Встроенный
Безопасность

Основываясь на многолетнем опыте нескольких клиентских проектов, мы разработали для вас предложение по безопасности, которое включает в себя наиболее важные для вашего продукта пункты:

  • Ноу-хау и защита имиджа
  • Обеспечение доступности ваших устройств и сервисов
  • Безопасная сеть и связь ваших устройств
  • Безопасный удаленный доступ для обслуживания и обслуживания
  • Поддержание и повышение уровня безопасности
  • Короткое время реакции на критические события

Меры безопасности _ для индивидуальной защиты

Наши программные предложения находятся в свободном доступе и используют решения с открытым исходным кодом. Для подписи загрузчиков иногда необходимо использовать специальные решения от производителя контроллера.

  • Обучение безопасности и индивидуальная консультация по проекту
     
  • Особенности безопасности в наших стандартных BSP и индивидуально адаптированных решениях
     
  • Безопасная инициализация (Подготовка) на нашей производственной площадке в Майнце (Германия)
     
  • Управление жизненным циклом программного обеспечения

Мы предпочитаем целостный подход и работаем в соответствии с рекомендациями передовой практики, а также с серией международных стандартов, установленных в отрасли для «Промышленные сети связи - ИТ-безопасность для сетей и систем» (IEC 62443). 

Чтобы сделать этот процесс максимально рентабельным для вас, мы работаем с набором основных методов, с помощью которых могут быть реализованы самые разнообразные требования безопасности. На практике достижение первого уровня безопасности означает значительное улучшение защиты вашего продукта.

Уровень безопасности
(SL)
Технические средства
нападающего
Ресурсы (время / деньги)
нападающего
навыки
нападающего
мотивация
нападающего
Нарушение конфиденциальности
(согласно IoTSF)
Повреждение целостности
(согласно IoTSF)
Ущерб доступности
(согласно IoTSF)
Значение
1 Keine низкий Keine Ошибка пользователя Veröffentlichung
конфиденциальные данные
ограниченное минимальный • Профилактика
случайные ошибки пользователя
• Потеря данных
минимальные последствия
2 общие знания в области ИТ низкий Allgemeine низкий,
преднамеренно нацеленный
Потеря
конфиденциальные данные
ограниченное ограниченное • Скрипткидди
• Потеря данных ограничена
Влияние на человека / организацию
3 высокоразвитый умеренный специфическая для системы умеренный,
преднамеренно нацеленный
Потеря очень большая
конфиденциальные данные
ограниченное высокий, катастрофический • Профилактика
средние атаки (хакеры)
• Потеря данных
значительное влияние
4 высокоразвитый расширенный специфическая для системы высокая,
преднамеренно нацеленный
Потеря очень большая
конфиденциальные данные
высокий, катастрофический высокий, катастрофический • Профилактика
крупные атаки (хакеры)
(Государства / организации)

Киберпреступность реальна, а требования законодательства различны и зависят от использования вашего конечного продукта.

Вместе с вами мы определяем юридические требования, относящиеся к вашему проекту, и принимаем решение.

При запуске ИТ-продуктов необходимо соблюдать следующие законы:

  • Закон о кибербезопасности - Вся продукция классифицируется по классам в соответствии с уровнем безопасности.
  • Законы об ответственности за качество продукции и современное состояние
  • Федеральный закон о защите данных (БДСГ)
  • Закон об ИТ-безопасности для критически важных инфраструктур (КРИТИС)

Для лучшего знакомства с предметом мы регулярно предлагаем учебные курсы по безопасности. Это дает вам исчерпывающий обзор. Тематические направления наших учебных курсов включают:

  • Правовые аспекты - Стандарты и рекомендации
    - Что предписывает законодатель?
     
  • Основы (Пирамида безопасности) - от модуля к среде выполнения
    - Какие есть защитные меры?
     
  • Безопасность по дизайну - Разработка безопасных продуктов
    - Как безопасность учитывается в процессе разработки?
     
  • Безопасная инициализация - Функции безопасности в производстве
    - Как получить ключ от модуля?
     
  • Управление жизненным циклом программного обеспечения - Устойчивое сопровождение программного обеспечения
    - Как вы обновляете свой продукт?

