Die Einhaltung gesetzlicher Vorschriften kann für jedes Unternehmen eine Herausforderung darstellen, insbesondere für Organisationen, die vernetzte Geräte entwickeln und einsetzen. In diesem Webinar erfahren Sie, wie Sie den Vorschriften mit sicheren eingebetteten Geräten einen Schritt voraus sind.
Das neue integrierte Sicherheitssubsystem, das in den neuesten NXP i.MX-Prozessoren, einschließlich des i.MX 93 in Digi ConnectCore® 93, enthalten ist, kann OEMs helfen, bei jedem Build sicher zu bleiben. Darüber hinaus können die ConnectCore® Security Services dazu beitragen, dass Produkte während ihres gesamten Lebenszyklus sicher bleiben.
Mit Digi verbinden
Möchten Sie mehr darüber erfahren, wie Digi Ihnen helfen kann? Hier sind einige nächste Schritte:
Follow-up Webinar Q&A
Nochmals vielen Dank für Ihre Teilnahme an unserer Sitzung mit NXP und TimeSys zum Thema Sicherheit in eingebetteten Geräten. Wenn Sie weitere Fragen haben, wenden Sie sich bitte an uns.
Moderator: Mitch Sinon, Senior Marketing Manager, Digi International
Vortragende:
- Bob Blumenscheid, leitender Produktmarketing-Manager, Digi International
- Asim Zaidi, Technischer Direktor, Secure Connected Edge, NXP Semiconductors
- Maciej Halasz, Vizepräsident für Technologie, TimeSys Corporation
Asim, in Bezug auf Ihren Teil der Präsentation: Kann ich meinen eigenen Krypto-Algorithmus verwenden?
Asim: Im Moment haben wir keine Möglichkeit, Ihre eigenen Kryptoalgorithmen zu unterstützen. Die sichere Enklave des SoCs verfügt über eine Vielzahl verschiedener Kryptoalgorithmen, die weit verbreitet sind, aber im Moment muss die gesamte Unterstützung durch von NXP signierte Firmware erfolgen. Wenn es bestimmte Algorithmen gibt, die Ihrer Meinung nach nicht in unserem Superset an kryptografischen Funktionen abgedeckt sind, würden wir das gerne wissen, damit wir das für die Zukunft überprüfen können. Aber im Moment erlauben wir nicht, dass eigene Algorithmen implementiert werden.
Haben Sie in Bezug auf EdgeLock Secure Enclave Vorschläge, wie man die Secure-Enclave-Funktionen des SoC in der Praxis anwenden kann?
Asim: Sie können die sichere EdgeLock-Enklave für die Verschlüsselung Ihrer SoC-Assets verwenden, sei es für Ihre maschinellen Lernmodelle oder für Ihre IP. Wir können es für spezifische sichere Updates verwenden. Wir können die EdgeLock-Enklave verwenden, wenn wir die Fertigung schützen wollen. Es gibt also eine Vielzahl von Sicherheitsfunktionen, für die sich die sichere Enklave anbietet.
Asim, wie sieht es mit der Android-Unterstützung aus?
Asim: Die EdgeLock-Enklave verfügt über APIs, mit denen alle OP-TEEs, insbesondere OP-TEE selbst, oder die von Android unterstützten vertrauenswürdigen Umgebungen wie Trusty, verbunden werden können. Auch hier haben wir also volle Unterstützung für Android und werden nahtlos mit unserer sicheren Enklave zusammenarbeiten.
Maciej, wird SBOM für Buildroot-Systeme unterstützt werden?
Maciej: Ja. Heute bieten wir ein Plug-in für Buildroot an, so dass Sie ein SBOM mit Vigiles aus jeder Buildroot generieren können.
Maciej, wie wird TimeSys lizenziert? Pro Gerät oder pro Gerätebenutzer?
Maciej: Vigiles selbst wird als Abonnement angeboten. Es gibt also keine Bindung an eine bestimmte SBOM. Sie können so viele Scans durchführen, wie Sie für richtig halten. Sie können so viele Produkte scannen, wie Sie möchten. Die Lizenzierung basiert auf der Anzahl der Benutzer, die diese Lösung nutzen möchten.
Bob, Sie haben erwähnt, dass jede Branche andere Sicherheitsherausforderungen hat, die es zu bewältigen gilt. Wie gehen Sie vor, um festzustellen, welche Herausforderungen das sind, und um sie zu entschärfen?
Bob: Das ist eine gute Frage. Und ich glaube, Asim hat das schon angesprochen. Für jede Branche gibt es unterschiedliche Normen und Vorschriften, die nicht nur bestehen, sondern sich auch weiterentwickeln. Deshalb schauen wir uns bei unseren SOMs auch die niedrige Ebene an, die SESIP-Zertifizierungen und solche Dinge. Und dann stellen wir jedem Kunden die Bausteine zur Verfügung, mit denen er die speziellen Anforderungen ermitteln kann.
