات في Flash و RAM) ، ومولدات الأرقام العشوائية (TRNG ، PRNG).


من المثير للاهتمام ملاحظة أن CryptoCell يسمح لك بالحصول على العديد من جذور الثقة للمهام المختلفة (على سبيل المثال ، تضمين RoT إضافي للعميل الذي يريد دمج حل شامل من السوق في نظام تكنولوجيا المعلومات المغلق الخاص به ، على سبيل المثال ، بنك دون الارتباط بـ RoT الرئيسي من الشركة المصنعة) ، بالإضافة إلى تصحيح الأخطاء الآمن (Secure Debug) مع حقوق التفويض.

تستهدف سلسلة 300 من CryptoCell على وجه التحديد أجهزة إنترنت الأشياء منخفضة الطاقة. استهلاك M33 الجديد أقل بحوالي 20-40٪ من M4 ، نظرًا للخسارة في استهلاك الطاقة لعمل TrustZone بنسبة 20٪ ، لدينا نفس مستوى الاستهلاك أو أقل من الآن. ونتيجة لذلك ، يمكننا القول أن أمن الأجهزة قد وصل إلى الجزء الأكبر من الميزانية مع Cortex-M33 / M23 وفي المستقبل القريب سيزداد عدد المنتجات التي تعتمد عليها فقط.

تشمل بدائل TrustZone OpenTitan برعاية Google. ومع ذلك ، فهي ليست منتشرة على نطاق واسع وتركز على تطبيقات أخرى غير الأجهزة النهائية لإنترنت الأشياء.

وتجدر الإشارة إلى أن تنفيذ جذر الثقة ليس حلاً سحريًا ويمكن اختراقه أيضًا. مثال على ذلك القصة الأخيرة مع Intel . من المهم الإشارة إلى أنه في هذه الحالة تم العثور على خطأ في ROM وتم استخدام مفتاح واحد لجميع أجيال شرائح ، وبالتالي يمكن استنساخه. وحتى مثل هذا التنفيذ يعقد بشكل كبير الاختراق.

فكر في المراحل الخمس لتطور تنفيذ جذر الثقة في وحدات الاتصال الخلوي uBlox ، التي تم تطويرها بالتعاون مع مجموعة Kudelski. هذا مثير للاهتمام من وجهة نظر المهمة ، لأن حلولهم تختلف بشكل كبير عن مناهج الشركات الأخرى. تنتمي الوحدات الخلوية Cat-M Nb-IoT / LTE إلى فئات الانتقال بين الجيل الرابع والخامس من LTE وتهدف إلى شبكات LPWAN منخفضة الطاقة. في معظم الحالات ، يجب أن تعمل الأجهزة لسنوات دون تدخل بشري. تسمح لك الحلول الحديثة بالعمل 7-10 سنوات على بطارية واحدة (بطارية). غالبًا ما يصل متوسط ​​عمر الجهاز إلى 15 عامًا. خلال هذا الوقت ، قد تتغير متطلبات الأمان بشكل كبير ، ستظهر تهديدات جديدة. يجب أن تعمل الأجهزة بشكل مستقر دون تدخل بشري طوال مدة الخدمة. وبناءً على ذلك ، من الضروري حماية هذه الأجهزة مع مراعاة مدة وطبيعة عملها.


كما ترى في الهيكل ، مع كل جيل قادم ، فإن جذر الثقة يغير موقفه. هذه نقطة رئيسية تؤثر على أمن الحل ككل.

