ARM力推PSA Certified认证 作为因应IoT安全法规的基石
据统计,截至2023年全球联网装置数量达160亿台,已是全球人口的两倍之多!然而,IoT应用激增的普及性与彼此互联,正意味着网络威胁与风险日益升高。因此,多国政府已把装置安全性视为重要的国安议题,正着手立法实施中。此趋势对整个IoT产业,从IP、芯片、软件到终端装置,都将带来冲击,如何因应各种安全规范与法律已成为业者亟待克服的挑战。
对此,ARM透过在新版PSA Certified Level 1 v3.0认证中纳入包括欧盟与英国等不同法规的建议要求,并凭藉着其积极建构的坚强安全生态系统,协助业者提早因应做好准备。
业者不可忽视的安全立法趋势
PSA Certified平台安全架构认证是ARM为了因应各种潜藏的安全问题,于2017年起开始推动独立的第三方评估方案,目前全球总计有198款PSA Certified产品,已成为IoT产业共通的安全平台。
针对最新的安全立法趋势,ARM安全总监暨PSA Certified主席Rob Coombs表示,在欧洲,各国政府正在制定网络安全法规,对于经营欧洲市场的台湾业者来说,要在法律实施前就先做好准备,是非常重要的。
英国的PSTI(产品安全电信基础设施)法案,是最快会实施的方案,即将于2024年4月生效。此外,欧盟的CRA(网络安全强韧法案)目前也正在立法中;在美国,州法律已禁止使用缺省口令,例如,加州的 SB-327等。
「针对PSTI,制造商可以使用PSA Level 1认证来记录他们送审的芯片/装置/软件设计是否遵循了物联网威胁模型以及如何满足安全的要求,并让第三方实验室审核他们提供的答案。至于EU CRA,新版本的PSA Level 1认证亦包含法规中建议的要求,以便企业可以2024年开始准备,无须等到法规和标准生效后才着手进行。由于PSA Certified已是广为业界接受的安全方案,以此为设计基础,将能协助业者以更具成本效益、更简单的方式面对即将面临的安全法规问题。」
协助OEM业者克服安全设计挑战
除了各种安全标准之外,现在OEM业者又面临了新的法规问题,使得IoT装置的安全设计难度更高。对此,Rob Coombs认为,法规将会是业者更为重视的议题,因为这涉及了能否销售产品,因此,实务上产品是否能在设计之初就遵循安全原则,将是业者面临的设计挑战之起始点。
但另一方面,对整个OEM的价值链来说,其复杂度更是一项挑战。芯片业者需负责提供硬件信任根 (RoT),其中包含加密与密钥等安全功能。再上一层的软件,如Amazon FreeRTOS或Linux平台,需负责执行空中下载(OTA)更新与安全通讯。通常,OEM业者是把软硬件结合,并搭配其开发的应用程序,以建构完整装置,但软件与硬件并不是自行开发的。
为克服此问题,PSA Certified要做的便是为SoC定义信任根(RoT),以确保装置最根本的安全性。Rob Coombs强调,PSA Certified的成功之处在于,我们为芯片RoT开发的开源软件,包括用于MCU的TF-M,以及MPU的OP-TEE安全服务。透过安全硬件与软件的结合,PSA RoT为OEM及软件生态系统标准化了跨芯片的加密功能,为OEM业者提供可遵循的安全设计原则。
他比喻说,「如同PC有BIOS和TPM,基于ARM架构的芯片有PSA Certified RoT以实现安全开机与加密功能。」
以信任根(RoT)出发 建构坚强的安全生态系统
ARM平台安全架构业务开发总监Anurag Gupta补充说,PSA Certified共有三个不同级别的认证,Level 1是具备硬件RoT以及通过实验室的书面评估回应,Level 2是芯片通过实验室针对基本软件攻击的测试,适用于联网装置,Level 3则更为复杂,是通过RoT实验室的实体与软件攻击,包括要通过物理渗透评估。
因此OEM业者可针对其需求,明确选择适当的安全等级,是只需要通过软件攻击,或是需要能通过软/硬件攻击。「这是业界第一次,有个共通语言,让OEM业者能够告诉芯片业者,他们需要具备何种安全等级的芯片,这对于安全设计来说,是迈出了一大步。」
此外,由于许多软件人员并不熟悉安全技术,透过定义好的PSA Certified API,能使开发人员更轻松地发挥芯片中提供的安全功能,他们不管底层是采用哪一家的芯片方案,都能以相同的应用程序来支持其硬件安全功能,这大大减化了产品的开发工作。
Rob Coombs表示,PSA Certified是独立于架构的,并不是只有基于ARM架构的芯片才能取得此认证,其他架构亦适用。只是,ARM的各种安全技术,像是TrustZone,由于已经针对PSA进行最佳化设计,因此基于ARM架构的芯片更能获益于PSA Certified的优势。
因此,在ARM多年的推动下,PSA Certified不仅已获得领先芯片业者的采用,并已广泛扩大到众多软件与装置业者,建构了强大的安全生态系统。
与此同时,ARM也持续强化其安全技术,除了在较新的 ARM 处理器上增加MTE(存储器扩充标签)的防护方式,可有效减少存储器安全违反与存储器损坏的严重安全错误,大幅减少被攻击的机会之外,ARM也将于2024年稍晚将可信任韧体转为长期稳定(Long Term Stable)的发布模式,以使在ARM架构上实现安全解决方案更具吸引力。
可造访PSA Certified网页
点此下载2023 PSA Certified Security Report - 法规与安全:乘数效应,了解因应安全性需求提高,使得安全投资成本不断增加之下,PSA Certified创始者与夥伴对于联网装置安全的洞察。