根密钥内生


根密钥是保护每个芯片的基础,也是整个系统和相关服务的信任链的起点。设备的密钥系统建立在根密钥之上,一旦根密钥被安装,密钥系统就可以为芯片上的操作系统和软件程序提供认证、加密和密钥管理等功能。因此,应从设计之初就充分考虑根密钥的生成、存储和使用的方式。

行业问题

在电子设备生产的传统供应链环节中,根密钥(root key)需要在早期完成外部注入,一般由OEM制造商提供,交由芯片制造商完成。由于根密钥需要在供应链中传输和共享,其安全依赖于可信第三方,大大增加了根密钥泄露、复制或篡改的风险,提升了根密钥管理的复杂度和成本。

传统电子设备供应链中芯片到最终用户流程中的密钥供应

传统电子设备供应链从芯片到最终用户流程中的密钥供应


通常,根密钥的灌注会使用一次性可编程(OTP)存储器,如熔断器和反熔断器,或者存储在EEPROM、Flash等非易失性存储器(NVM)中。这些密钥注入和存储方案存在各种不足:

OTP方案的缺点

  • OTP需要芯片制造商使用特殊设备、特殊工艺对芯片进行编程,来存储根密钥,导致了额外的密钥编程、测试和处理成本。

  • 一旦根密钥存储在OTP中,就无法更换。如果根密钥泄露,将意味着芯片的安全系统被破解,从而使芯片无法安全使用。

  • 由于根密钥与设备厂家绑定,芯片无法重复使用,限制了芯片的灵活性和使用效率。

NVM方案的缺点

  • 存储在EEPROM或Flash中的根密钥可以被设备制造商进行编程、删除和重新编辑。然而, NVM通常是为存储应用程序代码而设计的,而非用于安全存储密钥等敏感信息的。这意味着存储根密钥的NVM可以被设备上的处理器自由访问,存在被窃取的风险。

  • 由于NVM通常与设备的主处理器共享物理空间和系统资源,攻击者可以通过各种手段窃取根密钥,例如侧信道攻击、物理攻击或恶意软件攻击。一旦根密钥被盗取,攻击者将获取对系统和相关服务的控制权。

解决方案

SRAM PUF技术可从某个SRAM块中提取芯片指纹,用来生成根密钥、私钥、公钥、ID和安全随机数等,用于数字签名验签、身份认证、加解密等安全功能。 与传统的OTP或NVM 密钥存储方案相比,PUF内生根密钥在安全性方面得到大大增强。

SRAM PUF在密码管理中的方案优势

帕孚信息利用SRAM PUF技术,为安全芯片建立内生的根密钥。PUF根密钥完全基于芯片内在的物理特征建立,不需要在生产过程中进行存储或编程,意味着不需要暴露根密钥给任何第三方,减少了根密钥泄漏或被篡改的风险。同时PUF根密钥以及其派生的UID、对称密钥、私钥等不需要存储,在使用过程中可有效抵抗黑客攻击,确保了根密钥安全。

PUF技术如何确保根密钥安全

价值体现

相较于传统的根密钥生成和存储方法,基于SRAM PUF的根密钥内生方案,在实际应用中体现出了一系列更为出色的优势和价值

提升安全性
提升安全性
根密钥内生方案消除了密钥灌注环节,避免将敏感内容传输共享给第三方,有效降低了根密钥泄露的风险。此外,采用PUF根密钥不存储,用后即删,仅在芯片内部安全边界内很短时间窗口内出现。
降低成本
降低成本
采用PUF根密钥内生方案,无需为根密钥注入而引入特殊设备和增加工艺流程,有效降低了芯片制造商的成本开销。
任意阶段产生
任意阶段产生
PUF根密钥的生成不再局限于芯片生产阶段,而可在芯片生产、设备生产和设备运行等各个阶段进行,并且在生成过程始终保持高度的安全性。
提升灵活性
提升灵活性
可通过PUF技术为设备生成多个根密钥,并灵活地对根密钥进行撤销、删除和管理。相比之下,传统的根密钥一旦生成后就无法撤销或替换,也无法根据需求产生新的根密钥。
方便集成
方便集成
该方案仅需要占用少量SRAM资源,由于SRAM广泛包含在各类芯片中,该方案可轻松扩展应用到从低端到高端不同级别的物联网设备。并且可在任何阶段进行根密钥的生成,从而增强了实施的灵活性和可行性。
确保独特性
确保独特性
基于高熵片上PUF源生成的根密钥具有高随机性和独特性。由于每个芯片的PUF源都是独特的,即使采用相同的密钥生成算法,也无法复制或猜测出其他芯片的根密钥。这种独特性和不可复制特性使得PUF根密钥在物理安全性和密钥管理方面具有很大的优势。
应用案例

芯昇科技

中国移动芯昇科技推出的新一代超级SIM芯片具备大容量、高安全性和高性能的特点,实现了一卡多能的功能,成为承载多种便民应用APP的硬件载体,如数字人民币、数字身份、小区门禁卡、公交卡、病历卡、会员卡、校园卡等。然而,由于超级SIM卡承载了多种重要应用,使得用户个人隐私数据、金融账户和身份等敏感信息更加集中,因而也面临着更多的安全威胁。为应对这些威胁,芯昇科技超级SIM芯片通过集成帕孚信息的HardPUF硬件IP核,实现了安全能力的升级。

HardPUF通过提取“芯片指纹”为超级SIM芯片建立内生的根密钥。这些根密钥具有天然独特、不可复制、不可预测、不可篡改以及不存储的特点。基于根密钥,可以派生出多组公私钥对,通过构建安全的多密钥托管能力,满足超级SIM芯片和卡内APP在不同场景下的身份认证、安全存储、通信交互等安全需求。

通过PUF内生的根密钥,不仅能有效防止SIM卡被仿冒、复制或篡改,还能简化密钥管理流程,减少密钥灌注环节,降低成本和密钥泄露风险。这为超级SIM卡提供了更可靠的解决方案,降低成本,增强安全性和可信度。