チュートリアル5716

低コストで高いセキュリティ効果を実現するハードウェアセキュリティIC

筆者: Christophe Tremlet, Security Segment Manager

要約:医療および安全性に関するアプリケーションのセキュリティの脆弱性に対して、各国政府と業界の主要企業は電子デバイスの設計と保護におけるセキュリティ上の弱点を重視しています。この記事では、ハードウェアセキュリティICの使用によって、低コストかつ設計に対する影響を最小限に抑えながら、生命に関わる機器、周辺装置、およびコンピュータシステムに対する不正なアクセスのリスクを大幅に低減することを説明します。

重要なシステムの攻撃に対する脆弱性から、強化されたセキュリティ方式の必要性に対する意識が高まっています。業界では主としてソフトウェアに基づくサイバーセキュリティ方式が使用されてきましたが、ハードウェアに基づく方式は強力な保護を実現し、コスト増に十分見合う信頼の基盤を提供するという独自の能力を備えているため、急速に注目を集めています。コスト効率に優れたシリコンソリューションの出現によって、設計者は設計を堅牢化し、全体的コストへの影響を最小限に抑えながら、エンベデッドデバイス、周辺装置、およびシステムに対する不正アクセスのリスクを大幅に低減することができます。
次のような例を考えてみます。
心臓病患者が自宅で快適に休息を取っており、最新式のワイヤレスペースメーカーが安定したパルスのストリームを提供し、同期的な心筋収縮を確保します。彼の知らないうちに、オポチュニスティック型ハッカーのチームが彼のペースメーカーシステムのIPアドレスに遭遇し、各種の侵入ツールを発動させます。ペースメーカーは、それぞれの攻撃を無効化する何層ものセキュリティに保護されているため、規定の信号を供給し続け、やがてハッカーはあきらめて、もっと容易な標的を求めてスキャンを続行します。患者はハッキングの試みにまったく気づかず、安らかに休息を取り続けます。
このシナリオは想像上のものですが、実際に発生する可能性が十分にあります。実際に、医療機器の脆弱性に関する最近のFDAの警告では、ネットワーク接続されたあらゆる医療機器に安全な基盤を提供することができる、信頼性のあるシステムの必要性を非常に強調しています。最近の電子的に制御された自動車やワイヤレス対応の交通システムにさえ同様の弱点があることが報告されており、健康と安全にとって非常に重要なシステムが悪人に対する脆弱性を持つことは明らかです。逆説的に、サイバー攻撃が成功した場合に発生する健康と安全への重大な影響の可能性を考えると、妥当なレベルの信頼とセキュリティを内蔵するコストはわずかなものです。
数十年にわたって、信頼性のあるシステムプロトコル(コンピュータシステムやビルなど)は、権限のあるユーザー、ソフトウェアプロセス、またはその他のハードウェア機器のみにアクセスを限定するように設計された多層のリソース保護を使用してきました。アクセスを許可するには、保護対象のリソースが要求元エンティティのIDを認証(または検証)する必要があります。
セキュアな施設にアクセスするための認証方式には複数の認証要素(アクセスカード、アクセスコード、および生体測定を含む)が使用されるのに対して、各コンピュータシステムや機器にアクセスするための認証方式は遅れています。現在でも、コンピュータシステムのセキュリティは主として単純なIDとパスワードに依存しています。しかし、IDとパスワードは破られる可能性があり、ウイルスや、一定期間にわたって潜在して機密資産を盗み出すより狡猾なマルウェアにシステムを晒すことになります。
実際に、メーカーへの警告として、FDAは「無制限のパスワード配布、パスワードの無効化、特権的な機器アクセス用のソフトウェア(たとえば、システム管理、技術、および保守担当者が使用するもの)にハードコードされたパスワード」が原因で、弱いパスワードセキュリティが主要な脆弱性の1つになることを示しています1
確かに、何らかの面で健康と安全性に関係する機器には、コンピュータユーザーが(そしてコンピュータ攻撃者が)扱い慣れている従来のIDとパスワードよりも、はるかに強力な認証方式の実装が必要です。

