Arm力推PSA Certified認證 作為因應IoT安全法規的基石 智慧應用 影音
DForum1101
ST Microsite

Arm力推PSA Certified認證 作為因應IoT安全法規的基石

  • 李佳玲台北

據統計,截至2023年全球連網裝置數量達160億台,已是全球人口的兩倍之多!然而,IoT應用激增的普及性與彼此互聯,正意味著網路威脅與風險日益升高。因此,多國政府已把裝置安全性視為重要的國安議題,正著手立法實施中。此趨勢對整個IoT產業,從IP、晶片、軟體到終端裝置,都將帶來衝擊,如何因應各種安全規範與法律已成為業者亟待克服的挑戰。

對此,Arm透過在新版PSA Certified Level 1 v3.0認證中納入包括歐盟與英國等不同法規的建議要求,並憑藉著其積極建構的堅強安全生態系統,協助業者提早因應做好準備。

左為Arm安全總監暨PSA Certified主席Rob Coomb,右為Arm平台安全架構業務開發總監Anurag Gupta。Arm

左為Arm安全總監暨PSA Certified主席Rob Coomb,右為Arm平台安全架構業務開發總監Anurag Gupta。Arm

業者不可忽視的安全立法趨勢

PSA Certified平台安全架構認證是Arm為了因應各種潛藏的安全問題,於2017年起開始推動獨立的第三方評估方案,目前全球總計有198款PSA Certified產品,已成為IoT產業共通的安全平台。

針對最新的安全立法趨勢,Arm安全總監暨PSA Certified主席Rob Coombs表示,在歐洲,各國政府正在制定網路安全法規,對於經營歐洲市場的台灣業者來說,要在法律實施前就先做好準備,是非常重要的。

英國的PSTI(產品安全電信基礎設施)法案,是最快會實施的方案,即將於2024年4月生效。此外,歐盟的CRA(網路安全強韌法案)目前也正在立法中;在美國,州法律已禁止使用預設密碼,例如,加州的 SB-327等。

「針對PSTI,製造商可以使用PSA Level 1認證來記錄他們送審的晶片/裝置/軟體設計是否遵循了物聯網威脅模型以及如何滿足安全的要求,並讓第三方實驗室審核他們提供的答案。至於EU CRA,新版本的PSA Level 1認證亦包含法規中建議的要求,以便企業可以2024年開始準備,無須等到法規和標準生效後才著手進行。由於PSA Certified已是廣為業界接受的安全方案,以此為設計基礎,將能協助業者以更具成本效益、更簡單的方式面對即將面臨的安全法規問題。」

協助OEM業者克服安全設計挑戰

除了各種安全標準之外,現在OEM業者又面臨了新的法規問題,使得IoT裝置的安全設計難度更高。對此,Rob Coombs認為,法規將會是業者更為重視的議題,因為這涉及了能否銷售產品,因此,實務上產品是否能在設計之初就遵循安全原則,將是業者面臨的設計挑戰之起始點。

但另一方面,對整個OEM的價值鏈來說,其複雜度更是一項挑戰。晶片業者需負責提供硬體信任根 (RoT),其中包含加密與密鑰等安全功能。再上一層的軟體,如Amazon FreeRTOS或Linux平台,需負責執行空中下載(OTA)更新與安全通訊。通常,OEM業者是把軟硬體結合,並搭配其開發的應用程式,以建構完整裝置,但軟體與硬體並不是自行開發的。

為克服此問題,PSA Certified要做的便是為SoC定義信任根(RoT),以確保裝置最根本的安全性。Rob Coombs強調,PSA Certified的成功之處在於,我們為晶片RoT開發的開源軟體,包括用於MCU的TF-M,以及MPU的OP-TEE安全服務。透過安全硬體與軟體的結合,PSA RoT為OEM及軟體生態系統標準化了跨晶片的加密功能,為OEM業者提供可遵循的安全設計原則。

他比喻說,「如同PC有BIOS和TPM,基於Arm架構的晶片有PSA Certified RoT以實現安全開機與加密功能。」

以信任根(RoT)出發 建構堅強的安全生態系統

Arm平台安全架構業務開發總監Anurag Gupta補充說,PSA Certified共有三個不同級別的認證,Level 1是具備硬體RoT以及通過實驗室的書面評估回應,Level 2是晶片通過實驗室針對基本軟體攻擊的測試,適用於連網裝置,Level 3則更為複雜,是通過RoT實驗室的實體與軟體攻擊,包括要通過物理滲透評估。

因此OEM業者可針對其需求,明確選擇適當的安全等級,是只需要通過軟體攻擊,或是需要能通過軟/硬體攻擊。「這是業界第一次,有個共通語言,讓OEM業者能夠告訴晶片業者,他們需要具備何種安全等級的晶片,這對於安全設計來說,是邁出了一大步。」

此外,由於許多軟體人員並不熟悉安全技術,透過定義好的PSA Certified API,能使開發人員更輕鬆地發揮晶片中提供的安全功能,他們不管底層是採用哪一家的晶片方案,都能以相同的應用程式來支援其硬體安全功能,這大大減化了產品的開發工作。

Rob Coombs表示,PSA Certified是獨立於架構的,並不是只有基於Arm架構的晶片才能取得此認證,其他架構亦適用。只是,Arm的各種安全技術,像是TrustZone,由於已經針對PSA進行最佳化設計,因此基於Arm架構的晶片更能獲益於PSA Certified的優勢。

因此,在Arm多年的推動下,PSA Certified不僅已獲得領先晶片業者的採用,並已廣泛擴大到眾多軟體與裝置業者,建構了強大的安全生態系統。

與此同時,Arm也持續強化其安全技術,除了在較新的 Arm 處理器上增加MTE(記憶體擴充標籤)的防護方式,可有效減少記憶體安全違反與記憶體損壞的嚴重安全錯誤,大幅減少被攻擊的機會之外,Arm也將於2024年稍晚將可信任韌體轉為長期穩定(Long Term Stable)的發布模式,以使在Arm架構上實現安全解決方案更具吸引力。

可造訪PSA Certified網頁

點此下載2023 PSA Certified Security Report - 法規與安全:乘數效應,了解因應安全性需求提高,使得安全投資成本不斷增加之下,PSA Certified創始者與夥伴對於連網裝置安全的洞察。


關鍵字