Mặc dù số lượng các cuộc tấn công mạng trên các thiết bị IoT ngày càng tăng, bảo mật phần mềm máy chủ thường được đặt ở vị trí thứ cấp.Khi kẻ tấn công xâm nhập vào hệ thống và nhắm mục tiêu quá trình khởi động và cấu hình phần cứng cơ bản, sự lựa chọn kiến trúc bộ nhớ đã trở thành một quyết định quan trọng trong việc thiết lập một chuỗi tin cậy có thể xác minh.
Do đó, đảm bảo bảo mật firmware đòi hỏi mỗi thành phần phải trải qua xác minh mã hóa trước khi thực hiện.chịu trách nhiệm tải và xác minh firmware chínhTuy nhiên, công nghệ bộ nhớ được sử dụng trong mỗi bước có thể dẫn đến sự dễ bị tổn thương của firmware đối với các sửa đổi trái phép.
Bộ nhớ flash bên trong và bên ngoài
Vị trí vật lý của bộ nhớ không dễ bay hơi được sử dụng để lưu trữ firmware là một trong những yếu tố quan trọng nhất trong các mô hình đe dọa thiết bị.Các kỹ sư phần mềm chắc chắn cần phải lựa chọn giữa flash nhúng trên chip (eFlash) và các mô-đun flash bên ngoài được kết nối thông qua các giao diện hàng loạt như SPI hoặc QSPI.
Bộ nhớ flash nhúng thường được tích hợp trực tiếp vào vi điều khiển hoặc chip SoC.Kiến trúc này cung cấp mức độ an ninh vật lý cao nhất vì không có xe buýt bên ngoài có sẵn cho kẻ tấn công thao túngNgay cả việc truy cập bộ nhớ flash nội bộ cũng được kiểm soát bởi các registry chuyên dụng và các bit khóa.
Ngoài ra, bộ nhớ flash nhúng hỗ trợ bảo vệ đọc vĩnh viễn.Các nhà phát triển có thể vô hiệu hóa giao diện gỡ lỗi JTAG hoặc SWD để ngăn chặn tin tặc sửa đổi hình ảnh phần mềm máy.Tuy nhiên, khi SoC di chuyển sang các nút nhỏ hơn, công nghệ này phải đối mặt với những thách thức về khả năng mở rộng đáng kể.
Ngược lại, bộ nhớ flash bên ngoài được đặt bên ngoài bộ xử lý chính và giao tiếp thông qua một giao diện hàng loạt tốc độ cao.nhưng cũng mở rộng bề mặt tấn công của hệ thốngBất kỳ dữ liệu nào được truyền giữa bộ vi xử lý và bộ nhớ flash bên ngoài đều dễ bị đe dọa như nghe trộm, tấn công người ở giữa và giả mạo vật lý.
Để giải quyết những rủi ro này, các kỹ sư phần mềm chắc chắn phải thực hiện các biện pháp bảo vệ phần cứng và phần mềm âm thanh.Khi chân được đặt ở một điện áp cụ thể, logic nội bộ của chip sẽ ngăn chặn bất kỳ lệnh xóa hoặc ghi được thực hiện.
Hình 1: Winbond Electronics W77Q32JWSSIR TR bộ nhớ flash NOR an toàn có khả năng mã hóa kênh truyền thông phức tạp. (nguồn hình: Winbond Electronics)
Tuy nhiên, nếu dữ liệu có thể được đọc, chỉ cần khóa bộ nhớ flash là không đủ.Lỗ hổng này đã thúc đẩy sự phát triển của các thiết bị flash an toàn chuyên dụng, bao gồm cơ chế root of trust dựa trên phần cứng, kênh truyền thông được mã hóa và bộ đếm đơn điệu để ngăn chặn các cuộc tấn công rollback.
Tuy nhiên, nếu chọn kiến trúc lưu trữ sai, thiết bị sẽ để lại các lỗi cơ bản không thể được sửa chữa hoàn toàn bằng các bản vá phần mềm.các thiết kế lưu trữ phần mềm vững trên EEPROM bên ngoài mà không có mã hóa hoặc xác minh luôn dễ bị tấn công bởi phần cứngNgược lại, việc chọn một bộ nhớ với những hạn chế quá mức có thể ảnh hưởng đến chức năng của nó.
Do đó, các kỹ sư phải hiểu các thực tiễn tốt nhất và các kỹ thuật thiết kế để tối đa hóa bảo mật phần mềm vững thông qua kiến trúc bộ nhớ.
Thực hành tốt nhất cho thiết kế lưu trữ firmware an toàn
Khi thiết kế một con đường lưu trữ phần mềm chắc chắn từ khởi động đến thời gian chạy, các kỹ sư phần mềm chắc phải tuân theo các nguyên tắc sau:
1. Nguồn tin cậy dựa trên phần cứng
Việc thực thi phải luôn bắt đầu từ các khu vực bộ nhớ không thể thay đổi. Ví dụ, ROM khởi động hoặc flash sector an toàn vĩnh viễn nên chứa mã để xác minh tất cả các phần mềm khác.Điều này sẽ đảm bảo rằng kẻ tấn công không thể bỏ qua xác minh bằng cách giả mạo mật khẩu ban đầu.
2. Sử dụng chữ ký được mã hóa
Thiết lập bộ tải khởi động an toàn để chỉ chạy các hình ảnh phần mềm chắc chắn được ký với các khóa riêng đáng tin cậy.Nếu yêu cầu bảo mật, phần mềm được lưu trữ có thể được mã hóa.
3. Sử dụng các tính năng bảo mật phần cứng
Nếu kiến trúc hệ thống sử dụng lưu trữ bên ngoài, các kỹ sư nên chọn các thiết bị hỗ trợ bảo mật phần cứng, chẳng hạn như bảo vệ mật khẩu tích hợp hoặc mã hóa đơn giản.Mặc dù những thiết bị này có thể không mạnh mẽ như các thành phần bảo mật hoàn chỉnh, họ thêm một lớp bảo vệ khác.
Hình 2: Macronix hỗ trợ bộ nhớ flash NOR 32 Mb MX25L3233FM2I-08Q với giao diện ngoại vi. (nguồn hình: Macronix)
4. Loại bỏ phần mềm và dữ liệu
Trong MCU, đặt các hướng dẫn quan trọng trong một vùng bộ nhớ an toàn.có thể đánh dấu một số ngân hàng bộ nhớ flash như chỉ chạy hoặc chỉ đọc.
5. Kế hoạch cập nhật phần mềm bảo mật
Đảm bảo rằng chính quá trình cập nhật được xác nhận (ví dụ yêu cầu gói cập nhật được ký).nên áp dụng các biện pháp bảo mật tương tự như bộ nhớ phần mềm chính.