Schwerpunkte

Advertorial

RISC-V-basierte Hardware Root-of-Trusts in FPGAs

21. Juni 2021, 08:00 Uhr   |  Tolga Sel

RISC-V-basierte Hardware Root-of-Trusts in FPGAs
© Arrow

Root-of-Trust bietet Schutz gegen Cyberattacken.

Cybersecurity muss dynamisch sein, denn Angreifer finden immer neue kritische Sicherheitslücken, um eine Vielzahl von Geräten anzugreifen. Arrow stellt einen RISC-V basierten Hardware Root-of-Trust für FPGAs vor, das auch gleichzeitig als Krypto-Beschleuniger für Edge-Computing Anwendungen dient.

Für Arrow steht es an oberster Stelle, Kunden bei der Produktplanung, Komponentenbeschaffung und dem Engineering ganzheitlich zu unterstützen. Denn Unternehmen brauchen heute Unterstützung nicht nur auf Komponentenebene, sondern zunehmend auch bei der vertikalen Integration auf Systemebene. Typischerweise beginnen Projektgespräche nicht mehr bei einzelnen FPGAs oder MCUs, sondern auf Systemebene, also von Komponenten über Hardware-Software-Lösungen bis hin zur Cloud (https://www.elektroniknet.de/distribution/kein-klassisscher-distributor-sondern-technology-provider.176474.html).

Aus diesem Grund verfügt Arrow über ein starkes Team von FAEs, die über ganz Europa verteilt sind und Kunden während des gesamten Produktentwicklungszyklus unterstützen. Mit unserem FAE-Team, dem Arrow Engineering Solution Center, den Arrow Cloud Services und dem Entwicklungsdienstleister von Arrow, eInfochips, stehen wir unseren Kunden zur Seite und bieten Ende-zu-Ende Engineering Services. Konkret bedeutet dies, dass sich Arrow als Technology Solutions Provider versteht. Das heißt, wir sind Ihr zentraler Distributor, bieten Engineering-Dienstleistungen an, beschaffen und liefern Komponenten, provisionieren Ihre Produkte in unserem Arrow Programming Center in Venlo und sorgen so für eine sichere Integration in die Cloud. So können Sie sich auf ihren wesentlichen Mehrwert konzentrieren und ihre Produkte schnell auf den Markt bringen.

Security-by-Design für FPGA Designs

Hiermit präsentieren wir ein technisches Blueprint und zeigen Ihnen, wie Arrow Ihnen als Technology Solutions Provider mit Ende-zu-Ende-Services helfen kann. Ganzheitliches Denken ist gerade im Bereich Cybersecurity wichtig, denn nach dem „Security-by-Design“-Ansatz beginnt Cybersecurity bei der Festlegung der Systemarchitektur und erstreckt sich über den kompletten Entwicklungszyklus – von der Auswahl der Hardware bis in die Cloud.

Dieser „Security-by-Design“-Ansatz wird am Beispiel von Edge Computing und Cybersecurity für FPGAs vorgestellt. Im Zuge des Internet-of-Things werden immer mehr Daten in der Cloud verarbeitet. In vielerlei Hinsicht ist es jedoch sinnvoll, Daten direkt an der „Edge“ (=Kante) zu verarbeiten und nur wesentliche Ergebnisse in die Cloud zu senden. Nach dem Security-by-Design-Prinzip, müssen daher die Daten direkt an der Edge gesichert, sicher in die Cloud transportiert und in der Cloud vertraulich, integer und authentisch behandelt werden, um geschäftskritische Entscheidungen sicher zu treffen.

Blueprint einer RISC-V-basierten Hardware Root-of-Trust Lösung

Im folgenden stellen wir eine mögliche FPGA-basierte Edge-Computing-Lösung vor. Im FPGA ist ein RISC-V implementiert, der auf eine Hardware Root-of-Trust zurückgreifen kann. Dieser Edge Node liest Sensordaten ein, filtert diese und bereitet die Sensorwerte entsprechend auf. Anschließend werden die Daten hinsichtlich der Integrität, Authentizität und Vertraulichkeit gesichert und an die Cloud weitergeleitet.

Das Arrow Programming Center in Venlo bietet die Provisionierung bestimmter FPGAs mit kryptographischen Schlüsseln (z.B. Bitstream security). Arrow Cloud Solutions und Enterprise Computing Solutions dienen als Anbieter von Technologielösungen im Cloud-Bereich. Beispielsweise existiert die Möglichkeit, diverse Root-of-Trust-Lösungen mit den Arrow Cloud Services zu synchronisieren. So sind alle FPGAs direkt in der Cloud hinterlegt und können sich sicher verbinden (Cloud onboarding). 
Abbildung 1 illustriert die vertikale Vertrauensbeziehung vom FPGA bis in die Cloud. In Abbildung 2 wird der RISC-V-basierte sichere Hardware-Root-of-Trust vorgestellt.

