No importa lo bueno que sea su diseño, si no es seguro, podría estar en riesgo

Diseños integrados: Incorporación de la seguridad desde el primer día

Los retos a los que se enfrentan los desarrolladores a la hora de crear diseños de productos seguros son cada vez mayores. Los ataques a la seguridad pueden producirse en muchos puntos del ciclo de vida del diseño de un producto integrado. Esto significa que los desarrolladores deben tener una estrategia sólida para la seguridad integrada que aborde la amplia gama de vulnerabilidades de seguridad.

Tómese un momento para rellenar el siguiente formulario y obtener acceso instantáneo a este seminario web grabado.
 página de portada

Webinar grabado

11 de febrero de 2021 | Duración: 59:01

Diseños integrados: Incorporación de la seguridad desde el primer día

Los retos a los que se enfrentan los desarrolladores a la hora de crear diseños de productos seguros son cada vez mayores. Los ataques a la seguridad pueden producirse en muchos puntos del ciclo de vida del diseño de un producto integrado. Esto significa que los desarrolladores deben tener una estrategia sólida para la seguridad integrada que aborde la amplia gama de vulnerabilidades de seguridad.

Este webcast grabado por Open Systems Media comparte conocimientos profundos sobre los bloques de construcción de seguridad integrados por expertos de Digi y NXP. Vea esta grabación para conocer estos bloques de construcción y cómo ayudan a simplificar el proceso de desarrollo de productos que son seguros por diseño. Digi International ofrece módulos de sistema integrado y kits de desarrollo basados en los procesadores NXP i.MX para respaldar la seguridad del diseño, sin necesidad de que el desarrollador tenga una amplia experiencia en seguridad.

Preguntas y respuestas del seminario web de seguimiento

Gracias de nuevo por asistir a nuestra sesión sobre seguridad integrada. Aquí están las preguntas que siguieron a la presentación y sus respuestas. Si tiene más preguntas, no dude en ponerse en contacto con nosotros.

¿Son todos los procesadores i.MX compatibles con el arranque seguro para establecer la raíz de confianza?

NXP: Sí, todas las familias de procesadores i.MX soportan el arranque seguro utilizando HAB o AHAB dependiendo de la familia de procesadores. Los procesadores más recientes también admiten la clave ECDSA para el arranque de alta seguridad.

En su presentación ha mencionado el arranque seguro y el arranque cifrado. ¿Pueden utilizarse ambos a la vez?

NXP: Sí, es necesario el arranque seguro antes de poder realizar el paso de arranque cifrado. No quieres cifrar una imagen que no ha sido autenticada primero para evitar la ejecución de código no fiable que contenga malware. La función de arranque cifrado añade una operación de seguridad adicional al arranque seguro.

¿Se puede utilizar el proceso de arranque seguro con las versiones de u-Boot y del núcleo de Linux de la línea principal?

NXP: Sí, el arranque seguro se puede utilizar con la línea principal de u-Boot y las versiones del kernel de Linux y tenemos guías paso a paso para guiar a los usuarios a través de este proceso: Arranque seguro - guías paso a paso para dispositivos habilitados para HAB y AHAB.

Nota: Por favor, cambie a la versión BSP requerida.

¿Pueden autentificarse los entornos de ejecución de confianza como OPTEE para ampliar la raíz de confianza?

NXP: Sí, OPTEE o cualquier otro TEE puede ser autenticado para ampliar la raíz de la roya.

¿Qué procesador i.MX o Digi SOM recomendaría para empezar a explorar las funciones de seguridad descritas hoy?

Digi: Bueno, realmente depende de su aplicación final. Dado que todos los procesadores i.MX y los SOM Digi ConnectCore® son compatibles con las funciones de arranque seguro de las que hemos hablado hoy, habría que ver qué funcionalidad adicional se necesita. Los nuevos procesadores i.MX 8 son ciertamente muy populares y ofrecen una gama de seguridad y procesamiento que se ajusta a su aplicación.

Puede encontrar una lista de opciones de SOM de ConnectCore, así como una herramienta de comparación de productos en la página de SOM de Dig i. O póngase en contacto con un representante de Digi desde el enlace Contáctenos.

¿Dónde puedo obtener más información sobre el proceso de arranque seguro para los procesadores i.MX?

NXP: Disponemos de documentación detallada como notas de aplicación en nuestro sitio web y guías paso a paso en Code Aurora para un arranque seguro y encriptado para que su sistema arranque de forma segura y establezca la raíz de confianza:

Digi: Hemos integrado completamente el arranque seguro como parte de los bloques de seguridad Digi TrustFence® para Linux y Android. En la documentación de Digi encontrará la información necesaria para habilitarlo y utilizarlo, así como explicaciones sobre los conceptos y la infraestructura.

