Die Wireless-Gecko-Series-2-Plattform von Silicon Labs nutzt Secure Vault, indem sie Sicherheitssoftware mit PUF-Hardware (Physical Unclonable Function) kombiniert, um das Risiko von IoT-Sicherheitsverletzungen und der Gefährdung geistigen Eigentums (IP) zu verringern. Das Sicherheits-Subsystem, einschließlich dediziertem Core, Bus und Speicher, ist vom Host-Prozessor getrennt.

Dieses Design der Hardwaretrennung isoliert kritische Funktionen wie die Verwaltung sicherer Schlüsselspeicher und die Verschlüsselung in ihren eigenen Funktionsbereichen, wodurch das gesamte Gerät bzw. System sicherer wird. Die Kombination von Sicherheitsfunktionen ist für Unternehmen interessant, die sich mit regulatorischen Maßnahmen befassen müssen wie GDPR in Europa und SB-327 in Kalifornien.


Secure Vault verbessert ...

die IoT-Sicherheit durch eine Kombination aus Hardware- und Softwarefunktionen, die es Herstellern erleichtern, ihre Marken-, Design- und Kundendaten zu schützen. Durch die Integration eines Sicherheitssystems in einen Funk-SoC lässt sich die Entwicklung vereinfachen und vernetzte Geräte lassen sich während des gesamten Produktlebenszyklus über Funk aktualisieren (OTA; Over The Air Update).

Die Bereitstellung echter, vertrauenswürdiger Software oder Firmware für vernetzte Produkte dient dazu, unvorhergesehene Exploits und Bedrohungen zu vermeiden und behördlichen Vorgaben zu entsprechen.


Sichere Geräte-Identität

Eine Herausforderung für vernetzte Geräte ist die Authentifizierung nach der Bereitstellung. Der Factory Trust Provisioning Service von Silicon Labs mit optionaler sicherer Programmierung stellt während der IC-Fertigung ein sicheres Bauteil-Identitätszertifikat (ähnlich einer Geburtsurkunde) für jeden einzelnen Halbleiterbaustein aus. Damit sind Sicherheit, Authentizität und attestierungsgestützte Integritätsprüfungen nach der Bereitstellung garantiert. Das Bauteilzertifikat garantiert die Echtheit des ICs über seine gesamte Lebensdauer.


Sichere Schlüsselverwaltung und -speicherung

Die Wirksamkeit eines Sicherheitssystems für den Bauteil- und Datenzugriff hängt direkt von der Geheimhaltung der Schlüssel ab. Mit Secure Vault werden Schlüssel verschlüsselt und vom Anwendungscode isoliert. Ein praktisch unbegrenzter sicherer Schlüsselspeicher steht bereit, da alle Schlüssel mit einem Master-Schlüssel verschlüsselt werden, der mit einem PUF erzeugt wurde.

Die Signaturen während des Einschaltens gelten nur für einen einzelnen Baustein. Während dieser Einschaltphase werden die Hauptschlüssel erstellt, um deren späteres Speichern zu vermeiden und Angriffsszenarien weiter zu reduzieren.


Erweiterte Manipulationserkennung

Diese Funktion bietet eine Reihe von Möglichkeiten, von der einfach zu implementierenden Manipulationssicherheit des Produktgehäuses bis hin zur Erkennung ausgeklügelter Chip-Manipulationsversuche durch Spannungs-, Frequenz- und Temperaturmanipulationen. Hacker nutzen diese Veränderungen, um Hardware oder Software zu einem unerwarteten Verhalten zu zwingen, wodurch Schwachstellen für Glitch-Angriffe entstehen.

Mit konfigurierbaren Funktionen gegen Manipulationsversuche lassen sich geeignete Gegenmaßnahmen mit Interrupts, Resets oder im Extremfall mit dem Löschen geheimer Schlüssel einrichten.