新的微芯片MCU增加了來自外部閃存的安全引導保護

New Microchip MCU Adds Secure Boot Protection from External Flash

對于從外部SPI閃存啟動的操作系統(tǒng)，Microchip技術引入了其最新的加密微控制器（MCU），以防止惡意rootkit和bootkit惡意軟件，從而實現(xiàn)了安全引導，硬件根信任保護符合NIST 800-193指南。

隨著5G的增長，包括新的蜂窩基礎設施、網(wǎng)絡和數(shù)據(jù)中心，支持不斷擴大的云計算，開發(fā)者需要確保操作系統(tǒng)保持安全和不妥協(xié)。一個普通的Rootkit用來防御惡意軟件，這是一種很難在啟動前隱藏惡意軟件的方法。使用硬件根信任的安全引導對于在系統(tǒng)中加載威脅之前保護系統(tǒng)免受威脅至關重要，并且只允許系統(tǒng)使用制造商信任的軟件引導。

因此，Microchip的新CEC1712 MCU是基于Arm Cortex-M4的第三代設備，同時它的Soteria-G2定制固件旨在在運行時之前檢測并阻止惡意固件，從而使設計人員能夠快速采用并實現(xiàn)安全引導。Soteria-G2使用CEC1712不可變安全引導加載程序，在只讀存儲器（ROM）中實現(xiàn)，作為信任的系統(tǒng)根。

在一次簡報中，珍妮特·威爾遜說embedded.com網(wǎng)站，“我們的目標是任何可以從SPI flash啟動的東西。CEC1712在設備中內(nèi)置了重要的硬件加密技術，可節(jié)省大量代碼空間，最多可節(jié)省15k代碼。這使得操作速度更快，例如，所有驗證都可以在70毫秒內(nèi)完成。”

微芯片的CEC1712和Soteria-G2組合在5G和數(shù)據(jù)中心操作系統(tǒng)的預引導過程中可以防止惡意軟件，同時它也是連接的自動車輛操作系統(tǒng)、汽車高級駕駛員輔助系統(tǒng)（ADAS）和其他從外部SPI閃存啟動的系統(tǒng)的安全啟用碼。

除了在預引導模式下為從外部SPI閃存啟動的操作系統(tǒng)提供安全引導和硬件根信任保護，CEC1712還提供密鑰撤銷和代碼回滾保護，以支持現(xiàn)場安全更新。這對于遵守NIST 800-193平臺固件彈性指南非常重要，該指南規(guī)定保護、檢測和恢復機制適用于：

確保平臺固件代碼和關鍵數(shù)據(jù)保持完整狀態(tài)，并防止損壞，例如確保固件更新的真實性和完整性的過程。

檢測平臺固件代碼和關鍵數(shù)據(jù)何時已損壞或以其他方式從授權狀態(tài)更改。

如果檢測到任何此類固件代碼或關鍵數(shù)據(jù)已損壞，或在通過授權機制強制恢復時，將平臺固件代碼和關鍵數(shù)據(jù)恢復到完整狀態(tài)?；謴蛢H限于恢復固件代碼和關鍵數(shù)據(jù)的能力。

Wilson說，當原始設備制造商受到黑客攻擊時，密鑰撤銷是很重要的，如果私鑰被拿走并發(fā)出新的密鑰，則需要拒絕以前的密鑰。這聽起來很明顯，但比聽起來更困難，因為問題是如何引入新的密鑰和拒絕已簽名的密鑰

CEC1712安全引導加載程序從外部SPI閃存加載、解密和驗證要在CEC1712上運行的固件。經(jīng)過驗證的CEC1712代碼隨后對存儲在SPI
flash中的第一個應用處理器的固件進行身份驗證。最多支持兩個應用處理器，每個處理器支持兩個閃存組件。

代碼執(zhí)行從cec1712rom開始，應用程序代碼用原始設備制造商的私鑰在SPI flash中簽名，保持處理器復位直到代碼在MCU中被驗證，之后主機處理器從SPI flash加載并執(zhí)行經(jīng)過驗證的代碼。

Microchip或Arrow Electronics提供了預配置客戶特定數(shù)據(jù)的選項。預供應是一種安全的制造解決方案，有助于防止過度建設和造假。除了節(jié)省長達數(shù)月的開發(fā)時間外，該解決方案還大大簡化了資源調(diào)配流程，使客戶能夠輕松地保護和管理設備，而無需第三方資源調(diào)配服務或證書頒發(fā)機構的間接成本。

Wilson補充說，雖然客戶變得越來越老練，但并不是每個人都具備安全方面的專業(yè)知識。“Soteria使他們能夠執(zhí)行安全引導代碼?！贝a開發(fā)是在MPLAB集成開發(fā)環(huán)境（IDE）工具套件中進行的。

CEC1712是微芯片的第三代MCU，所以我們問：與CEC1702
MCU相比，有什么主要區(qū)別？Wilson說，上一代不能做完全冗余啟動，而CEC1712在這方面完全滿足NIST 800-193的要求。此外，除了密鑰撤銷和代碼回滾保護，新的MCU還具有一個支持4字節(jié)SPI地址模式的引導ROM，使用SHA-384散列（而不是SHA-256）。另一個區(qū)別是在線用戶可編程OTP，它可以通過Soteria-G2固件進行定制，用于游戲中的可編程鍵盤等應用。

CEC1712和Soteria-G2軟件包提供多種軟件和硬件支持選項；軟件支持包括Microchip的MPLAB X IDE、MPLAB Xpress和MPLABXC32編譯器；硬件支持包括程序員和調(diào)試器，包括MPLAB ICD 4和PICkit 4程序員/調(diào)試器。CEC1712H-S2-I/SX可批量生產(chǎn)10000件，起價4.02美元（包括Soteria-G2固件）。

威爾遜說，一些客戶已經(jīng)開始取樣，有些正在進行全面生產(chǎn)。她說，客戶包括重要的服務器公司、多功能打印機公司以及航空航天和國防領域。Microchip也瞄準了游戲、汽車和電腦/筆記本電腦客戶。

總結

以上是生活随笔為你收集整理的新的微芯片MCU增加了来自外部闪存的安全引导保护的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。