効果的な認証

より効果的な認証方式として、ホストシステムがランダムなチャレンジを生成する方法があります。たとえば、標準的なチャレンジ(「あなたのパスワードは?」)の代わりに、一見ランダムな文字列をチャレンジに使用します。次に、要求元エンティティはメッセージ認証コード(MAC)を含む符号化されたレスポンスを送信します。MACは、要求元エンティティの内部データだけでなく、シークレットと、ホストから受信した特定のランダムチャレンジも含みアルゴリズムを使用して計算されます。その後、ホストは受信したMACレスポンスと予期されるレスポンスを比較し、相手が正当なエンティティかどうかを検証します(図1)。
図1. 効果的なチャレンジ&レスポンス認証方式では、ランダムチャレンジに基づいて有効なレスポンスを構築し、正当なアクセサリのIDを確認します。
図1. 効果的なチャレンジ&レスポンス認証方式では、ランダムチャレンジに基づいて有効なレスポンスを構築し、正当なアクセサリのIDを確認します。
このより堅牢なチャレンジ&レスポンス認証方式によって、たとえばワイヤレスペースメーカーは有効なMACを受信したかどうかを確かめ、通信相手が正当なホストであることを確認してからパルスレートを変更することができます。自動車、トラック、または重機の場合は、正当なMACを供給する信頼性のあるエンベデッドデバイスおよび周辺装置からのデータストリームを使用して車両の電子制御装置が明白な緊急事態に応答することができます。
過去において、企業がより良いセキュリティ対策を実装しようとする場合、スタンドアロンの暗号ユニットのような堅牢ではあるが高価なハードウェアを使用するか、ソフトウェアのみのソリューションの限界を受け入れるかの、二者択一を強いられました。高度なチャレンジ&レスポンス方式をソフトウェアで実装した場合、ホストプロセッサの負荷が大幅に増加し、セキュリティの応答性およびホストシステムの全体的性能が低下する可能性があります。これらの動作上の問題に加えて、ソフトウェア方式はあらゆるシステムセキュリティアーキテクチャにおいて弱いリンクのままになります。シークレットは通常のシステムメモリ内に保持されるため露見や改変に対して脆弱なままであり、アルゴリズム自体もより汎用的なハードウェア上で実行されるため、チャレンジの完全なランダム性のみならずそれらの浸透さえ確保することができません。この組み合わせは、悪人が利用に成功し続けているさまざまな技術的および社会的方法を介してアプリケーションを攻撃に晒す可能性があります。
セキュリティ方式を実装した専用のICは、ソフトウェアに基づくセキュリティと比べて複数の利点を提供します。専用の暗号チップは、計算量の多い暗号アルゴリズムを処理するための負荷をホストMCUから取り除きます。さらに、これらのセキュリティICは攻撃者の侵入ポイントを減少させ、鍵や共有シークレットを表す暗号パラメータなどのデータ用にセキュアなストレージを提供します。複数層の保護を使って機密の暗号データおよびアルゴリズムを保護することによって、これらのデバイスはソフトウェアに基づくセキュリティでは対処がより困難となるすべての脅威に対抗することができます。
より基本的なレベルで、セキュアシリコンは信頼のルート(根)の基盤を提供し、基底となるアルゴリズムとデータの基盤のセキュリティが維持されているという十分な確信を持ってエンジニアが上位レベルのアプリケーションを構築することを可能にします。実際に、後で検討するように、この信頼のルートをシリコンで作るには、結局シリコンデバイス自体のセキュリティ確保のみではなく、その出発点から始まる製造および流通チャネルのセキュリティ確保が必須です。

