【直播FAQ】Microchip 安全系列: 正确的证明如何助您免遭来自软件供应链上的攻击
[复制链接]
直播主题:Microchip 安全系列: 正确的证明如何助您免遭来自软件供应链上的攻击
内容简介:
本次研讨会涉及代码证明、运行时证明以及 OEM 最佳实践的概述。Microchip 将向您展示如何安全地开发镜像文件并签名,然后在客户端接收镜像文件并对其进行身份验证。
直播讲师:原继东(Sean Yuan)主任应用工程师
FAQ详情:
1、Microchip有哪些优点,是否安全可靠?
A:简言之生态系统够多样,所有的工具链,软件包支持多种用户的应用场景,产品的安全性也处于业内头部位置,还有就是业内最好的现场支持团队,可以帮客户快速产品落地
2、攻击是专门针对软件的吗?
A:在安全认证领域,攻击硬件及软件都是有可能的。本次讲座的内容主要是针对于软件方面。
3、如何有效防范来自针对软件升级环节的攻击?
A:保护软件安全的有效方法就是对软件进行签名和验证,签名可以保证软件的完整性和身份的鉴定,同时在执行这个签名,验证的时候,要保持签名密钥的安全性等,这个在我们今天引用的NIST的那篇文档中有比较详细的描述。
4、请问:如何防止OTA?谢谢
A:正确的OTA应该要确保其将要更新的程序必须是正确及可靠的。Microchip提供的方案可以保证在OTA之前必须验证其OTA内容的正确性。
5、采取得是硬件方案?还是软件方案?还是一种集合得方案?
A:应该说软硬需结合才能获得比较好的安全保证
6、keeloq是microchip独有的产品吗?
A:Keeloq是microchip的独有的产品。
7、需要配合硬件实现的吧
A:是的,Microchip的方案都是基于专门的安全加密芯片。这些芯片一般用来存储密钥及内置了一些标准的硬件加密引擎。
8、請問Microchip即時線上韌體更新的方式為何?
A:先验证内容的完整性后再验证内容的合法性后,再做OTA。
9、Microchip的加密芯片都有独立且唯一的ID?
A:是的。类似于MAC地址。
10、可以提高组织防止供应链攻击的可能性的方法有哪些?
A:我们在这里主要指的是软件供应链,也就是所有的软件都需要通过某种验证方式进行验证,比如通过各类MAC,非对称密码算法的签名进行签名验证。
11、可以代替ESAM芯片吗
A:要看具体方案来评估。若只是用标准的加密算法,理论是可以替换。
12、用Microchip的IDE开发的软件,会有漏洞吗?会不会有效防止攻击?
A:IDE通常不会引起软件漏洞,通过软件和硬件结合,使用合适的安全方案才能尽最大可能减少漏洞,防止攻击
13、需要和你们的MCU配合使用吗?
A:Microchip的安全方案可以用于所有的8位,16位和32位MCU/MPU系统中,提供例程源码,方便移植
14、对软件进行签名和验证,跟区块链的加密方式有相同吗
A:原理上是类似的,但实现方式上有些不同。
15、Microchip功耗大约多少
A:Microchip的ECC608功耗非常低,休眠电流只有150nA
16、安全性的增强对系统性能有影响吗?
A:固件安全的验证通常在系统引导阶段发生,验证通过后运行用户固件时不会有任何影响。在固件运行过程中的MAC验证需要的时间也是非常短的,并且通常是一次性验证或者不定时验证,基本不会影响性能
17、是否可以自动识别报警网络攻击?
A:安全升级时在检测到非法固件时可以通过网络发送报警信息,这些都是应用层可以处理的,和安全芯片本身无关
18、请问加密算法是开源的或者提供接口函数库吗?
A:Microchip安全方案提供开源C代码库,提供接口函数api供调用,还有使用例程,具体可以联系我们技术支持
19、为什么是来自软件供应链上的攻击?
A:供应链上的攻击一般做以下理解:目前很多厂商的产品一般由众多协作厂完成,如何管控这些厂家来保证其产品的真实性。避免这些协作厂突破其权限的限制,伪造或是仿制。
20、需要使用服务器吗?是与国外物理隔离的吗?
A:升级的固件通常都是放在服务器上的,服务器可以是客户自己的或者是公有云服务器,是否有物理隔离具体取决于服务器的网络架构
21、输出功率多少?