Si el módulo se infecta, los datos serán alterados antes de ser encriptados. ¿Cómo se puede vencer este tipo de malware?

NXP: Los usuarios deben realizar el arranque seguro antes de poder realizar el paso de arranque cifrado. No es conveniente cifrar una imagen que no ha sido autenticada primero para evitar la ejecución de código no fiable que contenga malware. La función de arranque encriptado añade una operación de seguridad adicional además del arranque seguro.

¿Cuál es la interfaz de usuario que permite a los usuarios actualizar el firmware y gestionar los certificados de forma segura? ¿Los clientes realizan estas funciones o hay proveedores de servicios gestionados que lo hacen?

NXP: Todo lo relacionado con la gestión del firmware y del sistema operativo lo realizan actualmente nuestros socios (nubes y terceros). NXP no dispone actualmente de un servicio interno para ello, pero puede proporcionar información a sus socios.

Digi: Para los dispositivos Digi, puede realizar actualizaciones de firmware seguras con Digi TrustFence®. Consulte la documentación de TrustFence.

Hemos observado que NXP ha avalado los Vigiles™ en múltiples lugares. Están los parches y mitigaciones validados por NXP?

NXP: Las versiones GA del software de NXP Linux utilizan la herramienta Vigiles™ para garantizar que los parches se aplican y validan correctamente. Para el software específico del cliente, Vigiles™ se basa en las validaciones upstream. Además, Vigiles™ proporciona enlaces de referencia a exploits/mitigaciones cuando están disponibles para que los clientes puedan configurarse para validar la corrección o aplicar las mitigaciones respectivas. Consulte el contenido de Vigiles™ para obtener más información.

¿Cómo ayuda la raíz de confianza si falla la cadena de suministro? ¿Se cargan programas infectados en el dispositivo?

NXP: La seguridad en la fabricación es fundamental. Nuestro seminario web sobre fabricación ofrece información útil para abordar esta cuestión.

NXP también ofrece funciones de protección de la fabricación en determinados procesadores i.MX. Consulte nuestra información de fabricación sobre la protección del borde.

¿Permite las actualizaciones/actualizaciones de arranque?

NXP: El Secure Boot inicial que parte de la ROM interna inmutable en el chip no puede ser actualizado/mejorado. Sin embargo, el gestor de arranque secundario utilizado por el cliente puede actualizarse mediante varios mecanismos. En la nota de aplicación Secure Over-the-Air Prototype for Linux Using CAAM and Mender or SWUpdate se ofrece un ejemplo de cómo realizar actualizaciones seguras por aire.

Digi: En la documentación de Digi TrustFence® proporcionamos instrucciones para realizar actualizaciones de firmware seguras (que pueden incluir una imagen de cargador de arranque firmada/cifrada).

Cobra NXP por los servicios de EdgeLock™ 2GO?

NXP: Sí, el servicio utiliza un modelo de pago por uso (tarifa por claves/emisión de certificados, revocación). NXP puede proporcionar un presupuesto para su aplicación específica. Consulte la página de EdgeLock 2GO para más detalles.

Hola Asim, ¿te importaría comentar las situaciones en las que tiene sentido utilizar EdgeLock™ 2GO y cuándo tiene sentido utilizar las funciones criptográficas de I.MX 8?

NXP: EdgeLock™ 2GO es un servicio SaaS mientras que el i.MX es un procesador seguro, por lo que no son comparables. EdgeLock™ 2GO está disponible en el i.MX y otros SoCs acoplados a un SE050 SE. EL 2GO puede gestionar los certificados en los dispositivos i.MX + SE050 en nombre de los clientes; SE050 + EL 2GO mejora las capacidades de seguridad del i.MX (gestión de claves, raíz de confianza, cloud onboard zero touch). Consulte el libro blanco de EdgeLock 2GO.

Sin embargo, los clientes pueden seguir gestionando las claves/certificados en los procesadores i.MX aprovechando las capacidades criptográficas/de almacenamiento de claves del i.MX. Ver el almacenamiento cifrado de i.MX usando claves seguras CAAM nota de aplicación.

¿Se puede actualizar el código de la aplicación mediante Digi Remote Manager? He oído que sólo se puede actualizar el sistema operativo a través de Digi Remote Manager?

Digi: Sí, Digi Remote Manager ofrece total flexibilidad en las actualizaciones. Pueden ser solo aplicaciones, particiones seleccionadas o una actualización completa del sistema.

