Malgré le nombre croissant d'attaques réseau sur les appareils IoT, la sécurité du firmware est souvent placée en second plan.Comme les attaquants pénètrent dans la pile de système et ciblent le processus de démarrage et la configuration matérielle sous-jacente, le choix de l'architecture de mémoire est devenu une décision clé pour établir une chaîne de confiance vérifiable.
Par conséquent, pour assurer la sécurité du micrologiciel, chaque composant doit subir une vérification de chiffrement avant l'exécution.qui est responsable du chargement et de la vérification du firmware principalCependant, la technologie de mémoire utilisée à chaque étape peut entraîner une vulnérabilité du firmware aux modifications non autorisées.
Mémoire flash interne et externe
L'emplacement physique de la mémoire non volatile utilisée pour stocker le micrologiciel est l'un des facteurs les plus critiques dans les modèles de menace des appareils.Les ingénieurs en firmware doivent faire un choix entre le flash intégré sur la puce (eFlash) et les modules flash externes connectés via des interfaces série telles que SPI ou QSPI.
La mémoire flash intégrée est généralement directement intégrée sur des microcontrôleurs ou des puces SoC.Cette architecture fournit le plus haut niveau de sécurité physique car il n'y a pas de bus externes disponibles pour les attaquants à manipulerMême l'accès à la mémoire flash interne est contrôlé par des registres dédiés et des blocs.
En outre, la mémoire flash intégrée prend en charge une protection permanente de lecture.Les développeurs peuvent désactiver les interfaces de débogage JTAG ou SWD pour empêcher les pirates de modifier les images du micrologiciel.Cependant, à mesure que les SoC évoluent vers des nœuds plus petits, cette technologie est confrontée à des défis importants en matière d'évolutivité.
En revanche, la mémoire flash externe est placée à l'extérieur du processeur principal et communique via une interface série haute vitesse.mais aussi élargit la surface d'attaque du systèmeToutes les données transmises entre le processeur et la mémoire flash externe sont intrinsèquement vulnérables à des menaces telles que l'écoute, les attaques de l'homme au milieu, et la manipulation physique.
Pour faire face à ces risques, les ingénieurs en firmware doivent mettre en œuvre des mesures de protection logicielle et matérielle appropriées.Lorsque la broche est placée à une tension spécifique, la logique interne de la puce empêchera toute commande d'effacement ou d'écriture d'être exécutée.
Figure 1: La mémoire flash sécurisée série NOR W77Q32JWSSIR TR de Winbond Electronics possède des capacités complexes de cryptage des canaux de communication. (Source d'image: Winbond Electronics)
Cependant, si les données peuvent être lues, le simple verrouillage de la mémoire flash ne suffit pas.Cette vulnérabilité a conduit au développement de dispositifs flash sécurisés spécialisés., y compris des mécanismes de root de confiance basés sur le matériel, des canaux de communication cryptés et des compteurs monotones pour empêcher les attaques de retour.
Cependant, si l'on choisit une architecture de stockage incorrecte, l'appareil laissera des défauts fondamentaux qui ne peuvent pas être complètement corrigés par des correctifs logiciels.les conceptions qui stockent le micrologiciel sur une EEPROM externe sans chiffrement ni vérification sont toujours vulnérables aux attaquants matérielsAu contraire, le choix d'une mémoire avec des restrictions excessives peut affecter sa fonctionnalité.
Par conséquent, les ingénieurs doivent comprendre les meilleures pratiques et les techniques de conception pour maximiser la sécurité du micrologiciel grâce à l'architecture de mémoire.
Meilleures pratiques pour la conception sécurisée du stockage de logiciels fermés
Lors de la conception d'un chemin de stockage sécurisé du firmware du démarrage à l'exécution, les ingénieurs en firmware doivent suivre les principes suivants:
1. La confiance basée sur le matériel
L'exécution doit toujours commencer à partir de zones de mémoire immuables. Par exemple, la ROM de démarrage ou le secteur flash sécurisé en permanence doit contenir du code pour vérifier tous les autres micrologiciels.Cela garantira que les attaquants ne peuvent pas contourner la vérification en altérant le mot de passe initial.
2Utilisez des signatures cryptées.
Configurez le chargeur de démarrage sécurisé pour qu'il n'exécute que des images de firmware signées avec des clés privées de confiance.Si la confidentialité est requise, le firmware stocké peut être crypté.
3. Utilisez les fonctions de sécurité matérielles
Si l'architecture du système utilise un stockage externe, les ingénieurs doivent choisir des dispositifs qui prennent en charge la sécurité matérielle, tels que la protection par mot de passe intégrée ou le cryptage simple.Bien que ces dispositifs ne soient pas aussi robustes que les composants de sécurité complets, ils ajoutent une autre couche de protection.
Figure 2: Macronix prend en charge la mémoire flash NOR série MX25L3233FM2I-08Q 32 Mb avec interface périphérique série. (Source d'image: Macronix)
4Isolez le firmware et les données.
Organisez la zone de mémoire et séparez le code le plus sensible dans MCU, placez des instructions de routine critiques dans une zone de mémoire sécurisée.peut marquer certaines banques de mémoire flash comme exécutables ou en lecture seule.
5. Plan de mise à jour du micrologiciel de sécurité
S'assurer que le processus de mise à jour lui-même est validé (par exemple, exiger la signature du package de mise à jour).les mêmes mesures de sécurité que le stockage principal du micrologiciel doivent être adoptées.