Image
恩智浦MCU安全机制助力实现PSA认证 2023-07-06 10:00:00
  • Q恩智浦的代理商联系方式?

    A这个连结列出了恩智浦的代理商联系方式: https://www.nxp.com/support/sample-and-buy/distributor-network:DISTRIBUTORS

  • Q安全认证会降低MCU运行效率吗?

    A安全认证是跟证据设备面临的威胁,加上申请者的声称来认证。是否影响运行效率,需要具体分析。有些测试项会,有些不会。还需要看认证目标的等级,等级越高,影响的可能性越大。需要户外根据实际来平衡选择合适的适度的安全认证内容

  • QPSA是只适用于Arm平台吗?

    A是的, PSA主要是针对Arm平台的安全验证

  • Q如何实现数据之间的安全传输与保护,需要用到哪些工具开发?

    A数据之间的安全传输与保护可以仔细看看TLS协议,开发的时候基本不用什么工具,就是安全通信失败的情况下,可以用抓包工具,看看log。还有就是证书的预先注入,开始可以放到代码里。生产的时候会需要用到安全生产工具

  • Q为不同人配置不同的访问权限是在开发阶段进行配置的还是运行阶段配置的?通过什么方式配置给MCU的?

    A配置访问权限在开发,运行阶段都是有可能有需求的。关键看应用上逻辑的划分,通过什么方式配置MCU需要看具体方案

  • Q恩智浦MCU安全机制怎么与外接闪存安全协作?

    A使用专用的在线解密引擎

  • Q恩智浦MCU安全机制会影响在线调试吗?

    A开发阶段不会影响在线调试,维修的时候可以通过授权打开调试口,在attach上进行调试

  • Q恩智浦的pas认证是集成在单片机里边,还是外置芯片,或者两者都可实现?

    APPT 中提到的安全功能主要是集成在单片机里。

  • Q恩智浦mcu增加psa认证后,功耗增加多少?

    A你可以选择使能或关掉一些集成在芯片内的安全功能, 因此按照你选择的功能才能估算功耗增加多少。

  • Q恩智浦MCU安全机制如何防护通过串口的攻击?

    A看串口是被划分到什么逻辑域,物理域。如果应用将资产放置在串口上传输,则需要将串口放到被攻击面小的安全域,逻辑上协议层嵌入TLS协议,协议实现上可以引入代码看门狗。物理攻击上甚至可以加上tamper pin的保护,这个对PCB layout也是有要求的。等等吧,方法还是很对的,具体看应用需求

  • Q密钥的复杂度过强是不是可以保证安全性?

    A密钥的复杂度过强,保证是暴力破解。是可以起到安全性保证的。但是威胁不仅仅来自对密钥的暴力破解

  • Q请问:恩智浦MCU能否实现与云端服务器安全通信吗?

    A可以的。我们有AWS,AZURE安全连接的方案

  • QPSA对产品中使用的处理器内核是否有要求,低端的处理器比如M0,或者M3,甚至8位元和16位元的单片机,可否通过PSA认证?

    APSA是platform security architecture,我想core应该不会是被限制的主因。如果SOC设计得当,通过PSA认证也是可能的,尤其是L1

  • Q如果篡改是在系统断电后进行的,篡改后再上电时,安全机制是否还会起作用?

    A最小的防篡改检测系统是会设计在一个单独的power domain。为了防止这类断电攻击,设计了电池供电区,也是最小的防篡改检测系统的所在域

  • QARM的Trust Zone能够做到完全的物理隔离?

    A可以的

  • Q离线使用mcu如何进行加密和解密操作?

    A这个问题,我有点不是很能明白。如果是MCU内部嵌入的代码,使用加解密是可以基于NXP的driver或者mbedtls的API。这个跟离线在线也没关系。

  • Q设备生命周期具体如何定义呢?是截至产品的物理失效时间?还是厂家对产品的承诺服务和支持时限?

    A证明周期的最后一个周期,如何定义是不固定的。以终端POS机为例,如果被攻击了,硬件检测到攻击主动擦除设备身份标识信息。这个时候就认为该设备进入了“死亡”周期。因为没有合规身份了。

  • Qtrustzone是否只能通过特定的指令集去操作?

    ATZ是对一些相关外设配置,实现物理资源隔离。涉及到非安全域申请安全域服务的时候,会有NSC域,这时进入和退出有特定指令参与。具体可参看ARMV8指令集说明

  • Q恩智浦MCU安全机制如何防止非授权拷贝?

    A内部的flash,可以通过安全debug特性支持。对于外部的flash,可以在加上总线加密特性

  • Q算法安全的情况下是不是也可以防止别人直接利用硬件进行反破解

    A算法现在基本都被认证安全的,这些是密码学专家做的。光依靠算法本身的安全是不够的