"Dijital güvenlik en çok bilinen konulardan biridir. Elektronik bugün tasarım. Mühendisler güvenlik hakkında düşündüklerinde muhtemelen akla gelen ilk kelime şifrelemedir ve yalnızca birkaç mühendis kimlik doğrulamayı düşünür. Ancak kimlik doğrulama, güvenli bir cihazın veya işlemin önemli bir işlevidir.
"
Kimlik doğrulama önemlidir. Mevcut silikon bazlı çözümler sayesinde, kriptografi uygulamasında uzman olmaya gerek kalmadan kimlik doğrulamayı gerçekleştirebiliyoruz.
tanıtmak
Dijital güvenlik günümüzde elektronik tasarımın en bilinen konularından biridir. Mühendisler güvenlik hakkında düşündüklerinde muhtemelen akla gelen ilk kelime şifrelemedir ve yalnızca birkaç mühendis kimlik doğrulamayı düşünür. Ancak kimlik doğrulama, güvenli bir cihazın veya işlemin önemli bir işlevidir.
Ev bankacılığı açısından kimlik doğrulamayı düşünün. Açıkçası, bakiyeler ve hesap numaraları gibi gizli bilgileri şifrelemek istiyorsunuz. Bu, internet tarayıcınız https:// ile yeşil bir kilit görüntülediğinde meydana gelir. Yani güvenli bağlantı kurarken internet tarayıcısının ilk kontrol ettiği şey banka web sitesinin orijinal olup olmadığıdır; başka bir deyişle bankanın web sitesinin kimliğini doğrular. Kimlik doğrulama olmadan, kimliğe bürünme sitelerine kullanıcı adı ve parola bilgilerini gönderiyor olabilirsiniz; bu gerçekten çok zararlı olabilir; çünkü bu kimlik bilgileri, şüphelenmeyen bir banka hesabı sahibi işlemi adına her türlü yetkisiz etkinliği yürütmek için yeniden kullanılabilir. Güvenli internette gezinme genellikle şifrelemenin yanı sıra orijinallik ve gizliliği de sağlayan TLS/SSL protokolü aracılığıyla sağlanır.
Kimlik doğrulama, Nesnelerin İnterneti (IoT) uygulamaları için de önemlidir: güvenilmeyen uç noktalar tüm altyapıyı riske atabilir. Bir elektrik dağıtım sistemine bağlı bir akıllı sayacı ele alalım. Saldırganların şebekeyi tehlikeye atmasının kolay bir yolu, akıllı sayaçlara virüs veya kötü amaçlı yazılım yüklemektir. Etkilenen sayaçlar daha sonra altyapıya, gerçek güç tüketiminden önemli ölçüde farklı olan güç tüketimini yansıtan yanlış mesajlar gönderebilir ve bu da şebekenin dengesiz hale gelmesine neden olabilir. Şebeke fazla rapor verirse, görünüşte fazla olan gücün başka bir yere yönlendirilmesine neden olur, ancak şebeke eksik rapor verirse, güçte bir artışa neden olur; En kötü durumda, saldırı şebekenin dengesini bozarak tam bir elektrik kesintisini tetikleyebilir. Bunu önlemek için ölçüm cihazının donanımının ve cihaz yazılımının orijinal olduğunu doğrulamak gerekir. Ürün yazılımını doğrulama işlemine Güvenli Önyükleme adı verilir.
Geçerli bir kimlik doğrulama yöntemi uygulayın
Artık önemini anladığımıza göre kimlik doğrulamanın nasıl uygulanacağını tartışalım. Kimlik doğrulamanın en kolay yöntemi parola kullanmaktır. Akıllı sayaç örneğimizde cihaz şebeke kontrol sistemine kod gönderebiliyordu. Sunucu şifreyi doğrulayacak ve ardından diğer işlemlere izin verecektir. Bu yaklaşımın anlaşılması kolay olsa da, açık ara en iyisi değildir. Saldırgan iletişimleri kolaylıkla izleyebilir, parolayı kaydedebilir ve bunu orijinal olmayan cihazların kimliğini doğrulamak için yeniden kullanabilir. Bu nedenle parolaya dayalı kimlik doğrulamanın zayıf olduğunu düşünüyoruz.
Dijital dünyada kimlik doğrulamayı gerçekleştirmenin daha iyi bir yolu, meydan okuma-yanıt yöntemidir. Şimdi iki tür meydan okuma-cevap yöntemine bakalım: biri simetrik kriptografiye, diğeri asimetrik kriptografiye dayalı.