يعتبر الخياران 1 و 3 غير موثوق بهما وفقًا لـ uBlox / Kudelski بسبب تنفيذ البرنامج لـ RoT والأكثر احتمالًا للاختراق. بما في ذلك في حالة جعل جذر الثقة في eSIM الخارجية (eUICC) ، والذي يوفر حماية كافية للتطبيقات المصرفية لـ EAL4 للمبتدئين (لا يمكن قراءة أو تغيير المفاتيح في eUICC بحيث لا تصبح ملحوظة من الخارج). ومع ذلك ، فإن هذا النهج يجلب معه أوجه القصور ونقاط الضعف المحتملة الناشئة عن حقيقة أنه يمكن اعتراض الاتصال مع مكون خارجي وربما تشويهه ، وتعقيد التفاعل في المراحل الأولية من تهيئة النظام (التحقق من محمل الإقلاع) ، وآلية برمجة معقدة بسبب موارد الشريحة المحدودة في UICC. بالإضافة إلى ذلك ، يمكن استبدال الوحدة الخارجية أو إزالتها من النظام (ببساطة عن طريق تغيير بطاقة SIM) وبالتالي ترك النظام بأكمله بدون جذر الثقة.

لذلك ، فإن مسار التطوير الإضافي هو دمج جذر الثقة في المنطقة المحمية من الشريحة. يتوافق هذا النهج مع تكوين ARM TrustZone CryptoCell.

يعد إصدار تطبيق جذر الثقة في نظام تشغيل آمن هو الأكثر شيوعًا في السوق ويوفر مستوى من الأمان يكفي لمعظم المهام. الحل الأكثر شيوعًا في السوق هو ARM TrustZone (حوله أعلاه) ، ولكن بدون CryptoCell ، الذي يخزن المفاتيح في منطقة محمية.

الحل مع الحماية المدمجة داخل الشرائح ، والتي لا يمكن الوصول إليها من الخارج عمليًا ، يتمتع بأكبر قدر من الحماية. يستخدم الحل الحالي عنصر الأمان المدمج (العنصر الآمن) ، المعتمد وفقًا لمستوى EAL5 + . يسمح هذا بشهادة المعايير العامة للجهاز بأكمله ، ويسمح لك أيضًا بوضع وظائف بطاقة SIM وملفات تعريف مشغل شبكة الجوال (MNO) داخل الجهاز. هذا يتوافق مع المستوى الحالي للأمان.

الجيل القادم من شرائح uBlox قيد التطوير ، حيث سيتم دمج Secure Element في سيليكون شرائح المودم نفسها. هذا يقلل كذلك من سطح الهجوم ويحسن الأمن إلى أعلى مستوى. سيتم تنفيذه من خلال iUICC(بطاقة الدائرة المتكاملة العالمية المتكاملة) - الجيل التالي من UICC ، حيث سيتم وضع الرمز بالكامل ومعرف SIM داخل النظام على شريحة ، لم يتم استكمال المعيار بعد.

الموجودات:

• يقوم المزيد والمزيد من الشركات المصنعة للمكونات الإلكترونية بتطوير وإنتاج الأجهزة مع مراعاة الأمان ، بدءًا من المراحل الأولى من التطوير.
• تحصل شركات Endpoint على أدوات إدارة الأمان فور إخراجها من عبوتها. يسمح لك جذب الخبراء في مرحلة تطوير الأدوات بتجنب الأخطاء ، وكذلك تقليل تكلفة الحل بشكل كبير.
• غالبًا ما يكون ثمن الحلول الجديدة قريبًا من الحلول الحالية ، ولكنه يمنح مستوى مختلفًا تمامًا من الحماية ، مما يبسط أيضًا الانتقال إلى حد كبير
• العدد المتزايد من الأجهزة التي توفر مستوى جديدًا من الأمان ليست سوى مسألة وقت.
• في حلول العناصر الآمنة الجديدة ، يتم نقل UICC داخل شريحة الرقاقة لزيادة الأمان وإعاقة الهجمات
• توفر الحلول الحديثة مستويات أمان تصل إلى EAL6 + كافية للاستخدام في المواقف عالية الخطورة.
• حلول مستوى EAL7 قيد التطوير ، ومع ذلك ، فإنها تستخدم تقنيات دون معيار معتمد أخيرًا ، وبالتالي لم يتم تحديد مصطلح توفرها في السوق.