Mehr Security beim Einsatz von Mid-Range-FPGAs

Autor / Redakteur: Ted Marena * / Sebastian Gerstl

Für beste Datensicherheit in Embedded Systemen muss Security software- wie auch hardwareseitig implementiert sein. Ein neuer Ansatz für Mittelklasse-FPGAs verspricht hohe Effizienz bei geringem Aufwand.

Firmen zum Thema

Da die Herausforderungen, Designs sicher zu machen, immer wichtiger werden, müssen sich Entwickler für Lieferanten entscheiden, die ihre Systeme sicher machen können. Mid-Range-Density FPGAs stehen jetzt zur Verfügung, um die neuen Herausforderungen zu meistern, denen Embedded-Entwickler gegenüber stehen.
Da die Herausforderungen, Designs sicher zu machen, immer wichtiger werden, müssen sich Entwickler für Lieferanten entscheiden, die ihre Systeme sicher machen können. Mid-Range-Density FPGAs stehen jetzt zur Verfügung, um die neuen Herausforderungen zu meistern, denen Embedded-Entwickler gegenüber stehen.
(Bild: Clipdealer)

Datensicherheit ist seit mehreren Jahren ein heißes Thema in Embedded Designs. Allerdings bedeutet Security für jeden etwas anderes. Je nach Anwender bzw. Entwickler können sich Security-Anforderungen deutlich voneinander unterscheiden. Trotz des Security-Bewusstseins und der Diskussionen darüber, dass Embedded-Systeme ein höheres Maß an Sicherheit benötigen, müssen heute nur wenige Systeme verpflichtende Sicherheitsanforderungen erfüllen.

Leider spielt das Thema Datensicherheit bei den meisten Design-Spezifikationen eine untergeordnete Rolle. Viele Entwickler und Schaltungsarchitekten gehen davon aus, dass sich ein System mit Software sicher machen lässt und sie sich nur mit dem Schutz der IP befassen müssen, die in ein FPGA implementiert wird. Doch nichts könnte weiter von der Wahrheit entfernt sein.

Entwickler und Schaltungsarchitekten müssen Security-Merkmale nicht nur in Software, sondern auch in Hardware implementieren. Werden Sie anders sein und sicherstellen, dass Ihr Produkt vor Cloning und Overbuilding geschützt ist? Möchten Sie sich von anderen abheben und Bausteine wählen, die Ihre IP schützen, damit Ihr Unternehmen sich vom Wettbewerb unterscheiden kann? Wenn Sie schon dabei sind, wie wäre es, die Datenkommunikation Ihres Systems zu schützen und Missbrauch zu verhindern sowie den guten Ruf Ihrer Marke zu erhalten? Falls Sie nicht genau verstehen, wie man diese Merkmale implementiert, sind Sie nicht alleine. Dieser Artikel erläutert die wichtigsten Funktionen, die erforderlich sind, um Ihr Design erheblich sicherer zu machen. Erfreulicherweise haben Sie die Möglichkeit – es gibt neue Mid-Range-Density FPGAs, die moderne Security-Anforderungen adressieren.

Kategorisierung der Security-Anforderungen

Der erste Schritt ist, die Security-Anforderungen eines Designs in zwei Gruppen einzuteilen: Design Security und Datensicherheit. Design Security beinhaltet Maßnahmen, die verhindern, dass IP dem FPGA entnommen wird. Dies bedeutet die Implementierung von Maßnahmen zum Verhindern von Angriffen mit der differentiellen Leistungsanalyse (DPA). Datensicherheit umfasst den Schutz von Cloud- und/oder M2M-Kommunikation (Machine to Machine) und die sichere Speicherung für PUF-basierte Schlüsselerzeugung sowie eine DPA-resistente Verschlüsselungs-Engine.

Lassen Sie uns jede Gruppe im Detail betrachten und Applikationsbeispiele heranziehen, die zeigen, wie neue Technologie — speziell neue Mid-Range-FPGA-Architekturen — diese Anforderungen adressiert.

Design Security – Sicherung des Bitstroms

Die meisten Ingenieure wissen, dass es wichtig ist, die Entnahme des FPGA-Bitstromes zu verhindern. Die übliche Methode ist, den Bitstrom mit einem Schlüsselwort zu verschlüsseln. Obwohl dies einen gewissen Schutz vor Angreifern bietet, reicht es für die heutigen Anforderungen nicht aus. Warum? Wegen der als DPA oder differentielle Leistungsanalyse bezeichneten Technologie.

Wenn ein Baustein eine Operation durchführt, zum Beispiel Lesen eines Schlüssels oder Entschlüsseln einer Schlüsseldatei, sendet er magnetische Signale aus, die mit einem elektromagnetischen Messfühler erfasst werden können. Vor kurzem wurde in einigen Metern Entfernung zu einem Design ein Test durchgeführt, der gezeigt hat, dass sich mit DPA-Techniken erkennen lässt, wann ein Schlüssel gelesen oder auf ihn zugegriffen wird. Es dauert nur wenige Minuten, um mit einem Messfühler und einem PC oder Logikanalysator das Muster in den Signalen herauszufinden und den Schlüssel zu ermitteln. Sobald der Schlüssel bekannt ist, lässt sich der Bitstrom des FPGA entschlüsseln. Lassen Sie mich wiederholen: Bitstrom lässt sich mit DPA, einem preiswerten Messfühler und einem PC ent- und verschlüsseln.

Doch es gibt eine Möglichkeit, die Bedrohung durch DPA zu eliminieren. Wonach Entwickler suchen müssen, sind FPGAs mit internen DPA-Gegenmaßnahmen. Bislang gab es nur eine begrenzte Zahl an FPGAs mit dieser internen Fähigkeit und viele dieser Bausteine sind am oberen Leistungsende angesiedelt und teuer. Ab sofort gibt es jedoch eine kostenoptimierte Mid-Range-Density FPGA-Familie mit internen DPA-Gegenmaßnahmen: Die kürzlich vorgestellte PolarFire FPGA-Familie von Microsemi, die sich für eine Vielzahl von Anwendungen eignet. Diese Produktfamilie verfügt über interne Eigenschaften, die eine Entnahme von Informationen durch DPA verhindern. Durch den Einsatz eines dieser Bauteile in Ihrem Design lassen sich DPA-Angriffe und die Entnahme von Bitstrom verhindern.

(ID:45231429)