554|1

9098

帖子

8

资源

管理员

【FAQ】:利用PKCS #11和安全器件开发Linux®系统的安全IoT边缘设备到云端应用 [复制链接]

直播主题利用PKCS #11和安全器件开发Linux®系统的安全IoT边缘设备到云端应用|Microchip 安全解决方案系列研讨会 第18场

 

内容简介:本次研讨会上,您将了解如何在联网的嵌入式Linux应用中实现代码的可重用性,简化集成并降低维护费用,以实现安全身份验证。我们的安全专家将探讨我们的解决方案是怎样通过CryptoAuthLib库和安全加固器件(如可信平台的ATECC608和TrustAnchor TA100)支持标准PKCS #11接口。

 

直播讲师:徐波(Barry Xu) |Microchip 资深应用工程师

 

FAQ详情:

1、sleep模式下唤醒速度如何
A:60us就可以了
2、安全库需要占用多少资源?8位机可能资源不够
A:8位的要看用到哪些API, 最好有10K以上
3、在使用 USB HID 设备的 Linux 项目中怎么合并 CryptoAuthLib呢?
A:Cryptoauthlib可以支持USB HID协议的通信方式,可以直接通过USB口来调用外部的安全芯片,前提是安全芯片需要一个USB HID到I2C的转换芯片,这个也有现成的方案,都是开源的
4、安全芯片哪些加密算法
A:ECCP256,SHA256,AES,RSA等
5、设备公钥使用的genkey是什么级别
A:genkey是一个命令,可以通过这个命令实现生成新的密钥对,或者用已有的私钥产生对应的公钥
6、云端用的是哪个云
A:google, amazon, azure
7、安全芯片支持哪些通讯方式?
A:I2C,SWI,SPI
8、代码是开源的吗
A:Microchip CryptoAuthlib 是开源的
9、请问PKCS#11是直接固化到终端设备上的吗?
A:PCKS#11是API
10、PKCS11标准的最大优势是什么?
A:PKCS11是提供了一个上层应用和安全硬件的软件适配层,最大的优势就是兼容各种不同的安全硬件
11、功耗如何
A:sleep电流大概30nA,工作时最大电流为14mA
12、WINC1500内置了TLS协议栈,用它来实现边缘设备到云端的连接,是否还需要使用ATECC608?如果需要,哪款比较合适?
A:TLS只是代表可以实现安全连接,但所需要的安全机密信息如何保存并没有说明,如果需要更高的安全性,也可以外挂608实现
13、从功能上讲,trust&go、flex、custom的主要区别是啥?
A:Trust&go是预配置好,不能修改, Trust flex是预配置,但可以给客户加附加功能,好像secure boot。Trustcustom 是一片空白的ECC608
14、请问一下,这个开源系统,如何落实安全措施?
A:安全平台主要是保护密钥,ECC608是用来保护密钥,开源代码对安全是没有影响
15、如果我把P256签名证书存放在ATECC器件里,有没有潜在的安全隐患?
A:安全芯片可以安全的保管这些机密信息,在安全芯片内已经实现了多种安全保护
16、PKCS#11有哪些应用领域呢?
A:不同的安全应用领域,包括IOT网络,安全验证等
17、蓝牙通讯的加密必须使用5.0以上吗
A:不一定,取决于你的应用,我们有基于4.0的安全加密连接参考案例
18、预配置安全件修改参数在哪看看到?
A:参数一般都固化好的,但是对于一些slot的内容可以根据配置进行修改
19、软件的开发环境有哪些?
A:常用的Linux开发环境都支持,包括C/C++和Python等
20、密匙预配置后能在后期修改吗?
A:代表身份的私钥是不允许修改的
21、支持哪些RTOS?
A:对于RTOS来说,我们并没有特别指定,目前来说FreeRTOS,Linux我们都有相应的例程
22、IIc通信有防护吗?
A:对于一些关键信息,我们提供IO Protection这种方式对于I2C的通讯数据进行保护
23、IO Protection相关介绍资料可以发一下吗?
A:跟我们工程师联系
24、PKCS#11使用对时间上增加多少?
