跳至主要内容

“还有一个(钥匙)来统治所有人……”

QuiddiKey:用于连接设备生命周期的单一加密解决方案

作者:Pim Tuyls,创始人兼首席执行官| 最初发表于 设计与重用

随着狂热的区块链讨论开始降温,以及远景中的量子计算偷窥,我们仍然生活在一个物联网(IoT)包含数十亿个互联设备(并且每天都在增长!)的世界中,每个设备都需要确保不受破坏和攻击。 但是,保护这些物联网设备时最重要的是什么? Kerckhoffs的原则指出,即使加密系统的每个部分都是公开的,也应该是安全的 除了钥匙。 因此,要保护的IoT设备最重要的部分是其加密根密钥。

关键就是关键

但是,物联网设备很少只有一个密钥。 这是因为,为了使安全系统在整个设备生命周期中保护设备安全,它需要在周期中的不同时间以及多个用户和目的使用多个加密密钥:

  • 识别设备
  • 确保安全启动并保护启动流程
  • 确保正确/正确的固件已加载到设备上
  • 与应用程序相关的键
  • 用户按键
  • 设置安全通信(例如,身份验证和会话密钥)

为了使挑战进一步复杂化,其中一些密钥是公开的,并且必须不可更改,而其他密钥是私有的,并且必须保密。 有些是长期有效的(例如,用于识别和验证设备的密钥),而另一些则仅使用一次且短暂时间(例如,用于建立安全的通信通道或加密需要安全发送的数据包) )。 一些密钥仅对设备本身可用,而另一些则仅由系统,应用程序或其用户使用。 在通过各种加密算法保护的系统中,某些密钥将与其他连接的设备进行交互,并且这些密钥需要具有不同长度或彼此不兼容的不同结构的密钥。

由于这些及其他原因,在安全设计中公认的最佳实践是仅将单个密钥用于单个目的和/或应用。 尽管安全系统通常基于单个信任根(加密根密钥),但是为了满足单个密钥一次性使用的要求,该解决方案还必须包括一个密钥管理组件,该组件可以生成多个应用程序密钥从那个单一的根秘密。

这些多个派生的应用程序密钥必须是 密码分离:生成它们的方式应确保派生密钥的公开不影响任何其他派生密钥或派生密钥的安全强度。 精心设计的密钥派生功能使用最新的密码原语(例如AES或SHA-256)来确保其输出之间的密码分离。

因此,所需要的是一种可以创建和保护几乎无限数量的,长度可变且结构独特的强,设备唯一的加密密钥的系统,供整个供应链中的多个用户使用。 并且必须将从系统派生的所有密钥进行密码分离,以使每个密钥仅用于一个目的,并且使任何一个被泄露的密钥都不会破坏任何其他密钥。

一种解决方案真的可以满足所有这些需求吗? 内部ID QuiddiKey可以。

QuiddiKey:满足终身安全需求的一种解决方案

QuiddiKey旨在满足连接设备在其整个生命周期中的各种安全需求,包括密钥派生和安全存储。

信任的根源

QuiddiKey的信任根源是内在ID SRAM PUF技术,该技术已在全球超过200亿个设备中部署。 这项技术利用随机的硅工艺变化,已被证明在设备的整个生命周期中都是可靠的,并且已实现了7纳米以下的技术节点。 为QuiddiKey提供单一根秘密的根密钥是从PUF响应派生的,并且每次需要密钥时都会重新创建,因此根密钥永远不会被存储,并且只存在于设备中最少的时间,应该的。

QuiddiKey用于安全密钥库

QuiddiKey利用SRAM的特定于设备的启动行为为每个芯片创建唯一的根密钥。 QuiddiKey算法可确保此根密钥对于每个芯片都是不同的,而每次需要时,都会在特定设备上可靠地重新创建相同的根密钥。 通过使用此根密钥包装所有其他必需的密钥(如下表所示),这些附加密钥可以安全地存储在片上或片外的任何公共非易失性存储器(NVM)中。 因为根密钥对于每个芯片都是唯一的,并且从不存储,所以可以确保所有存储密钥的机密性和完整性。

QuiddiKey功能图

紧凑,灵活,安全

QuiddiKey在单个紧凑的IP块中实现,这使其易于包含在设计中。 尽管具有这种紧凑性,QuiddiKey仍可以创建和保护几乎无限数量的强大的,设备唯一的,密码分开的密钥(每个密钥仅用于一个目的)。 这意味着即使原始设计者没有预见到供应链中特定用户对特定密钥的需求,QuiddiKey仍可以创建所需的密钥。 QuiddiKey使用符合NIST /已批准的算法(AES,SHA-256等)来确保密码分离。

QuiddiKey驱动程序简化了集成

QuiddiKey驱动程序为嵌入式软件环境中的开发人员简化了QuiddiKey硬件IP的使用。 它作为C源代码提供,并带有参考手册,集成测试和QuiddiKey寄存器说明。 上表中的操作也可以通过API函数在QuiddiKey驱动程序中进行访问。

了解更多

有关内部ID的QuiddiKey IP的更多信息,请访问: https://www.intrinsic-id.com/products/quiddikey/

发表评论

您的电子邮件地址将不会被公开。 必填 *

回到顶部