密钥管理
密钥是安全架构中的基本要素,因为安全性建立在使用密钥的基础上。因此,安全生成和管理密钥非常重要。
所有互联设备或安全设备都使用密码技术来保护其数据。密码技术可用于安全启动(确保设备以可信配置启动)、内存内容保护或安全通信协议(如TLS、IPSec或MACSec)。
在所有情况下,除哈希函数外,密码技术都使用加密密钥。可以是用于块密码或MAC(消息认证码)函数的对称密钥。在这种情况下,同一个密钥将用于加密和解密或签名和签名验证。也可以是用于公钥加密(PKC)的非对称密钥。在这种情况下,使用两个不同的密钥(公钥和私钥)。
即便可以使用密钥派生或密钥交换(如ECDH或ECDHE)从其他密钥生成一些加密密钥,也有必要生成并安装初始密钥。为了完成安装,可采用两种解决方案,一种是在芯片外部生成密钥,然后通过设备接口注入,另一种是直接在芯片内生成密钥。第二种解决方案是首选方案,因为其提供的安全级别更高且简化了配置流。
Secure-IC提供的安全IP可帮助实现片上密钥生成和加密密钥管理。这些安全IP及其提供的保护如下所示:
- TRNG IP(真随机数发生器):
随机数的生成是构建安全的基石。Secure-IC提供真随机数发生器(TRNG)和确定性随机位发生器(DRBG),前者可适应谐波注入,用于统计上独立的位生成集,后者可满足高比特率需求。这些随机发生器兼容最常见的统计测试套件。
More information about TRNG IP
- PUF IP(物理不可克隆功能):
PUF IP是一种基于物理不可克隆功能(PUF)的密钥生成系统。PUF利用芯片微小的制造差异造成的独特固有属性从芯片中提取密钥:技术扩散被放大为数字信号(信息位)。PUF生成的密钥不可读,而是使用一组助手数据提取。与将密钥存储在非易失性内存中的传统方法相比,这一特性提供了防范逆向工程技术的有效保护。
More information about PUF IP
此外,对于此类密钥生成IP,Secure-IC还提供用于管理密钥的其他IP块,比如密钥派生功能或密钥交换功能及安全元件。