キーマネージメント
すべてのセキュリティは鍵の使用に基づいているため、鍵は安全なアーキテクチャの基本要素です。したがって、鍵の生成と管理を安全に行うことが重要です。
各接続機器やセキュアデバイスは、そのデータを保護するために暗号を使用しています。暗号は、セキュアブート(デバイスが信頼できる設定で起動することを保証します)、メモリコンテンツの保護、TLS、IPSec、MACSecなどの安全な通信プロトコルに使用されることがあります。
ハッシュ関数を除くすべての場合において、暗号技術では暗号鍵を使用します。ブロック暗号やMAC(Message Authentication Code)関数には共通鍵が使われることがあります。この場合、暗号化と復号化、署名と署名検証には同じ鍵が使われます。また、公開鍵暗号(PKC)用の非対称鍵を使う場合があります。この場合、2つの異なる鍵(公開鍵と秘密鍵)が使用される。
ECDH や ECDHE などの鍵導出や鍵交換で生成できる暗号鍵があっても、初期鍵の生成やインストー ルが必要です。このインストールを行うには、チップの外部で鍵を生成し、デバイスのインターフェイスから注入する方法と、チップ内部で直接鍵を生成する方法の 2 つの方法があります。2番目の方法は、提供されるセキュリティレベルとプロビジョニングフローの簡素化の観点から好まれています。
Secure-ICは、オンチップでの鍵生成と暗号鍵管理を可能にするセキュリティIPを提供します。これらのセキュリティIPと保護機能を以下に紹介します。
- TRNG IP (True Random Number Generator)。
乱数生成はセキュリティの要です。Secure-ICは、統計的に独立したビットセットを生成する高調波注入に強いTRNG(True Random Number Generator)と、高ビットレートの要求に応えるDRBG(Deterministic Random Bit Generator)の両方を提供します。これらの乱数生成器は、最も一般的な統計テストスイートに対応しています。
More information about TRNG IP
- PUF IP (Physically Unclonable Function):
PUFは、Physically Unclonable Functions(PUF)を用いた秘密鍵生成システムです。PUFは、シリコンが持つ製造上の微小なばらつきによる固有の性質を利用して秘密鍵を抽出し、技術的なばらつきをデジタル信号(ビット情報)に増幅します。PUFによって生成された鍵は読み取ることができず、ヘルパーデータ群を用いて抽出されます。この特徴により、鍵を不揮発性メモリに保存する従来の方式と比較して、リバースエンジニアリング技術に対する真の防御を実現することができます。
More information about PUF IP
Secure-IC は,これらの鍵生成 IP に加えて,鍵導出機能または鍵交換機能などの鍵管理用 IP ブロックと Secure Element を提供しています。