A:针对于安全认证这类芯片,因为都是数字信号,一般不谈及输出功率这个指标。
22、如果产品程序后期升级,加密软件会影响到程序通过无线方式升级吗?
A:不会
23、私钥的生成是通过CA官网,还是咱们自己也能生成一个啊?
A:私钥可以自己生成,或者通过CA官网都可以,Microchip不作指定
24、能否提供ATSHA204A进行MAC验证的相关代码
A:有的
25、如果大家都采用Microchip提供的源码,会有被其他客户破解的风险吗?
A:Microchip使用的是国际标准的算法,这些算法都是公开的,算法本身不是保密的,需要保密的是密钥,只要密钥保护好,整个系统才是安全的,所以需要有硬件来保护密钥,我们的芯片可以很好的保护客户的密钥在芯片中,目前主流的物理破解都是可以防止的
26、ATMEL之前的加密芯片,现在Microchip还会技术和方案更新吗?
A:会的,供应和技术支持,包括新产品的升级等都是Microchip一直在做的。
27、Microchip的安全开发软件包,是只适用于microchip自家的芯片,还是所有芯片?
A:适用于任何支持C语言的8/16/32 bit的单片机
28、安全启动需要通过软件的协议验证吗?
A:安全启动通常是跑在Secure bootloader中的,bootloader会对用户固件计算hash,并且验证hash,公钥和签名是否一致,如果一致的才会运行用户固件。是否需要软件协议看具体应用的需求。 新固件的下载通常需要定义协议。
29、ATSHA204A进行MAC验证的相关代码在哪里下载,还是需要发邮箱
A:我们的开源代码库中都有相关的例程,可以查看cryptoauthlib
30、Microchip的安全方案的存储空间最小需求是多少?
A:具体占用存贮空间需要根据具体应用和用到的算法来评估,由几KB到几十KB都可能, 可以联系我们的技术支持
31、是否可以实现网络分段?
A:这个功能是属于网络架构,不需Microchip的安全认证芯片参与就可以实现。
32、固件如何与芯片绑定?唯一序列号?
A:固件可以和芯片通过唯一序列号派生密钥来绑定,或者通过生成唯一的对称式密钥等都可以
33、需要的最小资源是多少?
A:具体占用存贮空间需要根据具体应用和用到的算法来评估,由几KB到几十KB都可能, 可以联系我们的技术支持
34、如何获取产品资料?
A:可以通过Microchi.com官网攻取安全方案的介绍,部分型号的详细规格需要签发NDA才能拿到,具体可以联系我们
35、如果我在物联网节点上采用安全芯片(比如508A)来防止仿冒,芯片的任务主要是什么?如何防止被仿冒的?谢谢
A:安全认证芯片ECC508,可以用于产生证书链,而证书链则跟根节点相关的。非对称加密算法保证若不是授权过的ECC508的签名的数据是能被检测出来。这个过程可以保证不被仿冒。
36、采用加密芯片对单片机代码进行保护的话,请问密钥怎么烧录?
A:密钥可以使用安全的烧写工具烧到安全芯片内,或者让Microchip帮你们烧录
37、国密几级?
A:支持国密的产品还没发布。敬请期待!
38、如何识别虚假签名
A:非对称加密算法可以验证出是不是虚假签名。只有正确的签名,才可以被公钥识别出来。
39、控制器的软件加密是通过配置单片机寄存器吗?
A:软件加密可以通过软件的AES算法或者是硬件AES加密模块来实现,具体要看MCU是否有AES硬件模块。其实对于软件最重要的是完整性和身份验证
40、如果用Microchip提供的源代码,可以再加入自定义协议来增强加密性和唯一性吗?
A:Microchip使用的是国际标准的算法,这些算法都是公开的,算法本身不是保密的,需要保密的是密钥,只要密钥保护好,整个系统才是安全的,所以需要有硬件来保护密钥,我们的芯片可以很好的保护客户的密钥在芯片中,目前主流的物理破解都是可以防止的。
41、microchip在身份验证有哪些优势?
A:高等级的独立的硬件防护,功耗低,使用简单(只需要SPI,或是IIC接口就可以使用),价格低。完整的软件支持库。
42、主要支持那些加密协议?
