New-Tech Magazine | OCT 2021 | Digital Edition

קרובות מתאפיינים בעקבת מעגל וסידור סטנדרטי FLASH פינים של מארז זיכרון ומבוקרים באמצעות ערכת הפקודות הרגילה , קלים למימוש על ידי אנשי SPI NOR Flash תכנון רגילים של התקנים משובצים, ועם זאת מספקים ערכה מקיפה של פונקציות אבטחה כדי להגן על התקנים מחוברים מפני התקפה על שלמות המערכת או על פרטיות הנתונים. מדוע כדאי לממש אבטחה בהתקן זיכרון? באפן מסורתי זיכרון לא נדיף נחשב להתקן פשוט: סיביות נכתבות בתוכו ואותן סיביות נקראות לאחר מכן. הוא נחשב באופן כללי כהתקן אחסון ולא כמעבד. NOR מסוג FLASH למעשה, מובן שכל זיכרון המשמש לקוד או לנתונים של יישום יכלול לוגיקה לצורך בקרה של פעולות הזיכרון ושל התקשורת עם המחשב המארח דרך ממשק FLASH טורי של התקנים היקפיים. התקני לאבטחה מתבססים על בלוק לוגיקה זה ומרחיבים אותו כדי לספק פונקציות אבטחה יחד עם פונקציות הבקרה של הזיכרון. כדוגמת FLASH יצרנים של זיכרונות פיתחו את הדור החדש הזה של Winbond לאבטחה בגלל מגבלות FLASH מוצרי המשובצים flash התקנות לגבי זיכרונות ה בבקרי מיקרו ובמערכות על שבב. בעוד בקרי מיקרו ומערכות על שבב עברו לתהליכי ייצור ננו 20 ) בצמתים קטנים מ- wafer בפרוסות ( לא FLASH NOR מטר, הדירוג של זיכרונות עקב אחריהם. המשמעות היא שביחידות המתקדמות ביותר, SoC ובמערכות MCU שער צף FLASH התהליך המשובץ של ) embedded floating - gate flash process ( לא קיים והקיבול לעתים קרובות אינו גדול דיו כדי לאחסן את קוד התוכנה המתוחכם שהן מיועדות להפעיל. לכן, היום, בתכנונים של התקנים משובצים, קוד היישום מאוחסן בדרך כלל בהתקן . ואולם, אם ההתקן FLASH חיצוני של זיכרון IoT מחובר – במיוחד אם מדובר בהתקן המחובר לרשת האינטרנט – קוד האתחול המאוחסן בהתקן חיצוני פגיע להתקפות, והנתונים חשופים לגניבה או לחדירה מבחוץ, אלא אם התקן הזיכרון עצמו יהיו מוגן באמצעות פונקציונליות אבטחה מקיפה. וכאן בא לידי ביטוי הערך של התקן אבטחה אשר משלים את האבטחה FLASH בזיכרון . MCU של המערכת על שבב/ יחידת

