根密钥是保护每个芯片的基础,也是整个系统和相关服务的信任链的起点。设备的密钥系统建立在根密钥之上,一旦根密钥被安装,密钥系统就可以为芯片上的操作系统和软件程序提供认证、加密和密钥管理等功能。因此,应从设计之初就充分考虑根密钥的生成、存储和使用的方式。
根密钥是保护每个芯片的基础,也是整个系统和相关服务的信任链的起点。设备的密钥系统建立在根密钥之上,一旦根密钥被安装,密钥系统就可以为芯片上的操作系统和软件程序提供认证、加密和密钥管理等功能。因此,应从设计之初就充分考虑根密钥的生成、存储和使用的方式。
在电子设备生产的传统供应链环节中,根密钥(root key)需要在早期完成外部注入,一般由OEM制造商提供,交由芯片制造商完成。由于根密钥需要在供应链中传输和共享,其安全依赖于可信第三方,大大增加了根密钥泄露、复制或篡改的风险,提升了根密钥管理的复杂度和成本。
传统电子设备供应链从芯片到最终用户流程中的密钥供应
通常,根密钥的灌注会使用一次性可编程(OTP)存储器,如熔断器和反熔断器,或者存储在EEPROM、Flash等非易失性存储器(NVM)中。这些密钥注入和存储方案存在各种不足:
OTP需要芯片制造商使用特殊设备、特殊工艺对芯片进行编程,来存储根密钥,导致了额外的密钥编程、测试和处理成本。
一旦根密钥存储在OTP中,就无法更换。如果根密钥泄露,将意味着芯片的安全系统被破解,从而使芯片无法安全使用。
由于根密钥与设备厂家绑定,芯片无法重复使用,限制了芯片的灵活性和使用效率。
存储在EEPROM或Flash中的根密钥可以被设备制造商进行编程、删除和重新编辑。然而, NVM通常是为存储应用程序代码而设计的,而非用于安全存储密钥等敏感信息的。这意味着存储根密钥的NVM可以被设备上的处理器自由访问,存在被窃取的风险。
由于NVM通常与设备的主处理器共享物理空间和系统资源,攻击者可以通过各种手段窃取根密钥,例如侧信道攻击、物理攻击或恶意软件攻击。一旦根密钥被盗取,攻击者将获取对系统和相关服务的控制权。
SRAM PUF技术可从某个SRAM块中提取芯片指纹,用来生成根密钥、私钥、公钥、ID和安全随机数等,用于数字签名验签、身份认证、加解密等安全功能。 与传统的OTP或NVM 密钥存储方案相比,PUF内生根密钥在安全性方面得到大大增强。
帕孚信息利用SRAM PUF技术,为安全芯片建立内生的根密钥。PUF根密钥完全基于芯片内在的物理特征建立,不需要在生产过程中进行存储或编程,意味着不需要暴露根密钥给任何第三方,减少了根密钥泄漏或被篡改的风险。同时PUF根密钥以及其派生的UID、对称密钥、私钥等不需要存储,在使用过程中可有效抵抗黑客攻击,确保了根密钥安全。
相较于传统的根密钥生成和存储方法,基于SRAM PUF的根密钥内生方案,在实际应用中体现出了一系列更为出色的优势和价值
中国移动芯昇科技推出的新一代超级SIM芯片具备大容量、高安全性和高性能的特点,实现了一卡多能的功能,成为承载多种便民应用APP的硬件载体,如数字人民币、数字身份、小区门禁卡、公交卡、病历卡、会员卡、校园卡等。然而,由于超级SIM卡承载了多种重要应用,使得用户个人隐私数据、金融账户和身份等敏感信息更加集中,因而也面临着更多的安全威胁。为应对这些威胁,芯昇科技超级SIM芯片通过集成帕孚信息的HardPUF硬件IP核,实现了安全能力的升级。
HardPUF通过提取“芯片指纹”为超级SIM芯片建立内生的根密钥。这些根密钥具有天然独特、不可复制、不可预测、不可篡改以及不存储的特点。基于根密钥,可以派生出多组公私钥对,通过构建安全的多密钥托管能力,满足超级SIM芯片和卡内APP在不同场景下的身份认证、安全存储、通信交互等安全需求。
通过PUF内生的根密钥,不仅能有效防止SIM卡被仿冒、复制或篡改,还能简化密钥管理流程,减少密钥灌注环节,降低成本和密钥泄露风险。这为超级SIM卡提供了更可靠的解决方案,降低成本,增强安全性和可信度。