A:我们的安全芯片支持国际标准的算法,包括AES加密,SHA256哈希,ECDSA和ECDH等
43、对量产工具有特殊要求吗?
A:主要是保证在烧写过程中的安全,防止重要数据在烧写过程中被监听等,可以使用Microchip的烧录服务
44、加入加密算法对于单片机的内部flash容量有没有要求?
A:具体占用存贮空间需要根据具体应用和用到的算法来评估,由几KB到几十KB都可能, 可以联系我们的技术支持
45、加密芯片价格比普通的贵很多吗
A:Microchip有很多型号,可以满足不同的应用需求,所以具体需要评估你们的安全需求有哪些,再选择合适的型号,具体可以联系我们
46、Microchip的密钥都是唯一的吗?会不会被通过规律或者公式破解?
A:密钥通常有两种,对称式密钥是客户自己指定的,主要是防止人员泄漏;非对称式密钥是在芯片内部随机产生的,所有人都拿不到私钥,所以是非常安全的。安全算法本身可以防止枚举式暴力破解
47、Microchip的技术支持途径有哪些?
A:可以联系我们的销售渠道或者技术支持
48、现在的加密算法有很多。microchip内置的有多少种可以自定义吗?
A:我们的安全芯片支持国际标准的算法,包括AES加密,SHA256哈希,ECDSA和ECDH等,还有些支持RSA等,具体要看应用需求
49、单片机可以通过底层寄存器配置实现程序保护,如果增加了加密算法,还需要再配置这部分的寄存器吗?再配置程序保护寄存器会不会多余?
A:单片机自带的程序保护是最低等级的加密方法,破解难度比较小。增加加密芯片,会大大提高其保密性,针对的场合不一样。但从配置上,这两者不冲突,都可以配置上。
50、加密算法主要有哪些?
A:我们的安全芯片支持国际标准的算法,包括AES加密,SHA256哈希,ECDSA和ECDH等
51、能自动屏蔽一些常用攻击吗?
A:Microchip的安全认证芯片,在设计芯片初期就考虑到了众多可能的攻击,在现实当中是可以屏蔽掉很多常用的攻击
52、对于防抄板,有什么建议的解决方案,5元以内可接受
A:可以在系统里增加一颗microchip的SHA104产品,成本小于5元。
53、软件供应链上的攻击可以自动拦截吗?
A:通过加入安全方案,可以通过技术手段检测到软件的来源是否可信,如果不可信就可以拒绝升级,这样就可以拦截了
54、身份管理如何分级?
A:可以根据证书链,分级签发证书来进行分级管理。
55、学习需要哪些基本知识?
A:可以在网上先学习一些如HASH,ECC算法。了解其原理即可以使用microchip的芯片。在本月中下旬,microchip会在上海及深圳举行相关的研讨会,有相关的课程,也欢迎您报名参加学习。
56、如何安全启动?
A:在启动前,确认要运行的程序必须是安全可靠的。Microchip有完整的方案可以实现安全启动。请到以下链接查看具体信息:
https://www.microchip.com/en-us/products/security/security-ics/cryptoauthentication-family/use-case-archives/secure-boot
57、能否举一个具体的避免芯片级攻击的策略?
A:使用Microchip的高安全等级安全芯片来保存私钥,密钥保存在芯片内不能被读取只能使用。
58、在贵公司低端的8位单片机中如果加入软件加密算法,内部存储容量够吗?
A:若是简单的HASH算法,是可以实现。但运行速度会比较慢。
59、增加软件加密部分的功能后,会影响到原有寄存器配置吗?
A:软件加密的功能不涉及寄存器配置。所以不会影响。
60、如果要保证可靠加密性能,需要外部的加密芯片吗?
A:是的,建议使用专门的安全芯片提高安全等级
61、硬件加密呢,有什么解决方案,有直播介绍吗?
A:我们有多种安全芯片提供,如ATSHA204,ATECC608等,请去Microchip官网查询:www.microchip.com 或者联系我们当地技术支持
62、如何更好地避免攻击?
A:将密钥与程序、人隔离,使用专门的安全芯片保护
63、软件攻击的切入点有哪些?
A:有多种手段,一般是从薄弱环节攻击
| 
提升卡
变色卡
千斤顶
1/7 
京公网安备 11010802033920号
Copyright © 2005-2025 EEWORLD.com.cn, Inc. All rights reserved