Кратко расскажите нам о требованиях к вашему проекту и о рисках, от которых вы хотите защитить себя, и мы предложим вам соответствующий семинар или консультацию по проекту.

Цена от 1800 € / день плюс расходы
 

Функции безопасности, уже включенные в наш phyBSP:

  • Безопасная загрузка для Barebox (NXP-i.MX 6)
  • Безопасная загрузка для u-загрузки (NXP-i.MX 7, NXP-i.MX 8)
  • Подписанное ядро ​​Linux как FIT-образ
  • Модуль CAAM для шифрования файловой системы

Следующие дополнительные функции, не являющиеся частью стандартного BSP, могут быть созданы для вашего продукта в форме индивидуального BSP:

  • Закалка ядра
  • Интеграция дополнительных модулей безопасности
  • Надежная среда выполнения (опция)
  • Аутентификация и безопасное соединение (TLS)

Наш сервис предлагает:

  • Активация безопасной загрузки
  • Сертификаты X509 для конкретных устройств для аутентификации для всех облачных провайдеров (например, Microsoft Azure, AWS, Google IOT), серверов обновлений (например, MenderIO, FoundriesIO и т. Д.) Или вашего собственного сервера
  • Установка минимальной системы Linux для упрощенной окончательной настройки и установки программного обеспечения в ваших продуктах
  • Регистрация устройства в облаке (Microsoft Azure, AWS, Google IOT)
  • Активация / деактивация функций контроллера, например, JTAG
  • Шифрование каталогов или разделов на вашем устройстве

Мы - ваш надежный партнер в решении этих задач, так как мы можем взять на себя безопасность ваших личных ключей и других секретов во время производства и импорта программного обеспечения с помощью нашей службы обеспечения в Майнце (Германия).

Обеспечиваем максимальную безопасность:

  • Собственное производство в Майнце
    Инспекция и аудит возможны и желательны
  • Определенный процесс и роли
  • Охраняемая территория с ограниченным доступом
  • Прямой контакт с соответствующими ответственными сотрудниками (укрепление доверия)
  • Ключевой суверенитет остается с вами
    Использование аппаратных защищенных модулей
  • Запрещается инициализация продуктов для использования в военных или секретных службах.
    Минимизация рисков для вас и PHYTEC

Разрешите сделать вам необязательное предложение.

Воспользуйтесь нашим управлением жизненным циклом программного обеспечения для устойчивого и обязательного обслуживания пакетов поддержки для вашего оборудования, ориентированного на клиента. Мы тестируем ваше оборудование с использованием последних исправлений и обновлений на протяжении всего жизненного цикла продукта.

У вас есть вопросы о встроенной безопасности
или вам нужна поддержка вашего проекта? 

 

Наша служба безопасности будет рада вам помочь.

Правильный контроллер _ Мы поддерживаем вас в правильном выборе

Пирамида безопасности _ Все возможные меры защиты от атак можно условно разделить на три области.

Следующие Базовые требования безопасности являются краеугольным камнем безопасной встраиваемой системы Linux:

БЕЗОПАСНАЯ ЗАГРУЗКА

Использование безопасной загрузки гарантирует, что на аппаратном модуле может выполняться только надежное подписанное программное обеспечение. Безопасная загрузка - это ядро ​​цепочки доверия. С помощью этой цепочки доверия можно гарантировать, что только проверенное программное обеспечение будет использоваться вплоть до конечного приложения.

Надежная среда выполнения (опция)

ARM TrustZone - это функция для SoC и процессоров семейства процессоров ARM Cortex-A и Cortex-M. TrustZone имеет два отдельных домена (нормальный мир и безопасный мир). Ключи хранятся в защищенном мире, к которому можно получить доступ через API из обычного мира Linux. TrustZone - это основа для доверенной среды выполнения, вариант которой является реализацией с открытым исходным кодом.

eMMC с блоком памяти, защищенным от воспроизведения

Секретные данные могут храниться в разделе RPMB, который защищен от несанкционированного доступа.

Идентификация устройства

Безопасная идентификация устройства - фундаментальное требование для связи с вашими устройствами в сети. С этой целью мы, среди прочего, работаем над процессом безопасной инициализации крипто-чипа.