セキュアIC

マキシム・インテグレーテッドのDeepCover®セキュア認証用ICは、独自の物理セキュリティ機構を活用しています。これらの認証用デバイスは、高度物理セキュリティによって機密データを保護します。攻撃者は多層防御セキュリティを使用したデバイスに直面して、攻撃の成功に必要なコストと時間のしきい値が、侵入によって得られる価値を上回っていることを認識します。
同様に重要な点として、これらのハードウェアセキュリティICはインテグレーションを簡素化します。これらの低コストデバイスで使用される1-Wire®インタフェースは設計が簡素なため、幅広いアプリケーションで容易に使用することができます。標準的なアプリケーションの場合、エンジニアはプルアップ抵抗を追加してMCUの予備I/OポートをDS28E15などのDeepCover認証用デバイスに接続するだけです(図2)。
図2.
図2. プルアップ抵抗の追加によって、MCUの予備のI/OポートをDeepCover認証用デバイスに接続することができます。
そのため、設計者は複数の周辺装置に対応するセキュアシステム設計を容易に実装することができます。認証対象の各周辺装置は、それぞれに専用のDeepCover認証用ICを介して認証されます。ここで、DeepCover ICのDS2465は1-Wireマスターとして機能し、ラインの駆動およびI2Cマスターとすべての接続された1-Wireスレーブ認証用IC間のプロトコル変換を行います。
図3. DS2465などの1-Wireマスターデバイスを組み込むことによって、MCUの代わりに1-Wireライン駆動とプロトコルの処理を行います。
図3. DS2465などの1-Wireマスターデバイスを組み込むことによって、MCUの代わりに1-Wireライン駆動とプロトコルの処理を行います。
アプリケーション内で、DeepCover認証ファミリの各製品はFIPS 180-3セキュアハッシュアルゴリズムSHA-256と、FIPS 186公開鍵ベース楕円曲線デジタル署名アルゴリズム(ECDSA)暗号をサポートします。SHA-256アプリケーション用のDS28E15DS28E22、およびDS28E25は、SHA-256エンジンおよびセキュリティ機能を、それぞれ512ビット、2Kb、および4KbのユーザーEEPROMと組み合わせています。ECDSA設計用のDS28E35は、1KbのEEPROMとともにそのECDSAエンジンおよび関連するセキュリティ機能を提供します。
DeepCover認証シリーズの全製品にわたってサポートされるセキュリティ機能の中で、各デバイスは、アプリケーションデータに利用することができるそのユーザープログラム可能なEEPROMアレイと、デバイスがサポートする暗号アルゴリズムに関連する読取り保護されたシークレットとデータパラメータの両方を格納するための保護されたメモリ領域を組み合わせています。さらに、各デバイスは固有性が保証された64ビットROM ID番号を内蔵しており、暗号演算用の入力としての機能を果たすとともに、普遍的に固有のアプリケーション用シリアルナンバーを提供します。
前述のように、ICに対する信頼のルートの確立は出荷時に始まり、流通チャネルを介して維持されます。デバイスの内部に格納されたシークレットが不正なエージェントによって読取りまたは書き換え可能だとしたら、そのデバイスを使用して構築されたシステムのセキュリティは即座に侵害されるでしょう。運用上のセキュリティ対策とともに、DeepCover認証用ICは不正なアクセスからのシークレットの読取り保護およびシークレットの書き換えを防ぐ書込み保護を実現します。この保護に加えて、シークレット自体の生成についても、完全なシークレットを1カ所で作るのではなく複数の段階に分けてシークレットを構築するという、コンパートメンタリゼーション(区分化)の推奨セキュリティ原則に従って行うことができます。
サプライチェーンのさまざまな位置をデバイスが通過するときに、それ自体がシークレットの別の部分を生成することができます。認証用IC自体が最終製品にとって信頼のルートになるため、完成した製品にも同じプロセスを適用することができます。これによって、あらゆる個々の機器の完全なシークレットは効果的に未知のままで、誰も到達することができなくなります。
医療および安全性アプリケーションのセキュリティ脆弱性に対して、政府および業界の主要企業各社は生命に関わる機器、周辺装置、およびコンピュータシステムの設計と保護におけるセキュリティ手順の弱点を重視しています。専用のハードウェアセキュリティICを使用することによって、企業各社はコスト増および設計への影響を最小限に抑えながら、信頼の強固な基盤を自社製品に組み込むことができます。マキシムのDeepCoverエンベデッドセキュリティソリューションのような認証用ICは、より効果的なアプリケーションセキュリティの基盤を形成する堅牢なチャレンジ&レスポンス認証方式の実装を簡素化します。