¿Qué garantías ofrece a los clientes que utilizan sus soluciones de seguridad?

NXP: Aunque NXP ha implementado funciones de seguridad avanzadas, todos los productos pueden estar sujetos a vulnerabilidades no identificadas. Los clientes son responsables del diseño y funcionamiento de sus aplicaciones y productos para reducir el efecto de estas vulnerabilidades en las aplicaciones y productos de los clientes, y NXP no acepta ninguna responsabilidad por cualquier vulnerabilidad que se descubra. Los clientes deben implementar las salvaguardias de diseño y funcionamiento adecuadas para minimizar los riesgos asociados a sus aplicaciones y productos.

Digi: De acuerdo. Disponemos de un excelente soporte y documentación para ayudar a los clientes a incorporar la seguridad en sus productos, así como de un equipo de Servicios de Diseño Inalámbrico que puede proporcionar apoyo de ingeniería experto a lo largo del proceso. Póngase en contacto con nosotros para obtener más información.

Contenido relacionado

¿Qué tienen en común la pizza y IoT ? ¿Qué tienen en común la pizza y IoT ? IoT Los proyectos, al igual que la pizza, tienen muchas variedades. En esta entrada del blog analizamos en qué se parece la IoT a la pizza. Es... LEER EL BLOG Los dispositivos médicos DEBEN ser seguros Los dispositivos médicos DEBEN ser seguros Los fabricantes de equipos originales y los desarrolladores integrados que diseñan y construyen dispositivos médicos tienen un reto en constante evolución. La seguridad... SEMINARIO WEB GRABADO Digi lanza el ConnectCore 8M Mini Digi lanza el ConnectCore 8M Mini Basada en el procesador de aplicaciones NXP® i.MX 8M Mini, la plataforma integrada Digi ConnectCore 8M Mini SOM ayuda a los OEM a reducir... LEER EL BLOG ¿Qué es un sistema operativo integrado? ¿Qué es un sistema operativo integrado? Un sistema operativo integrado es el cerebro de un producto. Está diseñado y optimizado para mejorar la eficiencia del control... LEER EL BLOG Elección del punto de partida para el diseño de sistemas embebidos Elección del punto de partida para el diseño de sistemas embebidos Cuando se diseñan productos con sistemas integrados, es fundamental eliminar cualquier obstáculo que impida el éxito. El tiempo de comercialización suele ser... LEER EL BLOG Digi ConnectCore Soluciones SOM Digi ConnectCore Soluciones SOM Módulos de sistema integrado basados exclusivamente en los procesadores de aplicaciones NXP i.MX, diseñados para una mayor duración y escalabilidad, en aplicaciones industriales IoT VER PDF Demostración de aprendizaje automático con Digi ConnectCore y ByteSnap SnapUI Demostración de aprendizaje automático con Digi ConnectCore y ByteSnap SnapUI Digi International y ByteSnap Design han colaborado en el desarrollo de una interesante y entretenida demo con un juego de piratas... VER VÍDEO Simplifique y acelere su desarrollo con los SOM basados en Digi ConnectCore i.MX Simplifique y acelere su desarrollo con los SOM basados en Digi ConnectCore i.MX Desarrollar un producto en IoT es todo un reto y, por ello, un gran porcentaje de los proyectos de diseño embebido fracasan debido... SEMINARIO WEB GRABADO Computación embebida: Diseñar para facilitar la fabricación y reducir el coste de propiedad Computación embebida: Diseñar para facilitar la fabricación y reducir el coste de propiedad El mercado de los sistemas integrados en módulos (SOM) ha crecido y ofrece diversas opciones para aplicaciones que van desde... LEER EL BLOG ¿Quién es el responsable de la seguridad de los dispositivos IoT ? ¿Quién es el responsable de la seguridad de los dispositivos IoT ? Mucha gente cree que la seguridad puede ser implementada completamente por el fabricante del dispositivo, o que es posible... LEER EL BLOG Digi ConnectCore 8M Nano: Recursos para desarrolladores, seguridad y escalabilidad Digi ConnectCore 8M Nano: Recursos para desarrolladores, seguridad y escalabilidad Digi International ha anunciado recientemente la disponibilidad del kit de desarrollo Digi ConnectCore 8M Nano. El Digi ConnectCore® 8M... LEER EL BLOG Servicios de diseño inalámbrico Servicios de diseño inalámbrico Los servicios de diseño inalámbrico de Digi ayudan a las empresas a resolver problemas de negocio mediante la incorporación de tecnologías inalámbricas para crear productos M2M innovadores