היכולות העיקריות של FLASH אבטחה בזיכרון FLASH עם כן, הסיבה להחלפת זיכרון , IoT בנקודת הקצה של NOR חיצוני מסוג מאובטח, תהיה כדי להגן FLASH בזיכרון על השלמות של קוד אתחול ושל נתוני יישום. FLASH התקנים מאובטחיםשוניםשל זיכרון מספקים סוג מסוים של אחסון מאובטח. בצורתה הבסיסית ביותר, פונקציונליות מאובטחת זו מאפשרת אימות מאובטח FLASH ומוצפן: המשמעות היא שהתקן ה יאפשר רק למחשב המארח המורשה לבצע פעולות קריאה וכתיבה ויגן בכך על הנתונים, כדי שלא תהיה אליהם גישה מכל התקן שאינו המערכת על שבב במחשב המארח. ואולם, האמור לעיל מספק רק צורה מוגבלת של הגנת אבטחה. כדי ליצור הגנה מפני סוגים רבים של התקפות רשת, ועל מנת לאפשר תאימות לתקנות כמו פונקציונליות האבטחה ברמות הבסיסית והמהותית לפי חוק האבטחה ברשת של האיחוד האירופי, , NOR מסוג FLASH פיתחה זיכרון Winbond TrustME , שהוא חלק ממשפחת W 77 Q דגם לאבטחה. FLASH של זיכרונות מספק: W 77 Q בנוסף לאימות מאובטח, ): הגנה גילוי ושיקום, Resilience חוסן ( ■ כדי להבטיח שאפשר יהיה לאתחל את התקן באופן אוטומטי בתוך קוד מאובטח IoT וידוע, גם לאחר שבוצעה התקפה ברשת כדי לבטל את פעולתה. ): מאפשר Root - of - trust בסיס אמון ( ■ תקשורת אימות עם המערכת על שבב שבמחשב המארח ועם מערכות חיצוניות כגון שירותי מחשוב בענן. אחסון נתונים מאובטח ■ אל סמכות FLASH ערוץ מאובטחמזיכרון ה ■ אמינה בענן המחשוב לקבלת עדכוני קושחה באופן אלחוטי. המשמעות של ערוץ זה היא שאפשר לעדכן את הזיכרון בגרסה חדשה של קוד האתחול באופן עצמאי דרך המערכת על שבב, גם כאשר יש פגיעת אבטחה במערכת על .) 1 שבב עצמה (עיין באיור עבר הערכה במעבדה חיצונית W 77 Q מוסמכת. הוא נמצא תואם לדרישות חקיקת של האיחוד האירופי GDPR הפרטיות ומספק את רמת ההגנה 'המהותית', כפי שהיא מוגדרת על ידי תקנת האבטחה ברשת של האיחוד האירופי. הוענקו לו אישורי CC EAL 2 ) VAN .2(, IEC 2443, אבטחה לרבות לאבטחת Arm ואישור ארכיטקטורת SESIP .) PSA פלטפורמות (

יכול ליצור ערוץ W77Q :1 איור « מאובטח אל מרכז אבטחה בענן לצורך העברת עדכוני תוכנה באופן אלחוטי, גם כאשר יש פגיעה באבטחה של המערכת

על שבב במחשב המארח. )Winbond (מקור התמונה:

לחוסן יש חשיבות מיוחדת מבחינת התקני - והיא אותה יכולת שחסרה לרוב מוצרי IoT המאובטחים. בהתקנים מסוימים, FLASH ה כדוגמת מודדים של אספקת שירותים, חדירה פיסית (חבלה) היא צורה נפוצה של התקפה שנגדה נדרשת הגנה. נכסים גדולים בעלי ערך רב כדוגמת תחנות כוח או בסיסים צבאיים עלולים להיות חשופים לחדירה פיסית לרשתות המקומיות שלהם. , האיום העיקרי IoT עם זאת, מבחינת התקני הוא התקפת רשת מדורגת המנצלת חיבור מרוחק דרך רשת האינטרנט אל האוכלוסייה SP 800- של ההתקנים המותקנים כולה. התקן של המכון הלאומי לתקנים ולטכנולוגיה 193 ) של ארה"ב מגדיר מנגנונים אשר מגינים NIST ( על נתוני קושחה והגדרת קונפיגורציה מפני התקפות כאלו, אשר יכולים לזהות התקפות W 77 Q מוצלחות ולאפשר התאוששות מהן. מספק פונקציות שמעניקות את החוסן הנדרש כדי לעמוד בתקנים אלו. חוסן זה מורכב משלושה יסודות: הגנה מפני התקפה, גילוי .) 2 התקפות ושיקום מהתקפות (עיין באיור פונקציות כדוגמת אימות מוצפן המיועד למנוע ניסיונות גישה אל נתונים מהתקנים לא מורשים, מספקות הגנה מפני התקפות. עם זאת, התקפה יכולה להתבצע בהצלחה על שומר W 77 Q של מארח, כך ש- SoC מערכת על היכולת לגלות מתי התרחשה התקפה. לדוגמה, הוא בודק שקוד מאוחסן לא הושחת

New-Tech Magazine l 48