Bob, wie weit können wir den Sicherheitslebenszyklus ohne Cloud-Unterstützung verwalten? Wir haben Kunden, die keinen Cloud-Zugang erlauben.
Bob: Das ist eine gute Frage. Wenn die Kunden dies nicht zulassen, können Sie immer noch Firmware-Updates erstellen, die Sie direkt auf die Geräte hochladen können, ohne Cloud-Unterstützung. Wir haben auch Mobilfunk Geräte, in der Digi XBee® Mobilfunk Linie, die auch Out-of-Band-Updates für unsere Geräte durchführen können. Aber Sie können natürlich Ihre Firmware-Updates erstellen und dann den Kunden erlauben, diese direkt auf ihre Geräte zu laden.
Bob, in Ihrer Präsentation gab es eine Grafik, die die laufenden Gesetzgebungsverfahren in einigen Staaten an der Ostküste zeigte. Wie sieht der Zeitplan für diese aus? Wann werden diese Gesetze Ihrer Meinung nach in Kraft sein?
Bob: Diese sind alle in Arbeit, und ich gehe davon aus, dass wir in den nächsten 18 bis 24 Monaten weitere Gesetze in einigen dieser Staaten sehen werden. Die Prioritäten sind unterschiedlich, aber die Situation ändert sich schnell. Das ist etwas, das man während der gesamten Entwicklung eines eingebetteten Produkts im Auge behalten muss, weil es zum Zeitpunkt der Zertifizierung und der Markteinführung anders sein wird als zu Beginn.
Asim, unterstützen Sie konfigurierbare Hardware-Härtung in Secure Enclave?
Asim: Wenn ich die Frage richtig verstehe, geht es um konfigurierbare Hardware-Härtung. Im Grunde haben wir also eine Stufe der Härtung, die unsere Produkte durchlaufen. Natürlich haben wir verschiedene Produktlinien, die unterschiedliche Sicherheitsanforderungen und Sicherheitsziele haben. Im Zuge der Weiterentwicklung unserer i.MX 9-Serie werden wir in Zukunft neuere Produkte der i.MX 9-Serie anbieten, die über fortschrittlichere Funktionen und Härtungen verfügen werden als unsere aktuelle Generation. Aber wir haben von Anfang an Sensoren und andere Funktionen, die vom Kunden konfiguriert werden können, um je nach Anwendungsfall mehr Schutz zu bieten. Aber das sind nur einige der Hauptfunktionen. Ich hoffe, das beantwortet Ihre Frage. Falls nicht, kann ich auf jeden Fall offline weitere Informationen liefern.
Asim, gibt es Dokumentationen für Secure Enclave, um diese Funktionen zu testen und zu verstehen?
Asim: Ja, wir haben ein API-Dokument, und wir sind auch dabei, ein Benutzerhandbuch zu erstellen, aber im Grunde gibt das API-Dokument Informationen darüber, wie man eine Schnittstelle zu den Messaging-Einheiten herstellt, die die Ein- und Ausgänge für die sichere Enklave darstellen werden. Diese werden spezifische Funktionen zur Einrichtung von Schlüsseln, zur Einrichtung von Funktionen und für eine Vielzahl von Funktionen haben, die für den Benutzer nicht sichtbar sind. Zur Vereinfachung gibt es also die API, und wir werden einige dieser Informationen bereitstellen. Diese Informationen finden Sie in unserer Enablement-Dokumentation.
Gibt es Pläne zur Unterstützung von FIPS 140-3?
Asim: Ja, für i.MX 93 streben wir FIPS 140-3 an. Wir befinden uns derzeit im Prozess der Zertifizierung. Wie einige von Ihnen vielleicht wissen, ist dies ein ziemlich langwieriger Zertifizierungsprozess, daher streben wir dies definitiv an. Leider zieht sich dieser Prozess aufgrund des Zeitplans und der Rückstände im NIST-Zertifizierungsprozess in die Länge. Aber im Moment zielen wir sowohl auf FIPS als auch auf SESIP PSA Level 2 auf der SoC-Seite ab. Aus der SoC-Perspektive haben wir das also im Visier. Und ich glaube, wir haben auch Lösungen von TimeSys, die PSA-konform sind. Und ich überlasse es Bob, zu sehen, ob es auch hier irgendwelche Pläne gibt.
Bob: Ja, ich glaube, das ist dasselbe. Wir haben einige Dinge in Arbeit. Wir sehen uns PSA-Zertifizierungen an, und wir haben FIPS 140-2-Zertifizierungen mit bestimmten Kunden durchgeführt und verschiedene Dinge für unsere SOMs genutzt. Wir haben uns auch mit FIPS 140-3 beschäftigt. Das ist also etwas, das wir in der Zukunft sehen werden.