Simetrik şifre kimlik doğrulaması
Simetrik şifrelemeye dayalı kimlik doğrulama, paylaşılan bir sırra dayanır. Ana bilgisayar ve kimliği doğrulanacak cihaz aynı anahtar koduna sahiptir. Toplantı sahibi cihaza rastgele bir sayı, yani meydan okuma gönderir. Cihaz, anahtarın ve sorgulamanın bir fonksiyonu olarak dijital bir imzayı hesaplar ve bunu ana bilgisayara geri gönderir. Toplantı sahibi daha sonra aynı hesaplamayı çalıştırır ve sonuçları karşılaştırır. İki hesaplama eşleşirse cihazın kimliği doğrulanır (Şekil 1). Sonuçların taklit edilememesi için yeterli matematiksel özelliklere sahip fonksiyonlar kullanılmalıdır. Örneğin, sonucun hesaplanmasını zorlamadan sırlar alınamaz. SHA-256 gibi güvenli karma işlevleri bu gereksinimleri destekler. Challenge-cevap yönteminde cihaz, sırrı açığa çıkarmadan sırrı bildiğini kanıtlar. Bir saldırgan iletişimi kesse bile, paylaşılan gizli bilgiye yine de erişemez.
Şekil 1. Simetrik şifrelemeye dayalı kimlik doğrulama, ana bilgisayar ve cihaz arasında paylaşılan anahtar numaralarına dayanır.
Asimetrik kriptografik kimlik doğrulama
Asimetrik şifrelemeye dayalı kimlik doğrulama iki anahtara dayanır: özel anahtar ve genel anahtar. Özel anahtar yalnızca kimliği doğrulanacak cihaz tarafından bilinirken genel anahtar, cihazın kimliğini doğrulamak isteyen herhangi bir kuruluşa açıklanabilir. Daha önce tartışılan yöntemde olduğu gibi, ana bilgisayar cihaza bir meydan okuma gönderir. Cihaz, sorgulamaya ve özel anahtara dayalı olarak bir imza hesaplar ve bunu ana bilgisayara geri gönderir (Şekil 2). Ancak burada, toplantı sahibi imzayı doğrulamak için genel anahtarı kullanır. İmzayı hesaplamak için kullanılan fonksiyonun belirli matematiksel özelliklere sahip olması da önemlidir. Asimetrik şemalar için en sık kullanılan işlevler RSA ve ECDSA'dır. Cihaz burada da bir sırrı, yani özel anahtarı ifşa etmeden bildiğini kanıtlıyor.
Şekil 2. Asimetrik anahtar kimlik doğrulaması genel ve özel anahtarlara dayanır.
Güvenli IC'ler Kimlik Doğrulama İçin Neden İyidir?
Sorgulama-yanıt kimlik doğrulaması, sırrı korumak için her zaman nesnenin kimliğinin doğrulanmasını gerektirir. Simetrik şifrelemede bu, ana bilgisayar ile cihaz arasında paylaşılan bir sırdır. Asimetrik şifreleme için bu özel anahtardır. Ne olursa olsun, sorgulama-cevap kimlik doğrulamasının sağladığı güvenlik, sırlar sızdırıldığında bozulur. Güvenlik IC'lerinin yardımcı olabileceği yer burasıdır. Bir menkul kıymetin önemli bir özelliği IC anahtarların ve sırların güçlü bir şekilde korunmasını sağlamaktır.
Özdeyiş kimlik doğrulama özellikli üç çözüm ailesi sunar:
Kimlik Doğrulama IC'leri: Bunlar, kompakt bir şifreleme işlemleri kümesinin yanı sıra, sorgulama-yanıt kimlik doğrulamasını uygulamanın en uygun maliyetli yolunu sağlayan, yapılandırılabilir ancak sabit işlevli cihazlardır.
Güvenli mikrodenetleyiciler: Bu cihazlar, sorgulama-cevap kimlik doğrulamasını desteklemenin yanı sıra, şifreleme de dahil olmak üzere eksiksiz bir şifreleme işlevleri paketi sağlar.
Düşük Güçlü Mikrodenetleyiciler: Bu ürünler özel olarak güvenliği hedef almasa da güçlü kimlik doğrulamayı sağlamak için gereken tüm yapı taşlarına sahiptir.
