Nochmals vielen Dank, dass Sie an unserer Sitzung über Embedded Security teilgenommen haben. Hier sind die Fragen, die auf die Präsentation folgten, und ihre Antworten. Wenn Sie weitere Fragen haben, wenden Sie sich bitte an uns .
Unterstützen alle i.MX Prozessoren Secure Boot, um die Vertrauensbasis zu schaffen?
NXP: Ja, alle i.MX-Prozessorfamilien unterstützen sicheres Booten, wobei je nach Prozessorfamilie entweder HAB oder AHAB verwendet wird. Neuere Prozessoren unterstützen auch ECDSA-Schlüssel für High Assurance Boot.
In Ihrer Präsentation haben Sie Secure Boot und Encrypted Boot erwähnt. Können beide zusammen verwendet werden?
NXP: Ja, Sie benötigen Secure Boot, bevor Sie den Schritt des verschlüsselten Bootens durchführen können. Sie möchten kein Image verschlüsseln, das nicht zuvor authentifiziert wurde, um die Ausführung von nicht vertrauenswürdigem Code mit Malware zu verhindern. Die verschlüsselte Boot-Funktion fügt eine zusätzliche Sicherheitsoperation zum sicheren Boot hinzu.
Kann der sichere Boot-Prozess mit Mainline u-Boot und Linux-Kernel-Versionen verwendet werden?
NXP: Ja, Secure Boot kann mit Mainline u-Boot und Linux-Kernel-Versionen verwendet werden und wir haben Schritt-für-Schritt-Anleitungen, um Benutzer durch diesen Prozess zu führen: Sicheres Booten - Schritt-für-Schritt-Anleitungen für HAB- und AHAB-fähige Geräte.
Hinweis: Bitte wechseln Sie auf die gewünschte BSP-Version.
Können vertrauenswürdige Ausführungsumgebungen wie OPTEE authentifiziert werden, um den Root of Trust zu erweitern?
NXP: Ja, OPTEE oder jedes andere TEE kann authentifiziert werden, um die Root of Rust zu erweitern.
Welchen i.MX-Prozessor oder welches Digi SOM würden Sie uns empfehlen, um mit den heute beschriebenen Sicherheitsfunktionen zu beginnen?
Digi: Nun, das hängt wirklich von Ihrer Endanwendung ab. Da alle i.MX-Prozessoren und Digi ConnectCore® SOMs die heute besprochenen Secure-Boot-Funktionen unterstützen, müssen Sie prüfen, welche zusätzlichen Funktionen erforderlich sind. Die neuen i.MX 8 Prozessoren sind sicherlich sehr beliebt und bieten eine Reihe von Sicherheits- und Verarbeitungsfunktionen, die zu Ihrer Anwendung passen.
Eine Liste der ConnectCore SOM-Optionen sowie ein Produktvergleichstool finden Sie auf der Seite Digi SOMs. Oder setzen Sie sich mit einem Digi-Vertreter über den Link Kontakt in Verbindung.
Wo erhalte ich weitere Informationen über den sicheren Boot-Prozess für i.MX-Prozessoren?
NXP: Wir haben eine ausführliche Dokumentation wie z. B. Anwendungshinweise auf unserer Website und Schritt-für-Schritt-Anleitungen auf Code Aurora für einen sicheren und verschlüsselten Bootvorgang, um Ihr System sicher zu booten und die Root of Trust zu etablieren:
Digi: Wir haben Secure Boot als Teil der Digi TrustFence® Sicherheitsbausteine für Linux und Android vollständig integriert. Die Informationen, die Sie zum Aktivieren und Verwenden benötigen, sowie Erläuterungen zu den Konzepten und der Infrastruktur finden Sie in der Digi-Dokumentation.
Wenn das Modul infiziert wird, werden die Daten vor der Verschlüsselung verändert. Wie kann man diese Art von Malware besiegen?
NXP: Benutzer müssen sicheres Booten durchführen, bevor Sie den Schritt des verschlüsselten Bootens durchführen können. Sie möchten kein Image verschlüsseln, das nicht zuvor authentifiziert wurde, um die Ausführung von nicht vertrauenswürdigem Code mit Malware zu verhindern. Die Funktion für verschlüsseltes Booten fügt eine zusätzliche Sicherheitsoperation zum sicheren Booten hinzu.
Wie sieht die Benutzeroberfläche aus, die es den Benutzern ermöglicht, Firmware sicher zu aktualisieren und Zertifikate zu verwalten? Führen Kunden diese Funktionen aus oder gibt es Managed Service Provider, die dies tun?
NXP: Alles, was mit der Firmware-Verwaltung und dem OS-Management zusammenhängt, wird derzeit von unseren Partnern (Clouds und Drittanbieter) durchgeführt. NXP hat derzeit keinen hauseigenen Service dafür, kann aber Partnerinformationen zur Verfügung stellen.
Digi: Für Digi-Geräte können Sie mit Digi TrustFence® sichere Firmware-Updates durchführen. Siehe die TrustFence-Dokumentation.