TPM и защищенные элементы

Крипто-чипы и элементы безопасности, такие как чип TPM, позволяют хранить криптографические ключи и управлять ими. Закрытые ключи хранятся защищенным от взлома способом, независимо от используемого программного обеспечения.

NXP CAAM

Когда безопасная загрузка активирована, модуль CAAM от NXP предлагает функциональность, аналогичную микросхеме TPM, но без сертифицированной физической защиты.

Характеристики цепочки доверия

  • Загрузчик Trusted ROM проверяет образ программного обеспечения перед его запуском
  • Использование пар ключей RSA-4096 и подписей SHA-256
  • Эти алгоритмы соответствуют требованиям BSI (Федеральное управление по информационной безопасности) и NIST (Национальный институт стандартов и технологий) до 2030 года и далее.
  • Основа для создания доверенной среды выполнения (TEE) и ARM TrustZone®

Сетевая безопасность

Когда устройства обмениваются данными с сервером или друг с другом, соединение должно быть безопасным. TLS - это наиболее распространенный независимый от протокола и приложений метод реализации зашифрованного соединения.

  • Установите безопасное соединение независимо от используемого приложения или протокола
  • TLS (SSL) признан лучшей практикой и отраслевым стандартом для зашифрованной связи.

Общие рекомендации
увеличить
Безопасность приложений

  • Запускайте на вашем устройстве только те сервисы, которые вам действительно нужны
  • Закройте все порты и открывайте только требуемые порты очень выборочно
  • Всегда используйте защищенные паролем логины (включая интерфейсы COM и Telnet)
  • Используйте стандартные протоколы для передачи данных
  • Используйте общие реализации для шифрования (без собственной разработки)

Основная линия Linux

Linux - это наш первый выбор в качестве операционной системы для серийного промышленного использования. Одна из наших четких целей - как можно раньше сделать преимущества основного BSP доступными для наших клиентов:

  • Стабильный код, быстрые исправления ошибок / безопасности, а также поддержка и дальнейшая разработка основных драйверов сообществом
  • Mainline - это гарантия поддержания актуальных версий операционной системы даже по прошествии многих лет.
  • Мы часто предлагаем одновременно и поставщика, и основного BSP. Таким образом, вы можете решить, когда начать работу с Mainline.
  • Für phyBOARD-BSPs: включена последняя версия ядра с текущими исправлениями безопасности.
  • Für phyBOARD-BSPs: включены последние выпуски Yocto-Minor.
  • Für phyBOARD-BSP: ежегодные обновления BSP со всеми основными исправлениями безопасности.
  • Ядро LTS в BSP для продуктов PHYTEC
  • Пользовательские тесты с непрерывной интеграцией

Интерфейсы

Все интерфейсы, доступные в конечном продукте, представляют собой потенциальную угрозу безопасности для встроенных систем.

  • Используйте только те интерфейсы, которые требуются
  • Доступ к интерфейсам в зависимости от пользователя
  • Использование зашифрованного соединения

В дополнение к атакам через интерфейсы или сетевые соединения прямое манипулирование оборудованием также представляет угрозу безопасности.Для защиты вашей электроники от физических атак доступны следующие методы:

Защита от саботажа

  • Защищает конфиденциальные данные, такие как шифрование или закрытые ключи
  • Безвозвратно удаляет данные при взломе устройства
  • Возможны самые разные реализации

Инкапсуляция (литье из смолы)

  • Запрещен физический доступ к отдельным компонентам
  • Предотвращается обнаружение используемых компонентов и деталей.
  • Обратный инжиниринг с использованием электрических измерений невозможен

Наши специалисты по внедрению всегда готовы помочь вам!

 

Запишитесь на личную консультацию быстро, легко и бесплатно.
30 минут исключительно для вас и вашего проекта!

Образование + обучение _ Используйте наше ноу-хау для разработки вашего продукта

Благодаря передаче ноу-хау от наших экспертов вашим разработчикам вы быстрее достигнете своей цели!

 

Участники наших учебных курсов получают глубокие знания в области разработки профессионального оборудования и программного обеспечения.