Автор |
Съобщение |
DanielDimov
Ранг: Почетен член
Регистриран на: Нед Фев 16, 2014 2:36 pm Мнения: 953
|
Security MCU
Здравейте всички отново, Много отдавна не съм писал тук - занимавах се интензивно с моя софтуер за оценяване на летателни състезания. Дали някой може да ми препоръча готов продукт, който да може да прави следното: - Комуникира с хоста по I2C или SPI
- Генерира и съхранява сигурно асиметрични ключове (поне 1024 и 2048-битови)
- Може да подпише някакъв хеш с кой-да-е от предварително генерираните ключове (RSA подпис)
- Има механизъм за извличане на публичния ключ
- Няма възможност за извличане на частния ключ
Неща които са nice to have, но не задължителни: - Малък корпус, малко пинове
- Работа без външен кварц
- Малка консумация
|
Пон Юни 26, 2023 9:02 am |
|
|
MYXATA
Ранг: Форумен бог
Регистриран на: Пон Юни 05, 2006 12:48 pm Мнения: 4413 Местоположение: където небето среща земята, ракията е Jameson, а бирата Guinness
|
Re: Security MCU
https://www.analog.com/en/products/maxq1010.htmlИма и много други... и само аутентикатори и прочие...
_________________ ... ако трети ден не ти се работи... това означава, че е сряда !
|
Пон Юни 26, 2023 9:05 am |
|
|
DanielDimov
Ранг: Почетен член
Регистриран на: Нед Фев 16, 2014 2:36 pm Мнения: 953
|
Re: Security MCU
Това ми изглежда като микроконтролер за общо ползване + някакви секюрити добавки/ускорители. На мен по-скоро ми трябва готов продукт, който не трябва да го програмираш, а направо го слагаш и той работи. За да го ползваш - трябва само да му знаеш командите/протокола.
|
Пон Юни 26, 2023 9:17 am |
|
|
t_i_t_o
Ранг: Почетен член
Регистриран на: Вто Окт 25, 2005 9:54 am Мнения: 867
|
Re: Security MCU
Трябва ти trusted platform module - TPM. Погледни на micro chips security продуктите.
|
Пон Юни 26, 2023 9:35 am |
|
|
DanielDimov
Ранг: Почетен член
Регистриран на: Нед Фев 16, 2014 2:36 pm Мнения: 953
|
Re: Security MCU
Бях чел за TPM отдавна и до колкото си спомням те са с много специфични функции за secure boot. Имат зони в които можеш да запишеш блок от байтове еднократно, могат да направят проверка дали по време на буута им подаваш същите байтове и само ако това е така ти връщат предварително записан ключ и др. Не съм сигурен че могат вътрешно да генерират RSA ключове и да криптират/подписват.
|
Пон Юни 26, 2023 9:43 am |
|
|
palavrov
Ранг: Форумен бог
Регистриран на: Вто Окт 11, 2011 10:53 pm Мнения: 4197 Местоположение: Brussels / Пловдив
|
Re: Security MCU
Да направя пак реклама на колегата - виж http://tpm.dev - Митака до преди няколко години се подвизаваше и тук. Пиши им и ще ти дадат съвет какво може да се направи.
_________________ Мразя да мразя ...
|
Пон Юни 26, 2023 10:10 am |
|
|
DanielDimov
Ранг: Почетен член
Регистриран на: Нед Фев 16, 2014 2:36 pm Мнения: 953
|
Re: Security MCU
Да - току-що проверих и наистина се оказва, че могат да генерират ключове и могат да криптират по RSA Мерси!
|
Пон Юни 26, 2023 10:12 am |
|
|
miro_atc
Ранг: Форумен бог
Регистриран на: Нед Фев 26, 2006 5:52 pm Мнения: 10376 Местоположение: Добрич
|
Re: Security MCU
TPM се ползва за boot но това е просто едно приложение. Всеки може да си го ползва както намери за добре. Общо взето има всички необходими функции и хардуер за секюрити вътре. Като се почне от true random и се стигне до подписване. Всичко е на отделни командички, така че каквато функция ти трябва, такава и ползваш. Има защитена област да си съхраняваш ключове, има и незащитена. Когато запишеш ключ, няма вариант да го прочетеш повече в явен вид. Може само да се експортне с key exchange протокол. Незащитената част може да си я четеш почти свободно. Казвам почти защото има генерална парола за достъп, ама тя обикновено е против хорски срам само.
Сега практически ако се избира чеп препоръчвам да е TPM 2.0, повечето са такива, но казвам за всеки случай някой да не се изкушава за някой цент... Софтуерно ако се подкарва директно от контролер трудно се намират библиотечки. Повечето код е за РС или през някакво друго API, т.е. не е директен. Той пак върши някаква работа, но понякога има липси или може да те подведе. Особено ако като мен бързаш и искаш да го подкараш с copy&paste без да го разбираш.
|
Пон Юни 26, 2023 10:16 am |
|
|
DanielDimov
Ранг: Почетен член
Регистриран на: Нед Фев 16, 2014 2:36 pm Мнения: 953
|
Re: Security MCU
Това е супер!
