1960 年代的汽車和保護嵌入式 Linux 系統(tǒng)有什么共同點？在2015年Linux安全峰會的一次演講中，Linux基金會協(xié)作項目IT團隊的系統(tǒng)管理員Konstantin Ryabitsev比較了汽車和IT安全。他解釋說，到上個世紀末，汽車是可靠的。他們運送人員時故障風險最小。然而，車輛沒有考慮到人為錯誤，司機在發(fā)生碰撞時幾乎沒有保護。如今，汽車制造商使用安全氣囊、安全停機、防滑系統(tǒng)、可折疊轉(zhuǎn)向柱、碰撞檢測、預(yù)期斷裂等。相比之下，今天的IT安全就像60年代的汽車;它很可靠，但不考慮人為錯誤。

下載STM32MP1安全白皮書

Ryabitsev的演講著眼于保護Linux服務(wù)器。因此，雖然他演講的細節(jié)很少適用于嵌入式系統(tǒng)，但這些原則是相關(guān)的。太多的公司仍然忽視其設(shè)計的重要安全方面。工程師致力于質(zhì)量和安全，但未能制定針對安全故障的應(yīng)急計劃。一些團隊甚至將安全性降級為事后的想法，因為他們不重視他們的數(shù)據(jù)。因此，許多人沒有看到人為錯誤或新的攻擊媒介如何傷害用戶或嚴重破壞業(yè)務(wù)。因此，我們發(fā)布了一份白皮書，因此采用STM32MP1的嵌入式系統(tǒng)看起來更像今天的汽車：即使出現(xiàn)問題，也很安全。

安全性：攻擊分類

物理攻擊

在他的《嵌入式系統(tǒng)設(shè)計原理》教科書中1，KCS Murti將安全攻擊分為兩大類：物理攻擊和邏輯攻擊。物理攻擊可能是侵入性的，例如黑客訪問芯片或中斷典型操作。物理攻擊也可能是“非侵入性的”，最常見的是側(cè)信道攻擊。在這種情況下，黑客可能會使用時鐘、內(nèi)存或從功耗模式中獲取某些功能。一段時間以來，意法半導(dǎo)體一直在提高對這些攻擊的認識。因此，STM32MP1為這兩種類型的物理攻擊提供了重要的保護，犯罪分子侵入設(shè)備的風險仍然很低。

邏輯攻擊

當公司談?wù)撉度胧较到y(tǒng)的安全性時，他們傳統(tǒng)上指的是防范邏輯攻擊的措施。簡而言之，邏輯攻擊旨在訪問數(shù)據(jù)或非法獲得運行惡意軟件的權(quán)限，這些惡意軟件將泄露更多數(shù)據(jù)或允許黑客破壞系統(tǒng)及其連接的其他系統(tǒng)。當大眾媒體報道安全主題時，他們大多談?wù)撨壿嫻?。它們是最常見的，因為它們相對易于實施和低成本。事實上，他們傳統(tǒng)上利用錯誤或漏洞。

邏輯攻擊也可能針對硬件功能或安全系統(tǒng)。例如，當Spectre和Meltdown首次曝光時，IT世界發(fā)生了震動。這兩個漏洞允許程序獲取存儲在內(nèi)存中的敏感信息或繞過安全保護措施。根據(jù)Arm的說法，Cortex-M處理器和STM7MP32的Cortex-A1不受這些問題的影響。同樣，Heartbleed是OpenSSL庫中的一個缺陷，它允許黑客竊取據(jù)稱受保護的信息。開發(fā)人員必須快速檢查其實施并修補其系統(tǒng)，否則將面臨重大影響的風險。OpenSTLinux使用的OpenSSL版本不會受到此漏洞的影響。

人為錯誤

上面的用例是對象課程，因為它們太出乎意料了。開發(fā)人員必須預(yù)測不可預(yù)測的情況，計劃進行徹底的審計，并保證補丁的快速部署。這就是為什么意法半導(dǎo)體白皮書介紹了主要概念定義并幫助管理人員了解基本原理的原因。知識也很重要，因為在大多數(shù)情況下，黑客甚至不需要利用令人發(fā)指的漏洞。如今，大多數(shù)攻擊都依賴于人為錯誤或社會工程。很容易使調(diào)試端口保持打開狀態(tài)、錯誤地實現(xiàn)加密操作或泄露管理密碼。在IT安全領(lǐng)域，就像在醫(yī)學上一樣，當聽到馬蹄聲時，期待的是馬，而不是斑馬。