A:关键是与什么相比?如果与没有安全连接的进行对比,那么时间会增加不少,但如果是跟之前用软件实现的安全连接对比,时间会减少很多,毕竟安全芯片提供了硬件的安全密码算法的支持,可以提速不少
25、预烧录是什么意思呢?有什么好处呢?
A:好处是密钥不会被人家获取
26、符合国内加密标准吗
A:后续系列待考虑
27、可信的唯一标识是指什么?
A:就是代表身份的唯一的私钥
28、密钥可以用户私有设置吗?
A:可以
29、提供底层库的技术支持吗
A:可以提供
30、CRYPTOAUTHLIB库的移植需要具备什么条件呢?
A:可以用于任意平台,只需要有I2C接口,不管是硬件I2C还是IO口模拟的都可以,需要预留足够的flash和ram,移植时只需要关注HAL层,实际上只是对I2c读写按要求做了一次封装,还是很简单的
31、需要云识别,没有网络怎么办?
A:没有网络无法实现
32、芯片采用哪些加密算法?内部有唯一ID吗?
A:每个芯片都有唯一的72位序列号;ECC608支持SHA256, ECDSA256, ECDH/ECDHE256和AES128, TA100另外还支持RSA算法等
33、请问,可以扩展其他加密方式吗
A:目前只支持我们安全芯片支持的安全密码算法,我们有多种安全芯片,支持的安全密钥算法也有很多
34、支持哪些通信协议
A:目前主要是安全芯片的通讯接口,包括I2C,SWI,还有SPI
35、根据机制加密,PKCS#11可以分为几类呢?
A:你指的是密码算法吗?如果是,那其实主要是安全芯片支持的那些算法,都是目前主流的算法
36、边缘设备的数据处理速度多少
A:取决于边缘设备的处理能力
37、PKCS#11的简化应用模式有哪些呢?
A:取决于应用,看你需要安全密码实现方式中的哪些方式,但是如果要简化,为啥要用PKCS11?
38、有没有全套设计参考案例?
A:如果是参考代码的话,我们在Github:https://github.com/MicrochipTech/cryptoauthlib/wiki/PKCS11
39、如果使用默认凭据,应该如何获取设备的公钥和证书?
A:设备的公钥本身不具有私密性,可以通过读取安全芯片或者使用genkey产生,证书的话我们一般会把一些证书里的关键信息放到安全芯片里,然后通过证书重构函数来重新构建证书,另外默认凭据如何和器件的证书和密钥关联起来,构成整个完整的信任链,这个是系统需要考虑的,具体我们可以后续沟通
40、C和python语言构建的应用程序能兼容吗?
A:实现上我们的Cryptoauthlib会编译成一个动态链接库,这样不管是C还是Python都是可以直接调用这个动态链接库的,所以可以互相兼容的
41、PKCS#11大批量使用了吗?
A:是
42、软件中集成也需要硬件环境支持吧
A:是的,需要在主控外接通过I2C, SWI或SPI, 以及USB来和安全芯片通信,这样软件才能运行起来
43、加密方式有几级?
A:是指加密安全级别属于哪一级吗?Microchip的安全元件符合Jil最高等级。
44、支持什么通信协议,通信过程如何保障安全性?
A:通讯接口我们支持I2C,SPI和SWI,通讯过程中的安全性我们提供IO Protection这种方式进行保证
45、只能用到linux平台吗?
A:我们的Cryptoauthlib可以用在任何平台,包括MCU和MPU等都可以,只是在Linux中用PKCS11有很多优势,兼容和统一接口等
46、ATECC608提供linux平台的驱动么?
A:我们的Cryptoauthlib在跑在用户层的,直接调用Kernel里面的i2c设备来读写的;Linux底层驱动是Kernel本身实现的
47、是否有RSA加密算法的方案?
A:我们的安全芯片TA系列支持RSA的算法
48、CryptoAuthLib可以在哪些平台上运行呢?
A:我们没有平台的限制
49、有没有车规级芯片应用
A:我们有车规级的安全芯片,也有相应的一些应用
50、如何保证预配置服务是安全的?有检查机制吗
A:我们有一个经过安全认证的,并且被7*24小时监控的预置服务环境,在客户提交自己的安全信息的时候,不会经过任何第三方,直接点对点的将自己的安全信息传递到我们的HSM机器上
51、支持蓝牙通讯的加密吗?
A:新的蓝牙已经提供了一些加密的通讯机制,但是我们可以配合安全芯片提供更高的安全性,我们有一些相关的参考例程,具体可以咨询我们的工程师。如果是指数据加密,ECC608支持少量数据加密
