借助硬件信任根满足网络弹性法案要求

如今，许多嵌入式设备在出厂时便带有已知漏洞或默认凭证，制造商往往未能及时修补。欧洲网络弹性法案 (CRA) 旨在提升具有数字组件的产品的安全性。为了解决这些问题，该法规对产品从设计、开发到售后维护的整个生命周期提出了强制性网络安全要求。

满足这些要求的一个常用方法，特别是对于嵌入式与物联网设备，是利用基于硬件的信任根 (RoT)。硬件 RoT 是任何密码系统内的可信源，它提供关键安全功能，如安全引导、安全存储、密码运算以及设备验证。

就软件安全措施而言，当攻击者获得内核级 (Ring 0) 或管理程序 (Ring -1) 权限时，他们就可以访问存储器并绕过保护措施。然而，硬件 RoT 是在单独的加密边界内运行的，通常是在不同的协处理器上或在隔离的执行环境中运行。

因此，通过利用硬件 RoT 功能，制造商可以满足 CRA 的基本要求。其中包括强大的识别和验证机制、安全更新和漏洞管理，以及从系统中删除数据。下一步，我们将探讨通过 RoT 从技术上落实 CRA 要求。

图1：STMicroelectronics 的 STSAFA110DFSPL02 身份验证芯片和物联网安全元件，通过安全引导和固件升级提供签名验证服务。（图片来源：STMicroelectronics）

技术实现

1. 通过安全且可测量的引导实现系统完整性

硬件 RoT 最关键的功能之一是建立可信的引导过程。这意味着 RoT 包含不可变的代码，在设备上电时首先运行，其任务是在移交控制权之前，验证下一阶段软件（如引导加载程序、OS 等）的真实性与完整性。

这构建了一条自硬件而上的信任链。前一阶段会对引导序列中的每个组件进行加密检查。实际上，RoT 将使用嵌入式公钥验证引导加载程序的数字签名，只允许运行制造商授权的固件。

在更高级的实现中，RoT 还可以执行测量引导，记录每个软件阶段的加密哈希值，以便进行远程验证。这意味着外部系统可以要求证明设备上引导的固件版本。CRA 并未强制要求此类证明，但它补充了法规允许用户和组织评估产品安全性的意图。

2. 强识别与验证

硬件 RoT 在制造阶段就为每个设备注入一个唯一的密码密钥或证书，从而提供强身份识别。这一识别是验证设备合法性的基础。例如，Cisco 硬件 RoT 芯片存储了安全唯一设备标识符 (SUDI) 证书和私钥，它们受硬件保护，无法从安全硬件中导出。

对于资源有限的物联网设备来说，完整的可信平台模块 (TPM) 是不切实际的，因此 TCG DICE（设备标识符合成引擎）标准提供了一种轻量级硬件 RoT 机制。它将身份识别与硅状态和软件状态绑定在一起。

图 2：Microchip Technology 的 AT97SC3204-U2A1A-20 可信平台模块 (TPM) LPC 接口，带有一个能够在 200ms 内计算 2048 位 RSA 签名的加密加速器。（图片来源：Microchip Technology）

在制造时，一个 256 位的唯一设备秘密 (UDS) 被存储于保险丝中，或由物理不可克隆功能 (PUF) 衍生而来，并且仅允许不可变的引导层访问。

为进一步强化此模型，可采用基于 PUF 的实现，确保根密钥从不存储于非易失性存储器中，从而降低遭受物理提取攻击的风险。这些机制支持 CRA 下的防欺诈、安全验证和保密要求。

3. 安全更新和漏洞管理

硬件 RoT 不仅仅是初始引导安全，在设备运行期间同样至关重要，尤其是在软件更新时。CRA 高度重视漏洞处理和补丁修复，要求制造商提供安全分发更新、及时修复已知漏洞的机制。RoT 通过验证更新包上的数字签名，实现经过验证的安全固件更新。

例如，Microchip 指出，设计符合 CRA 的产品需要实现安全引导流程、确保固件完整性，并在后续使用期间执行安全的固件更新以防范新出现的威胁。RoT 还能执行防回滚保护，这样，一旦更新修补了旧固件，攻击者就无法加载旧固件。

结语

实现硬件“信任根”为满足《网络弹性法案》所勾勒的核心要求提供了基础构件。RoT 实现了安全引导、唯一设备身份识别、经过认证的更新安装、密码密钥保护，并为长期安全维护提供了一个平台。这些能力共同为 CRA 所定义的基本网络安全要求提供了有力支持。