Infineon внедрила перекрёстную подпись сертификатов в своих криптографических микросхемах.
Один из крупнейших в мире производителей микросхем Infineon заключил соглашение с глобальным центром сертификации GlobalSign на перекрёстную подпись сертификатов, которые производитель самостоятельно выдаёт для своих промышленных криптографических чипов Optiga TPM SLM 9670. Теперь эти подписи проверяемы по цепочке вплоть до корневого центра сертификации GlobalSign, что значительно упрощает управление ими.
Optiga TPM SLM 9670 считается первым промышленным криптографическим чипом, который соответствует стандарту TPM 2.0. Это последняя модель в семействе Optiga TPM.
Модуль Optiga TPM SLM 9670
Микросхема предназначена преимущественно для установки в промышленных устройствах, где важна надёжность, устойчивость в широком температурном диапазоне и гарантии длительного срока работы. Это промышленные компьютеры, серверы, контроллеры PLC, промышленные сетевые устройства и оборудование, включая маршрутизаторы, межсетевые шлюзы, беспроводнеые точки доступа и коммутаторы.
TPM 2.0 является частью спецификаций Industry 4.0 и умных заводов (Smart Factories). Спецификации включают в себя такие требования:
- Надёжные цифровые идентификаторы и аутентификация устройств
- Защищённая связь для обеспечения конфиденциальности данных и защиты интеллектуальной собственности
- Защита целостности устройств и программного обеспечения, включая обновление программного обеспечения
Четвёртая промышленная революция (Industry 4.0) предусматривает внедрение киберфизических систем и автономных заводов
Модуль SLM 9670 поступил в продажу во второй половине 2019 года. Он поддерживает все функции, которые необходимы современному промышленному оборудованию:
- Защищённое хранилище критически важных данных и секретных ключей
- Усовершенствованные механизмы защиты от физических и логических атак
- Поддержка криптографических алгоритмов RSA-1028, RSA-2048, ECC NIST P256, ECC BN256, SHA-1, SHA-256
- Диапазон рабочих температур от −40°C до 105°C
- Срок службы 20 лет
- Промышленная квалификация JEDEC JESD47
- Независимая оценка и сертификация безопасности
Функциональная диаграмма Optiga TPM SLM 9670
Соглашение с GlobalSign предусматривает перекрёстную подпись локальным центром сертификации Infineon и глобально признанным центром сертификации GlobalSign, что повышает общую надёжность сертификатов, которые Infineon самостоятельно выдаёт и аппаратно прошивает в каждую микросхему Optiga TPM SLM 9670. Теперь эти сертификаты проверяемы вплоть до корневого ЦС GlobalSign.
Благодаря проверяемому сертификату каждый TPM-модуль Infineon может подключаться к центру регистрации GlobalSign IoT Edge Enroll на платформе IoT Identity Platform в любое время на протяжении всего жизненного цикла.
Среди всего прочего, перекрёстная подпись сертификатов упрощает регистрацию устройств в службах облачного управления устройствами, таких как Microsoft Azure IoT Hub и IoT Hub Device Provisioning Service. Она облегчает сложные проблемы интеграции идентификаторов устройств и обеспечивает проверенный путь для обеспечения безопасности устройств Интернета вещей буквально от чипа до облака.
«Уникальные идентификаторы устройств необходимы для безопасного подключения к облаку, — сказал Юрген Ребел (Juergen Rebel), вице-президент и генеральный менеджер по безопасности встроенных систем Infineon Technologies. — С помощью нашего нового комплекта интеграции Optiga TPM вы можете безопасно подключить свое устройство к Microsoft Azure IoT менее чем за час».
Комментарии
Спасибо, что разбанил в своё время, друже. :)
Жесть. Я этих инфиников на пузо пересаживал сотни. На винтах. Реболить так и не сподобился, как жопой чуял, что беспантовый маргарин. Хотя, тогда пацаны нормально бабла подняли на восстановлении инфы. Я тоже.
Да, а IoT - это даже не Оруэлл, это гораздо аже. Даже мышкой кликать не надо, ИИ сам кликнет.
А вы как хотели?! Самим надо, всё самим.
один нюанс: Globalьный учет и контроль
Спасибо, забираю к себе в копилку нео-феодализма!
Интересно как быстро появится ломаные версии данных чипов? Хотя возможно можно будет перепрошивать оригинальные.
Как только это коснется русского мужика в гараже, так сразу.
А смысл? Станок работать не будет. Дело не в чипе, а в перекрестной проверке. Только родной софт.
Перепиленый чип и крякнутый софт творят чудеса. Вопрос упирается только в цену. Абсолютной защиты не существует все ломается.
будет перехват по шинам или can или и2с после чипа, проблемы не вижу. Не для всех конечно, но крупняк точно ломанут
И где потом возьмете новый? Специалистов из сервиса пускать не будите? :)))) Про всякое веселье вроде PLM/MES даже не вспоминать? :))) Смысл то какой ломать?
Пока специалист из сервиса доступен - ломать конечно же никто не будет.
Читал давненько фантастический рассказ как мужик вёз домой настоящую табуретку сделанную из настоящего дерева в подпольной мастерской. И срок ему грозил немаленький
Лажовый рассказ. В одноразовом мире у героя была постоянная жена, да и табуретка была завёрнута в брезент, про который герою никто ничего не сказал.
Ну новость как новость, не понял а в чём пафос то?
Да кому он нужен этот ваш "тотальный контроль"? Индустрия давным-давно перешла от концепции коробочных продуктов (один раз продал и забыл) к концепции "подписки", то есть прямой продажи конечных услуг -- гораздо выгоднее дать юзеру пылесос или бесплатно или за небольшие деньги, а деньги брать за "моточасы": попылесосил два часа, вот тебе счёт на $12, не пылесосил три месяца -- вот тебе счёт на $79.99. Дак и этой "новости" уже сто лет в обед.
тут другое, делаешь вид что пылесосишь, а сам
дрочишь, а он не для этого тебе даден был.. или слишком много, а было для опытной эксплуатацииили вообще, дали для педиков, а ты раствор мешаешь
прошу прощения, и это тоже
Противоречие тут вижу я.
Ну хорошо, потрачу ещё доп. пять минут.
Тотальный контроль = при включении пылесоса надо связаться с сервером, настучать, получит одобрение, пока пылесос включен держать соединение с сервером, получать одобрение, взвешивать пылесборник, стучать серверу, при открытии крышки стучать серверу, при перемещении дальше чем на 100 метров стучать серверу, при смене BSSID стучать серверу ни и т.д.
Подписка = с телефона по NFC получил подписанный "талон" на десять часов работы, проверил подпись, серийник талона и пылесоса, увеличил счётчик доступных "пыле-часов". Проверка талона, хранение и модификация счётчика внутри защищённого чипа. Проще и главное дешевле, а деньги те же.
Отсюда вывод -- нахер не нужен этот "тотальный контроль", нужно что бы деньги в кассу заносили регулярно и без обмана.
Вы не правильно понимаете выражение тотальный контроль. Никто ваше говно взвешивать не собирается, занимайтесь им сами. Только денежки несите регулярно.
А в двухсотом симатике пароли хранились в EEPROM в незашифрованном виде. Отпаял, прочитал и вуаля.. Хотя применительно к сложным системам на PLC мне всегда было непонятно, что не дать проект в исходниках? Все равно разобраться в нем смогут не только лишь все.