Security ARM stellt Sicherheitszertifizierung für IoT-Geräte vor

Mit PSA Certified können Chip-Hersteller, RTOS-Anbieter und OEMs ihre produkte hinsichtlich Security zertifizieren lassen.
Mit PSA Certified können Chip-Hersteller, RTOS-Anbieter und OEMs ihre produkte hinsichtlich Security zertifizieren lassen.

Um das Vertrauen der Verbraucher zu stärken, fürt Arm Zertifizierungsprüfungen für das Ökosystem seiner Platform-Security-Architecture ein. Milliarden angeschlossener Geräte könnten sicherer werden.

Nach dem öffentlichkeitswirksamen Mirai-Botnet-Angriff im Jahr 2016 wurde deutlich, dass viele IoT-Anbieter der Sicherheit wenig Beachtung schenken. Kaspersky Labs sagt, dass gerätebezogene Malware-Angriffe im Jahr 2018 um über 300% zugenommen haben und Geldschäden in Milliardenhöhe verursachen. Um dieser Aufgabe gerecht zu werden, führt Arm Zertifizierungsprüfungen für das Ökosystem armbasierter Geräte durch. Ziel ist es, das Vertrauen der Verbraucher zu stärken, indem die IoT-Geräte sicherer werden und dem Ziel von Billionen angeschlossenen Geräten näher kommen.

Arm arbeitet mit den Testlabors Brightsight, CAICT, Riscure und UL sowie den Beratern Prove&Run zusammen, um die PSA-Zertifizierung zu implementieren. Das Programm wird unabhängige Sicherheitstests anbieten, damit IoT-Entwickler und -Gerätehersteller die Sicherheit und Authentizität der Daten aus einer Vielzahl von IoT-Geräten ermitteln können. Die Kunden von Arm haben bisher mehr als 130 Milliarden Chips ausgeliefert, und 70 Prozent der Weltbevölkerung verwenden Arm-Geräte.

PSA Certified besteht aus zwei Elementen, einer API-Testsuite und einem mehrstufigen Sicherheitsschema. Bei dem Test handelt es sich um eine laborbasierte Evaluierung eines Drittanbieters, die unabhängig Teile einer IoT-Plattform überprüft, einschließlich des Echtzeitbetriebssystems, des Geräts selbst und der PSA Root of Trust (Quelle für Integrität und Vertraulichkeit).

Es gibt drei Stufen der Sicherheitsversicherung, die durch die Analyse von Bedrohungsvektoren zugeordnet werden. Nach der Prüfung erhalten PSA-zertifizierte Geräte elektronisch signierte Berichtskarten um festzustellen, welches Sicherheitsniveau zugewiesen werden sollte, und unterstützen Unternehmen bei ihrer Entscheidungsfindung und ihrem Risikomanagement. Dies ist jetzt für Siliziumhersteller, Betriebssystemlieferanten und OEMs verfügbar. Mehrere sind bereits jetzt auf Stufe eins zertifiziert.

PSA Certified Level 1 verwendet einen Fragebogen mit kritischen Sicherheitsfragen. Es gibt einzelne Abschnitte für Chiphersteller, RTOS-Hersteller und OEM. Man muss ihn ausfüllen und zu einem Testlabor, das Teil dieses Programms ist, bringen.

Stufe 2 führt die laborbasierte Bewertung einer vertrauenswürdigen Domäne in einem Chip namens PSA Root of Trust (PSA-RoT) ein. Sie wurde für Systeme entwickelt, die vor gängigen IoT-Bedrohungen durch Remote-Softwareangriffe und leichte Hardware-Angriffe geschützt werden müssen. Der PSA-RoT-Entwickler ist typischerweise ein Chip-Entwickler, sodass die im Testlabor verbrachte Zeit außerhalb des kritischen Pfades der Produktentwicklung liegt. In einem Dokument sind die Anforderungen für die Zertifizierung genau beschrieben.