由于開發(fā)人員可以使用生態(tài)系統(tǒng)，嵌入式系統(tǒng)的安全性也更加強大。意法半導(dǎo)體的驅(qū)動程序上游，并與開源社區(qū)密切合作。因此，我們可以快速修補問題，并使用標準工具使安全性更易于訪問。我們還通過STM32Trust或意法半導(dǎo)體合作伙伴計劃等計劃幫助客戶實施關(guān)鍵安全功能。例如，OpenSTLinux發(fā)行版提供了實現(xiàn)安全啟動所需的工具，以及支持安全固件更新的基礎(chǔ)。然而，那些希望外包此類任務(wù)的人可以依靠意法半導(dǎo)體的合作伙伴，如Witekio及其FullMetalUpdate，以提高可靠性和效率。最終，白皮書旨在向決策者和行業(yè)專家保證，在這場斗爭中，他們并不孤單。

1. 建立、管理和促進信任

什么是信任？

為了使IT更加可靠，尤其是在處理人為錯誤時，公司必須創(chuàng)建一系列受信任的設(shè)備和系統(tǒng)。如果應(yīng)用層不安全，用戶就無法保證安全性。同樣，如果開發(fā)人員所依賴的操作系統(tǒng)不可信，則無法創(chuàng)建安全的應(yīng)用程序。因此，IT安全取決于信任的概念。根據(jù)Murti的說法，信任是硬件或軟件組件將“執(zhí)行指定的安全策略”的保證。2例如，操作系統(tǒng)必須保證普通用戶僅具有有限的權(quán)限，而不獲得管理權(quán)限。同樣，應(yīng)用程序不得訪問其安全策略定義的資源之外的資源。

什么是信任鏈 （CoT）？

IT安全的一個公理是，如果上層所依賴的下層不受信任，則上層就無法真正得到保護。例如，如果應(yīng)用程序所依賴的操作系統(tǒng)不受信任，則應(yīng)用程序不安全。事實上，即使軟件加密了它收集的所有數(shù)據(jù)，操作系統(tǒng)不可信的事實意味著用戶無法保證黑客沒有破壞系統(tǒng)或竊取數(shù)據(jù)、加密密鑰或更多。同樣，如果受信任的操作系統(tǒng)運行的硬件不受信任，則它就不是真正安全的。因此，真正安全的嵌入式系統(tǒng)依賴于行業(yè)稱為信任鏈（CoT）的級聯(lián)完整性檢查。

在經(jīng)典意義上，CoT 表示從硬件的最低級別到應(yīng)用程序的受信任層的工作流。然而，管理者必須明白，真正的信任鏈超越了系統(tǒng)本身。開發(fā)人員必須保護他們的工作，制定降低風險的指導(dǎo)方針，并預(yù)測不幸事件。如果心懷不滿的員工竊取了加密密鑰，加密密鑰有什么用？同樣，公司必須確保他們運送給OEM的固件是安全的。努力保護其代碼的公司必須確保惡意行為者不會訪問其源代碼。真正的IT安全意味著嘗試規(guī)劃各種人類行為。

什么是信任根 （RoT）？

正如 UEFI 論壇所解釋的那樣，計算系統(tǒng)上的信任鏈始于硬件信任根。后者是一種機制，可確保系統(tǒng)的低級部分是可信的，因為它用于啟動的代碼通過了各種驗證和認證。簡而言之，信任根提供了一些保證。它確保沒有人啟用新的調(diào)試端口或更改固件等。它通常使用不可變的根密鑰來驗證代碼的完整性和安全引導(dǎo)加載程序。密鑰在硬件中的事實也可以防止黑客克隆系統(tǒng)。

什么是安全啟動、安全固件安裝、安全模塊安裝？

工程師和經(jīng)理可能很難知道從哪里開始。因此，白皮書列出了創(chuàng)建可靠信任鏈所需的主要構(gòu)建塊。例如，它解釋了STM32MP1環(huán)境如何附帶依賴于信任根的參考引導(dǎo)序列。意法半導(dǎo)體使用TF-A安全啟動，OP-TEE作為安全操作系統(tǒng)，然后在外部RAM初始化Linux內(nèi)核期間使用U-Boot作為第二階段引導(dǎo)加載程序。我們還有一個 wiki 來幫助開發(fā)人員實現(xiàn)所有這些元素。因此，白皮書是項目經(jīng)理的跳板。

意法半導(dǎo)體還提供安全固件安裝機制，如安全密鑰配置。開發(fā)人員可以在硬件安全模塊 （HSM） 上加密其密鑰。OEM 加載加密的數(shù)據(jù)和機密信息，MPU 使用 HSM 在內(nèi)部解密它們。因此，沒有人可以運行不受保護的引導(dǎo)加載程序或訪問敏感數(shù)據(jù)，客戶可以跟蹤OEM閃存的設(shè)備數(shù)量。因此，保證信任鏈至關(guān)重要，這種信任鏈超越了引導(dǎo)加載程序或軟件層，而是作為產(chǎn)品設(shè)計和制造的綜合方法。