Arrow
© Arrow

Abbildung 1: Vertrauenskette von der gesicherten Produktionsumgebung bis in die sichere Cloud

  1. Das Arrow Programming Center programmiert die FPGAs mit gesicherten Bitstreams (Bitstream Security). Die Bitstreams enthalten Zertifikate, die von der Root-CA des OEMs signiert sind. Wahlweise enthalten die Bitstreams auch andere Security Informationen (z.B.: Security Policy und andere Schlüsselmaterialien). Abschließend erhält der OEM die Informationen zur Programmierung der FPGAs und hat somit einen vertrauenswürdigen Nachweis aller produzierten Geräte. Mit Hilfe dieser Maßnahmen kann erschwert werden, dass Produktionsüberschüsse im Graumarkt landen. 
  2. Beim Start des FPGAs werden diese Schlüsselmaterialen (rot) in den RISC-V-basierten sicheren Hardware Root-of-Trust geladen. In diesem Blueprint ist der RISC-V-basierte sichere Hardware Root-of-Trust als IP-Core im Bitstream des FPGAs integriert. Die privaten Schlüssel (rot) verlassen den Hardware Root-of-Trust nie. Bei Flash-basierten FPGAs, ist der Hardware Root-of-Trust fest im FPGA gespeichert und muss nicht beim Start von extern geladen werden.  
  3. Wird ein Kommunikationskanal zwischen FPGA und Cloud erstellt (z.B. durch einen FPGA-SoC oder Embedded Linux), werden die Messwerte mit dem privaten Schlüssel oder daraus abgeleiteten symmetrischen und asymmetrischen Schlüsseln auf Anwendungsebene gesichert und in die Cloud übertragen (z.B. FPGA Hardware Root-of-Trust accelerator-based authenticated and encrypted network communication).
  4. Die Cloud verfügt über eine PKI und kann damit die FPGAs authentifizieren, einen sicheren Kommunikationskanal eröffnen und somit jegliche übertragenen Informationen vom FPGA kryptographisch validieren. Mit anderen Worten, die Cloud (=OEM) kann genau nachvollziehen, welcher Produkttyp im Feld die Information übermittelt hat und ob die Nachricht authentisch und integer ist. Das Komplement zu Provisionierung, daher das Cloud onboarding, kann auch von Arrow als Service angeboten werden.

Die Punkte 1 bis 4 zeigen, dass Arrow die Vertrauenskette für Produkte auf Basis des Security-by-Design-Ansatzes bereitstellen und so dazu beitragen kann, sichere Produkte in kurzer Zeit auf den Markt zu bringen. 

Abbildung 2 illustriert eine mögliche Architektur des FPGAs mit einer sicheren Hardware Root-of-Trust basierend auf RISC-V.

Arrow
© Arrow

Abbildung 2: Edge-Computing FPGA Blueprint mit RISC-V-basierten sicheren Hardware Root-of-Trust

  1. Inputdaten, beispielsweise hochauflösende Messinformationen oder Videodaten, werden in das FPGA geladen. Im FPGA wird eine schnelle Vorberechnung und Filterung durchgeführt. Hier können Objekte erkannt und gelabelt werden, zum Beispiel mit Hilfe von neuronalen Netzen.
  2. Je nach Anwendungsfall erhält die RISC-V Soft-CPU eine Anweisung zum Generieren von Schlüsselmaterialien für die Applikation der Anwendungsschicht. Diese Anweisung leitet die RISC-V Soft-CPU über die Firewall zum Sicherheitsanker („Security Anchor“). Die Firewall könnte validieren, ob die Anfrage des RISC-V eine Anomalie aufweist, oder im Rahmen der Security Policy ist. Die vom Security Anchor generierten Schlüssel der Anwendungsschicht fließen direkt in die Verschlüsselungs- und Authentifizierungs-IP im FPGA ("ENC / AUTH Accel.") ein. Wichtig zu erwähnen ist, dass die Schlüssel (rot) nie den sicheren Hardware Root-of-Trust verlassen, da physikalisch für den Schlüssel kein Weg nach außen existiert. 
  3. Die Daten werden anschließend auf Authentizität, Integrität und Vertraulichkeit mit einem Authenticated Encryption with Associated Data Algorithmus (AEAD) gesichert. Der „ENC / AUTH Accel.“-IP-Core kann gleichzeitig als Hardwarebeschleuniger für kryptographische Berechnungen dienen. 
  4. Letztendlich gelangen die Daten auf ein netzwerkfähiges System wie Linux und werden in die Cloud transportiert. Auf der Cloud-Seite können die Daten über die sichere Vertrauenskette verifiziert werden. Der OEM hat differenzierte Einsicht über die genauen Aktivitäten des verkaufen Produkts.

Wie Arrow Ihnen helfen kann

Die Integration von Cybersicherheits- und Cloud-Technologien in FPGA-basierte Produkte erfordert hochspezialisierte Experten. Diese komplexen Technologien und der Mangel an Experten können die Markteinführungszeit und die Kosteneffizienz von Produkten stark beeinträchtigen. Aus diesem Grund verfügt Arrow über ein starkes Team aus FAEs, dem Arrow Engineering Solutions Center, den Arrow Cloud Services und eigenen Entwicklungsdienstleistern (eInfochips), um unsere Kunden zu unterstützen und modernste Technologien termingerecht und zu angemessenen Kosten zu erstellen.

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

Arrow Central Europe GmbH Dreieich