エンドデバイスのセキュリティとプライバシーは、IoT 消費者にとって最重要事項です
TrustZone は、ARM が Cortex-M プロセッサ向けに開発したセキュリティソフトウェア技術です。これは Silicon Labs によって採用され、プロトコル・スタックと統合され、同じスタック API を顧客に提供しながら、ワイヤレス・スタックから主要な材料を隠すことができるセキュアなシステムを構築しています。
TrustZone の仕組みは?
TrustZone は、メモリのセキュア処理環境(SPE)および非セキュア処理環境(下図参照)への論理分離です。
NSPE から SPE に渡すことができる、事前定義された制限付きコマンドのリストがあります。これは、SPE への暴露を最小限に抑え、ここに保存されたデータを安全に保つために行われます。
たとえば、ワイヤレス・スタックが SPE に鍵を保存したい場合、特定の PSA Crypto API コマンドを PSA ドライバを介してセキュリティ・サブシステムに渡します。ここで、これらの鍵はハードウェア固有の TrustZone ストレージ鍵を使用してラップされます。その後、暗号化された鍵は NVM3 ストレージに保存されます。
TrustZone 機能を備えた Vault ミッド・パーツ
TrustZone 機能を備えた Vault ハイ・パーツ
TrustZone が IoT デバイスをセキュアにするために重要な理由は?
今日の最も要求の厳しい IoT 製品開発の課題は、セキュリティにかかっています。
セキュリティとプライバシー
TrustZone は、アプリケーションの脆弱性からデバイスが使用するワイヤレス暗号鍵や、その他のファームウェアをセキュアに保存する方法を提供します。
たとえば、Secure Vault ミッドセキュリティを使用するグルコース測定器などの Bluetooth Low Energy(LE)医療機器には、セキュアな鍵ストレージ機能がありません。鍵は、フラッシュのプレーンテキストに保存されますが、これは鍵をセキュアに保存する方法ではありません。
TrustZone では、これらの暗号鍵は暗号化された方法で保存されるため、お客様のエンドデバイスのセキュリティが確保されます。
Secure Vault™ のミッド部品と Secure Vault のハイ部品の違いの詳細については、Silicon Labs の IoT 製品セキュリティ表を参照してください。
PSA レベル 2-認証
PSA レベル 2 認証の要件の 1 つは、SPE をハードウェア機構によって分離し、重要なサービスと関連資産を非安全な処理環境から保護することです。TrustZone を導入することで、Vault-Mid 部品は論理ソフトウェア攻撃に対する保護を提供し、PSA レベル 2 の認定を受けています。
追加費用なしで信頼できるセキュリティ
TrustZone API は、Secure Vault-Mid および Secure Vault-High 部品へのインストールと使用に、お客様の追加費用なしで利用できます。
IoT エンドデバイスに対する攻撃ベクトルの 50 %以上がリモート論理攻撃です。
TrustZone ではどのようなプロトコル・スタックがサポートされますか?
TrustZone は、Secure Vault-Mid および Secure Vault-High セキュリティ機能を使用する、すべての Bluetooth Low Energy および Bluetooth メッシュ・デバイスで利用可能です。
TrustZone セキュリティのメリット
TrustZone は、すべての Bluetooth LE アプリケーションと暗号鍵を使用するすべてのアプリケーションで使用できます。次のような例があります。