参考文献

  1. 「FDA Safety Communication: Cybersecurity for Medical Devices and Hospital Networks (FDA安全通信:医療機器および病院ネットワークのサイバーセキュリティ)」、2013年6月13日、http://wayback.archive-it.org/7993/20170722144747/https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm356423.htm


1-WireはMaxim Integrated Products, Inc.の登録商標です。

DeepCoverはMaxim Integrated Products, Inc.の登録商標です。



関連製品
DS2465 DeepCoverセキュア認証用IC、SHA-256コプロセッサおよび1-Wireマスター機能内蔵 無料
サンプル
 
DS24L65 DeepCoverセキュア認証用IC、SHA-256コプロセッサおよび1-Wireマスター機能内蔵 無料
サンプル
 
DS24L65 DeepCoverセキュア認証用IC、SHA-256コプロセッサおよび1-Wireマスター機能内蔵 無料
サンプル
 
DS28E15 DeepCoverセキュア認証用IC、1-Wire SHA-256および512ビットユーザーEEPROM内蔵 無料
サンプル
 
DS28E22 DeepCoverセキュア認証用IC、1-Wire SHA-256および2KbユーザーEEPROM内蔵 無料
サンプル
 
DS28E22 DeepCoverセキュア認証用IC、1-Wire SHA-256および2KbユーザーEEPROM内蔵 無料
サンプル
 
DS28E25 DeepCoverセキュア認証用IC、1-Wire SHA-256および4KbユーザーEEPROM内蔵 無料
サンプル
 
DS28E25 DeepCoverセキュア認証用IC、1-Wire SHA-256および4KbユーザーEEPROM内蔵 無料
サンプル
 
DS28E35 DeepCoverセキュア認証用IC、1-Wire ECDSAおよび1KbユーザーEEPROM内蔵 無料
サンプル
 
DS28EL15 DeepCoverセキュア認証用IC、1-Wire SHA-256および512ビットユーザーEEPROM内蔵 無料
サンプル
 
DS28EL15 DeepCoverセキュア認証用IC、1-Wire SHA-256および512ビットユーザーEEPROM内蔵 無料
サンプル
 
DS28EL22 DeepCoverセキュア認証用IC、1-Wire SHA-256および2KbユーザーEEPROM内蔵 無料
サンプル
 
DS28EL22 DeepCoverセキュア認証用IC、1-Wire SHA-256および2KbユーザーEEPROM内蔵 無料
サンプル
 
DS28EL25 DeepCoverセキュア認証用IC、1-Wire SHA-256および4KbユーザーEEPROM内蔵  
DS28EL25 DeepCoverセキュア認証用IC、1-Wire SHA-256および4KbユーザーEEPROM内蔵  


次のステップ
EE-Mail EE-Mail配信の登録申し込みをして、興味のある分野の最新ドキュメントに関する自動通知を受け取る。

© Nov 25, 2013, Maxim Integrated Products, Inc.
このウェブサイトのコンテンツは米国および各国の著作権法によって保護されています。コンテンツの複製を希望される場合は、お問い合わせください

APP 5716: Nov 25, 2013
チュートリアル5716, AN5716, AN 5716, APP5716, Appnote5716, Appnote 5716