Sertifikalı IC
Kimlik doğrulama IC'leri arasında SHA-256 tabanlı ürünler, paylaşılan bir sır kullanılarak kimlik doğrulamayı destekler (Şekil 3), ECDSA tabanlı IC'ler ise özel/genel anahtar çiftlerini kullanır (Şekil 4). Bu ürünlerde şifreleme motorunun yanı sıra yerleşik EEPROM belleği de bulunmaktadır. Bu bellek yapılandırılabilir ve sensörler için kalibrasyon bilgileri gibi kimliği doğrulanmış kullanıcı verilerini depolamak için kullanılabilir.
SHA-256'yı temel alan ürünler en uygun maliyetli çözümdür. Karşılıklı kimlik doğrulamayı etkinleştirirken, paylaşılan anahtarın dağıtımı, anahtarın cihazın üretimi ve kurulumu sırasında açığa çıkmaması için bazı önlemler gerektirir. Bu sır, bu eksikliğin üstesinden gelmek için Maxim fabrikasında programlanabilir.
Şekil 3. SHA-256 güvenli kimlik doğrulaması, paylaşılan bir sırrı temel alır.
Maxim'in DS28E15/DS28E22/DS28E25 IC'leri SHA-256'yı temel alır teknoloji ve farklı dahili bellek boyutlarına sahiptir. Host tarafında ve cihaz tarafında aynı anahtar saklandığından host tarafında DS2465 gibi bir yardımcı işlemci kullanılması tavsiye edilir.
Asimetrik şifrelemeye dayalı ürünler (DS28C36 ve DS28E35 gibi) daha esnek bir çözüm sağlar çünkü anahtarın ana bilgisayar tarafından ifşa edilmesine karşı korumaya gerek yoktur. Bununla birlikte, genel anahtar matematiğinin yükünü boşaltmak ve ek güvenlik işlemleri sağlamak için, sistem çözümü geliştirmeyi basitleştirmek amacıyla DS2476 (DS28C36'ya eşlik eden bir IC) gibi ana bilgisayar tarafındaki bir yardımcı işlemci kullanılabilir.
Şekil 4. ECDSA tabanlı kimlik doğrulama, özel/genel anahtar çiftlerine dayanır.
Simetrik ve asimetrik şifrelemeyi destekleyen güvenli mikro denetleyici
Maxim, Linux gibi yüksek seviyeli işletim sistemlerini çalıştırabilen MAX32590 (9MHz'de çalışan ARM384) uygulama sınıfı işlemcilerden MAX32555 veya MAXQ1061 gibi küçük form faktörlü yardımcı işlemcilere kadar uzanan güvenli mikrokontrolörler sunar.
Bu mikro denetleyiciler, dijital imzalar ve kimlik doğrulama için simetrik ve asimetrik şifrelemeyi ve kriptografik algoritmaları destekler. SHA, RSA, ECDSA ve AES için donanım hızlandırıcıların yanı sıra standartlara uygun, anahtar teslimi bir API sağlayan eksiksiz bir şifreleme kitaplığı içerirler. Yerleşik bir güvenli önyükleme özelliğine sahiptirler, böylece ürün yazılımının orijinalliği her zaman garanti edilir. Kapsamlı şifreleme özellikleri nedeniyle çok çeşitli kimlik doğrulama şemalarını işleyebilirler.
MAXQ1061, kimlik doğrulamayı desteklemenin yanı sıra TLS/SSL standardı IP güvenli iletişim protokolündeki en kritik adımları da gerçekleştiren bir yardımcı işlemcidir. TLS protokolünün çip üzerinde işlenmesi, güvenlik düzeyini artırır ve ana işlemciyi yoğun hesaplama gerektiren görevlerden kurtarır. Bu, kaynak kısıtlı gömülü sistemler için çok değerlidir.
düşük güçlü mikrodenetleyici
MAX32626 gibi düşük güçlü mikro denetleyiciler giyilebilir cihazları hedef alır ve bu nedenle "güvenlik odaklı" IC'ler değildir. Ancak ürün, saldırılar daha sık hale geldikçe gelecekteki güvenlik sorunları göz önünde bulundurularak tasarlanmıştır. Bu nedenle MAX32626, şifreleme ve yerleşik güvenli önyükleme için donanım AES'nin yanı sıra kimlik doğrulamayı da destekleyen bir donanım güven koruma birimine sahiptir.