Wir haben festgestellt, dass NXP die Vigiles™ an mehreren Stellen befürwortet. Sind die Patches und Mitigations von NXP validiert?
NXP: NXP Linux Software GA-Releases verwenden das Vigiles™-Tool, um sicherzustellen, dass Patches korrekt angewendet und validiert werden. Bei kundenspezifischer Software stützt sich Vigiles™ auf Upstream-Validierungen. Darüber hinaus stellt Vigiles™ Referenzlinks zu Exploits/Minderungen bereit, wenn diese verfügbar sind, damit Kunden die Validierung des Fixes oder die Anwendung der entsprechenden Minderungen einrichten können. Weitere Informationen finden Sie in den Vigiles™-Inhalten.
Wie hilft Root of Trust, wenn die Lieferkette ausfällt? Infizierte Programme in das Gerät geladen werden?
NXP: Sichere Fertigung ist wichtig. Unser Fertigungs-Webinar bietet einige nützliche Informationen dazu.
NXP bietet auch Fertigungsschutzfunktionen für ausgewählte i.MX-Prozessoren an. Siehe unsere Fertigungsinformationen zur Sicherung der Kante.
Erlauben Sie Boot-Updates/Upgrades?
NXP: Der anfängliche Secure Boot, der vom internen unveränderlichen On-Chip-ROM ausgeht, kann nicht aktualisiert/aufgerüstet werden. Der vom Kunden verwendete sekundäre Bootloader kann jedoch über verschiedene Mechanismen aktualisiert werden. Ein Beispiel für die Durchführung von Secure Over-the-Air-Updates finden Sie in der Application Note Secure Over-the-Air Prototype for Linux Using CAAM and Mender or SWUpdate.
Digi: In der Digi TrustFence® -Dokumentation finden Sie Anweisungen zur Durchführung von sicheren Firmware-Updates (die ein signiertes / verschlüsseltes Bootloader-Image enthalten können).
Erhebt NXP Gebühren für EdgeLock™ 2GO-Dienste?
NXP: Ja, der Service verwendet ein Pay-as-you-go-Modell (Gebühr pro Schlüssel / Zertifikatsausstellung, Widerruf). NXP kann einen Kostenvoranschlag für Ihre spezifische Anwendung erstellen. Weitere Informationen finden Sie auf der EdgeLock 2GO-Seite.
Hallo Asim, könnten Sie sich zu Situationen äußern, in denen der Einsatz von EdgeLock™ 2GO sinnvoll ist und wann die Verwendung der Kryptofunktionen von I.MX 8 sinnvoll ist?
NXP: EdgeLock™ 2GO ist ein SaaS-Service, während der i.MX ein sicherer Prozessor ist, daher sind sie nicht vergleichbar. EdgeLock™ 2GO ist auf i.MX und anderen SoCs verfügbar, die an eine SE050 SE angeschlossen sind. EL 2GO kann Zertifikate auf i.MX + SE050-Geräten im Auftrag der Kunden verwalten; SE050 + EL 2GO erweitert die Sicherheitsfunktionen des i.MX (Schlüsselverwaltung, Root of Trust, Zero Touch Cloud onboard). Siehe das EdgeLock 2GO Whitepaper.
Kunden können die Schlüssel/Zertifikate jedoch weiterhin auf den i.MX-Prozessoren verwalten und dabei die kryptografischen/Schlüsselspeicherfunktionen der i.MX nutzen. Siehe i.MX Verschlüsselte Speicherung mit CAAM Secure Keys
Anwendungshinweis.
Können wir den Anwendungscode über Digi Remote Manager aktualisieren? Ich habe gehört, dass nur das Betriebssystem über Digi Remote Manager aktualisiert werden kann?
Digi: Ja, Digi Remote Manager bietet volle Flexibilität bei Updates. Es können nur Anwendungen, ausgewählte Partitionen oder ein vollständiges System-Update sein.
Welche Garantien geben Sie den Kunden, die Ihre Sicherheitslösungen einsetzen?
NXP: Obwohl NXP fortschrittliche Sicherheitsfunktionen implementiert hat, können alle Produkte mit nicht identifizierten Schwachstellen behaftet sein. Die Kunden sind für das Design und den Betrieb ihrer Anwendungen und Produkte verantwortlich, um die Auswirkungen dieser Sicherheitslücken auf die Anwendungen und Produkte der Kunden zu reduzieren, und NXP übernimmt keine Haftung für entdeckte Sicherheitslücken. Kunden sollten angemessene Design- und Betriebsschutzmaßnahmen implementieren, um die mit ihren Anwendungen und Produkten verbundenen Risiken zu minimieren.
Digi: Stimmt. Wir verfügen über ausgezeichnete Unterstützung und Dokumentation, um Kunden bei der Integration von Sicherheit in ihre Produkte zu helfen, sowie über ein Wireless Design Services Team, das fachkundige technische Unterstützung auf dem Weg dorthin bieten kann. Kontaktieren Sie uns, um mehr zu erfahren.