52、如果使用Trust&Go或者FLEX安全器件,需要直接联系microchip官方渠道来获取吗?还是可以从分销商或者代理商渠道采购?如果从分销商或者代理商渠道购买,安全参数也由他们代为定制吗?谢谢
A:也可以通过代理商,但对于所需要的manifest,需要代理商在microchip拿到后,转给客户
53、又没有具体应用场景和具体应用案例?
A:一般我们所说的IoT的应用,像现在的AWSl,GCP或者Azure,甚至是一些私有云我们都可以做
54、医疗数据用什么安全方案
A:医疗数据安全设计真实性验证及数据私密性及完整性保护,如果涉及Linux,可以考虑PKCS#11+CRYPTOLIB实现三个不同方面
55、有全套的解决方案么
A:有,可以到microchip网站去看
56、有没有开发套件
A:有的,具体可以按照你们的要求咨询我们各地的技术支持
57、芯片内部有唯一ID吗?
A:有的,每个芯片都有自己唯一的序列号
58、有几种封装
A:有多种封装,比如SOIC,UDFN,3-lead Contact, 如果需要更小的封装可以咨询microchip各地销售
59、请问,贵司这类产品用在IPC上的云端应用吗?
A:有客户在用
60、云链接的通讯采用什么方式?
A:云连接就是通过以太网或者WIFI
61、云端如何保障安全性
A:这个要看云的安全架构,TLS是一个好例子
62、如何保证在云端的信息安全问题
A:这个要看云端的安全机制,ECC608是保证节点的密钥安全
63、安全芯片密钥如何发放
A:这个一般是在安全的环境中,比如我们的HSM环境下,由安全芯片自己产生,也可以自己写入自己设定的私钥,但这种方式我们其实并不推荐
64、提到的接口方式都可以提供案例是吗?
A:这个在CAL里都提供了支持,客户只需要指定接口类型,针对自己的平台,做好接口的配置就好了
65、如果自己系统已有网络安全系统,是否可以兼管你们这个开源的嵌入式系统?
A:这个只要能够兼容我们安全芯片现在支持的安全密码算法就可以了
66、支持的接口类型哪些
A:支持I2C和SPI接口,以及USB HID
67、如何使用 cryptoauthlib python 模块呢?
A:只需要在python中通过pip install cryptoauthlib就可以自动下载安装库了,通过github上的cryptoauth_tools例程就可以用Python来访问安全芯片了, https://github.com/MicrochipTech/cryptoauthtools

此帖出自安防电子论坛

扫一扫,关注 EEWORLD 微信订阅号

行业资讯、电子趣闻、技术干货、精彩活动……尽可掌握~

个人签名微信搜索公众号“EEWORLDBBS”快去添加关注吧!

回复

758

帖子

1

资源

一粒金砂(高级)

3、在使用 USB HID 设备的 Linux 项目中怎么合并 CryptoAuthLib呢?
A:Cryptoauthlib可以支持USB HID协议的通信方式,可以直接通过USB口来调用外部的安全芯片,前提是安全芯片需要一个USB HID到I2C的转换芯片,这个也有现成的方案,都是开源的

 

 

这个USB HID到I2C的开源方案哪里有?


回复
您需要登录后才可以回帖 登录 | 注册

查找数据手册?

EEWorld Datasheet 技术支持

最新文章 更多>>
    关闭
    站长推荐上一条 1/6 下一条

    About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

    站点相关: 安防电子 汽车电子 手机便携 工业控制 家用电子 医疗电子 测试测量 网络通信 物联网

    北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

    电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2022 EEWORLD.com.cn, Inc. All rights reserved
    快速回复 返回顶部 返回列表