Има ли възможност той да генерира вътрешно двата ключа, да си ги запази в защитената зона и да се експортне само публичния ключ? Частния ключ да не се подава от хоста и изобщо никога да не напуска TPM-а ?
|
Пон Юни 26, 2023 10:28 am |
|
|
TheWizard
Ранг: Форумен бог
Регистриран на: Сря Апр 27, 2005 11:48 am Мнения: 4722
|
Re: Security MCU
частния ключ си го държиш в сейфа какво ще правиш с тоя хардуер: ще подписваш или ще проверяваш
_________________ main[-1u]={1};
|
Пон Юни 26, 2023 11:51 am |
|
|
miro_atc
Ранг: Форумен бог
Регистриран на: Нед Фев 26, 2006 5:52 pm Мнения: 10376 Местоположение: Добрич
|
Re: Security MCU
Да можеш да генерираш ключове за определени алгоритми. RSA доколкото помня до 2048 бита, абе отваряш документацията и четеш какво и колко... Значи тя организацията им беше с някакви обекти, хендъли към обекти със собственици и т.н. Вече не помня подробности но помня, че навремето не намерих вариант при който да мога да си изчета собствения частен ключ. Може и аз да съм пропуснал, но за да може да го използваш като ключ трябва да е обект от определен тип, трябва да е със съответния хендъл и т.н. Като навържеш всичко както трябва получаваш обект, който няма как да четеш. Може да го ползваш, но единствения вариант да го изкараш навън е през key exchange, ама за целта пак трябва да имаш хендъл на собственик. Та с две думи четене на частен ключ в явен вид е технически невъзможно. Само експорт и то след ауторизация, демек чужд човек посмъртно не би трябвало да може. Само нашите (правилните) хора могат
|
Пон Юни 26, 2023 12:06 pm |
|
|
DanielDimov
Ранг: Почетен член
Регистриран на: Нед Фев 16, 2014 2:36 pm Мнения: 953
|
Re: Security MCU
Няма да го ползвам самия аз. Искам като минимум да мога да предложа поне две готови решения за унифициран метод за подписване на траклогове.
Ситуацията е следната: уредите с които ние летим трябва да запишат траклог - файл съдържащ дълга поредица от "записи". Всеки запис съдържа UTC време, координати, височина и измерено налягане. В края на този файл трябва да има подпис.
Към момента няма дефиниран общ метод за създаването на въпросния подпис - всяка фирма произвеждаща уреди си решава сама как да прави подписа и как после да го проверява. Длъжни са да предоставят EXE файл, който да може да направи проверка на файл дали подписа в него е валиден.
Аз искам да предложа унифициран метод за хеширане на данните във файла, унифициран метод за подписването на хеша и после унифициран метод за проверка на валидността. Вместо да има ~ 30 програми - да има само една и тя да е open-source. Затова трябва тези производители да могат да си добавят в у-вото въпросното готово решение и то да гарантира че те самите нямат достъп до частните ключове и те самите не могат да фалшифицират подписа в кой-да-е файл.
До сега нямаше гаранция за това защото само фирмата си знае как подписва (дали изобщо подписва или прави някакво хеширане което може да бъде изчислено) и как проверява. Аз лично нямам доверие на тези фирми и като че ли и останалите хора в работната група им нямат много доверие...
|
Пон Юни 26, 2023 12:13 pm |
|
|
DanielDimov
Ранг: Почетен член
Регистриран на: Нед Фев 16, 2014 2:36 pm Мнения: 953
|
Re: Security MCU
Трябва дори и те да не могат.
|
Пон Юни 26, 2023 12:15 pm |
|
|
MYXATA
Ранг: Форумен бог
Регистриран на: Пон Юни 05, 2006 12:48 pm Мнения: 4413 Местоположение: където небето среща земята, ракията е Jameson, а бирата Guinness
|
Re: Security MCU
Ами ако прочетеш и разбереш какво е, ще видиш, че по i2c/spi коминикираш с него. Има си API да си акксесваш функциите. И не е за общо предназначение. Има си секюр стoридж, базиран е на PUF (physical unclonable function), позволява секюр буут, подписванеавтентификация и прочие. Прилича ми, че незнаеш какво точно искаш... или не разбираш какво точно търсиш... П.С. генерира ключове, няма как да извлечеш нещата, които се съхраняват в него (поне без много инвестиции) точно заради PUF....
_________________ ... ако трети ден не ти се работи... това означава, че е сряда !
|
Пон Юни 26, 2023 12:27 pm |
|
|
DanielDimov
Ранг: Почетен член
Регистриран на: Нед Фев 16, 2014 2:36 pm Мнения: 953
|
Re: Security MCU
Знам точно какво искам. Ще прочета повече да видя дали е това или не...
|
Пон Юни 26, 2023 12:34 pm |
|
|