Stufe 3, die noch in der Entwicklung ist, bietet letztendlich eine laborbasierte Auswertung des PSA-RoTs und umfassenden Schutz vor Software- und Hardware-Angriffen inklusive Seitenkanalangriffen und Tampering.

Laut Arm bietet die PSA-Zertifizierung einen einfachen und umfassenden Ansatz für Sicherheitstests. Es besteht aus zwei Elementen: einem mehrstufigen Sicherheits-Robustheitsschema und einer entwicklerorientierten API-Testsuite. Der Sicherheitstest basiert auf einer laborbasierten Bewertung der generischen Teile einer IoT-Plattform durch einen Drittanbieter. Dazu gehören PSA Root of Trust (die Root of Trust ist die Quelle für Integrität und Vertraulichkeit), das Echtzeit-Betriebssystem (RTOS) und das Gerät selbst.

Validierung von IoT-Geräten

PSA Certified ermöglicht es Geräteherstellern, die für ihren speziellen Anwendungsfall erforderliche Sicherheit zu gewährleisten, indem es drei progressive Sicherheitsstufen anbietet - zugewiesen durch die Analyse der Bedrohungsvektoren für Anwendungsfälle.

So kann beispielsweise ein Temperatursensor in einem Feld eine andere Sicherheitsrobustheit (Stufe 1) erfordern als ein Sensor in einer Wohnumgebung (Stufe 2) oder in einer Industrieanlage (Stufe 3). Nach der Prüfung erhalten alle PSA-zertifizierten Geräte elektronisch signierte Berichtskarten (Attestationstoken), die zeigen, welches Sicherheitsniveau erreicht wurde, so dass Unternehmen und Cloud Service Provider risikobasierte Entscheidungen treffen können.

Mehr Sicherheit für Entwickler

Als Teil des Programms ermöglicht die PSA-Functional-API-Certification den standardisierten Zugriff auf wesentliche Sicherheitsdienste und erleichtert so die Erstellung sicherer Anwendungen. Für Chip-Hersteller, Echtzeitbetriebssystemanbieter (RTOS) und Gerätehersteller wurden kostenlose Testsuiten veröffentlicht, um ihre PSA-APIs zu testen und die Hardware-Sicherheit der neuesten Siliziumplattformen zu nutzen.

Die PSA-Zertifizierung gewinnt bereits bei führenden Anbietern von Silizium- und IoT-Plattformen an Bedeutung. Cypress, Express Logic, Microchip, Nordic Semiconductor, Nuvoton, NXP, STMicroelectronics und Silicon Labs haben alle die Level 1 Zertifizierung erhalten. Nuvoton und der Betriebssystemanbieter ZAYA haben sowohl die PSA Certified Level 1 als auch die PSA-Functional-API-Zertifizierung erreicht, und Arm Mbed OS wird in seiner kommenden Version die Konformität mit der PSA Certified Level 1 und der PSA-Functional-API-Zertifizierung bereitstellen.

Kein Wunder, dass diese Produkte alle auf Arm-Prozessorkernen basieren. Arm wies jedoch darauf hin, dass PSA offen für andere Prozessorarchitekturen ist. Das PSA schreibt keine bestimmten IP-Blöcke oder Technologien oder Krypto-IP-Cores usw. vor. Es muss nicht unbedingt Arm sein. Es ist nicht ISA-spezifisch.

Arm sagte, dass die PSA-Zertifizierung der nächste Schritt auf dem Weg zur Platform-Security-Architecture (PSA) ist, einem vierstufigen Framework, das IoT-Designer durch die Schritte zur Erstellung eines sicheren verbundenen Geräts führt. Es geht über Anweisungen und Prinzipien hinaus, mit einem umfassenden Satz von Downloads, einschließlich Bedrohungsmodellen und Dokumentationen zu Sicherheitsanalysen, Hardware- und Firmware-Architekturspezifikationen, Open-Source-Trusted-Firmware (TF-M) und API-Testkits.