2. 檢測、預(yù)測和響應(yīng)事件

為什么要審核日志、網(wǎng)關(guān)和代碼？

嵌入式系統(tǒng)的世界不能再忽視IT安全在其他領(lǐng)域建立的最佳實踐。幾年前，公司很少審計他們的嵌入式系統(tǒng)，因為他們沒有看到其中的價值。在許多情況下，數(shù)據(jù)仍然是本地的，沒有敏感信息。然而，下一個自動化時代使嵌入式系統(tǒng)更加互聯(lián)和智能。因此，公司審核其日志、定期檢查軟件實施并監(jiān)控流量是否存在入侵至關(guān)重要。就像今天的汽車一樣，開發(fā)人員只有在知道發(fā)生碰撞或正在進行危險情況時才能保護用戶免受碰撞。因此，工程師必須及時了解最新的安全趨勢3.

什么是應(yīng)急計劃和 FUOTA？

此外，公司必須制定應(yīng)急計劃，以便在檢測到漏洞或入侵后迅速做出反應(yīng)。制定應(yīng)急響應(yīng)可以節(jié)省大量寶貴的時間，并極大地幫助決策。它還避免了在充滿壓力和壓力的時期不得不做出重大決定。團隊可以從各種在線資源中汲取靈感。例如，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局的網(wǎng)絡(luò)安全事件和漏洞響應(yīng)手冊是一個很好的起點。該文件主張創(chuàng)建兩個劇本：一個是處理事件，另一個是處理漏洞。并非文檔的每個方面都適用于嵌入式系統(tǒng)或私營公司，但這是一個很好的起點。

實施無線固件更新 （FUOTA） 機制也很重要。在危機中，遠程修補系統(tǒng)至關(guān)重要。然而，F(xiàn)UOTA的實施特別復(fù)雜。在最近發(fā)表在《物聯(lián)網(wǎng)》雜志上的一篇文章中4，法國的研究人員研究了 FUOTA 背后的挑戰(zhàn)，從資源限制到網(wǎng)絡(luò)拓撲、設(shè)備管理、安全性等。嵌入式系統(tǒng)和遠程服務(wù)器上必須將許多組件組合在一起。在許多情況下，F(xiàn)UOTA比公司想象的更容易獲得，對于大多數(shù)人來說，外包是具有成本效益的選擇。

3. 投資、貢獻和依賴開源社區(qū)和經(jīng)過驗證的合作伙伴

采用開源方法

有一個明顯的轉(zhuǎn)向開源社區(qū)。隨著STM32MP1的推出，意法半導(dǎo)體承諾將繼續(xù)提升其驅(qū)動程序并在OpenSTLinux上工作。除了我們已經(jīng)討論過的優(yōu)勢之外，使用開源軟件還可以簡化工作流程。使用開放和流行的工具意味著可以更輕松地雇用人員并將項目轉(zhuǎn)移到新團隊（如果需要）。在許多情況下，圍繞開放軟件的支持和知識比專有解決方案更多。成為社區(qū)的一員也往往會鼓舞士氣。工程師將更有可能處理一個項目，知道它服務(wù)于更大的目的。例如，上游補丁是非常有益的，因為知道業(yè)內(nèi)許多人會使用它們。

由于許可問題，一些公司不愿意采用開源技術(shù)。對于在 Linux 上運行并使用通用公共許可證 （GPL） 下工具的專有應(yīng)用程序存在一些誤解。然而，情況恰恰相反。TF-A、OP-TEE 和 U-Boot 等軟件允許公司在其系統(tǒng)之上構(gòu)建其商業(yè)解決方案，而不必擔心法律后果。沃頓商學院2004年的一篇論文已經(jīng)解釋說，在開源平臺上賺錢是可能的，未來的許可證將有助于澄清問題，這就是發(fā)生的事情。因此，白皮書可幫助管理人員更好地理解有關(guān)許可的基本概念，以便他們解決這個問題并以正確的心態(tài)開始他們的項目。

加強協(xié)作的必要性

協(xié)作的重要性

在 2021 年 《》 月簽署的題為 “改善國家網(wǎng)絡(luò)安全 ”的行政命令中，甚至白宮也建議服務(wù)提供商在 IT 安全方面加強合作。該行業(yè)正在進入一個新的領(lǐng)域，對嵌入式系統(tǒng)的要求要嚴格得多。數(shù)據(jù)越來越寶貴，甚至消費者系統(tǒng)也是任務(wù)關(guān)鍵型的，保護信息不再是可有可無的。通過采用白皮書中概述的經(jīng)驗教訓，并與開源社區(qū)和意法半導(dǎo)體合作伙伴計劃的成員合作，公司可以改變其文化。安全性不一定是事后的想法。它可以引導(dǎo)公司創(chuàng)建強大的嵌入式系統(tǒng)，即使在面臨安全挑戰(zhàn)時也能蓬勃發(fā)展。

審核編輯：郭婷