Mantenerse al día de las normativas gubernamentales puede ser una tarea difícil para cualquier empresa, especialmente para las organizaciones que crean e implantan dispositivos conectados. En este seminario web aprenderá a adelantarse a las normativas con dispositivos integrados seguros.
El nuevo subsistema de seguridad integrado en los últimos procesadores i.MX de NXP, incluido el i.MX 93 en Digi ConnectCore® 93, puede ayudar a los fabricantes de equipos originales a mantener la seguridad en cualquier fabricación. Además, los servicios de seguridad ConnectCore® pueden ayudar a mantener la seguridad de los productos durante todo su ciclo de vida.
Conectar con Digi
¿Quiere saber más sobre cómo puede ayudarle Digi? He aquí algunos pasos a seguir:
Preguntas y respuestas del seminario web de seguimiento
Gracias de nuevo por asistir a nuestra sesión con NXP y TimeSys sobre seguridad en dispositivos integrados. Si tiene más preguntas, no dude en ponerse en contacto con nosotros.
Moderador: Mitch Sinon, Director de Marketing, Digi International
Presentadores:
- Bob Blumenscheid, Director de Marketing de Producto, Digi International
- Asim Zaidi, Director Técnico, Secure Connected Edge, NXP Semiconductors
- Maciej Halasz, Vicepresidente de Tecnología, TimeSys Corporation
Asim, en relación con tu sección de la presentación, ¿puedo utilizar mi propio algoritmo criptográfico?
Asim: En estos momentos, no tenemos ninguna disposición para admitir sus propios algoritmos criptográficos. El enclave seguro del SoC tiene una multitud de algoritmos criptográficos diferentes que se utilizan ampliamente, pero ahora mismo, todo el soporte tendrá que venir a través de firmware firmado por NXP. Si hay algoritmos específicos que crees que no están cubiertos en el superconjunto de funciones criptográficas que tenemos, nos gustaría saberlo, para poder revisarlo en el futuro. Pero ahora mismo, no permitimos que se implementen algoritmos personalizados.
En cuanto al enclave seguro EdgeLock, ¿tiene alguna sugerencia sobre cómo aplicar en la práctica las funciones de enclave seguro del SoC?
Asim: Se puede utilizar el enclave seguro EdgeLock para cifrar los activos del SoC, ya sean modelos de aprendizaje automático o IP. Podemos utilizarlo para realizar actualizaciones seguras específicas. Podemos utilizar el enclave EdgeLock si estamos protegiendo la fabricación. Así pues, el enclave seguro se presta a multitud de funciones de seguridad.
Asim, ¿y la compatibilidad con Android?
Asim: Intrínsecamente, el enclave EdgeLock tiene API con las que puede interactuar cualquiera de los OP-TEE, y especialmente el propio OP-TEE, o el entorno de confianza compatible con Android, como Trusty. Así que, de nuevo, tenemos soporte completo para Android, y funcionará sin problemas con nuestro enclave seguro también.
Maciej, ¿será compatible SBOM con los sistemas Buildroot?
Maciej: Sí. Hoy en día, ofrecemos un plug-in para Buildroot, por lo que puede generar un SBOM utilizando Vigiles de cualquier Buildroot.
Maciej, ¿cómo se licencia TimeSys? ¿Por dispositivo o por usuario del dispositivo?
Maciej: Vigiles en sí se ofrece como una suscripción. Por lo tanto, no hay ataduras a un SBOM específico. Puede ejecutar tantas exploraciones como considere oportuno. Puede escanear tantos productos como desee. La concesión de licencias se basa en el número de usuarios que deseen utilizar esa solución.
Bob, has mencionado que cada industria tiene diferentes retos de seguridad que deben abordarse. Cuál es tu proceso para determinar cuáles son esos retos y mitigarlos?
Es una buena pregunta. Y creo que Asim se ha referido a ello. Hay diferentes normas y reglamentos para cada sector, que no solo están en vigor, sino que evolucionan. Así que, en nuestros SOM, también nos fijamos en el bajo nivel, las certificaciones SESIP y cosas por el estilo. Y luego, realmente proporcionamos los bloques de construcción para cada cliente, para identificar las cosas particulares que necesitan.
Bob, ¿hasta qué punto podemos gestionar el ciclo de vida de la seguridad sin el apoyo de la nube? Tenemos clientes que no permiten el acceso a la nube.
Bob: Es una buena pregunta. Si los clientes no lo permiten, se pueden crear actualizaciones de firmware que se cargan directamente en las máquinas, sin soporte en la nube. También tenemos dispositivos celulares, en la línea celular Digi XBee®, que pueden hacer actualizaciones fuera de banda a nuestros dispositivos también. Pero sin duda puede crear sus actualizaciones de firmware y luego permitir que los clientes las carguen directamente en sus máquinas.
Bob, en tu presentación había un gráfico que mostraba la legislación en curso en algunos estados de la costa este. ¿Cuál es el calendario? ¿Cuándo crees que estarán en vigor esas leyes?
Bob: Todo esto está en proceso, y espero que en los próximos 18 o 24 meses veamos más legislación en algunos de estos estados. Varía según la prioridad, pero es una situación que cambia rápidamente. Es algo que hay que vigilar a lo largo del desarrollo de un producto integrado, porque será diferente en el punto de certificación y lanzamiento de lo que era cuando se empezó.
Asim, ¿soporta hardware hardening configurable en enclave seguro?
Asim: Si he entendido bien la pregunta, estamos hablando de un hardware hardening configurable. Básicamente, nuestros productos se someten a un nivel de refuerzo. Obviamente, tenemos diferentes líneas de productos que tienen diferentes requisitos de seguridad y objetivos de seguridad. Así que, a medida que avancemos con nuestra serie i.MX 9, tendremos nuevos productos de la serie i.MX 9 en el futuro que tendrán características y endurecimientos más avanzados que nuestra generación actual. Pero, de entrada, tenemos sensores y otros tipos de funciones que el cliente puede configurar para aumentar la protección, en función de su caso de uso. Pero esas son algunas de las características principales. Espero que esto responda a la pregunta. Si no es así, puedo proporcionarle más información fuera de línea.
Asim, ¿hay documentación para enclave seguro para probar y entender estas características?
Asim: Sí, tenemos un documento API, y también estamos en proceso de crear una guía del usuario, pero básicamente, el documento API da información sobre cómo interactuar con las unidades de mensajería que serán la entrada y salida para el enclave seguro. Y eso tendrá funciones específicas para configurar claves, para configurar funciones, para hacer una serie de características que se abstraen del usuario. Así que, para simplificar, la API existe, y vamos a proporcionar parte de esa información. Y eso está disponible como parte de nuestra documentación de habilitación.
¿Hay planes de compatibilidad con FIPS 140-3?
Asim: Sí, para i.MX 93, nuestro objetivo es FIPS 140-3. Actualmente estamos en proceso de certificación. Como algunos de ustedes sabrán, se trata de un proceso de certificación bastante largo, por lo que nos estamos centrando en él. Desgraciadamente, debido a los plazos y a los retrasos en el proceso de certificación del NIST, esto se alarga. Pero en este momento, estamos apuntando tanto a FIPS, así como SESIP PSA Nivel 2, en el lado SoC. Así que, desde la perspectiva del SoC, nos estamos centrando en eso. Y creo que también tenemos soluciones de TimeSys compatibles con PSA. Y dejaré que Bob vea si hay algún plan al respecto.
Bob: Sí, creo que es lo mismo. Tenemos algunas cosas en proceso. Estamos estudiando las certificaciones PSA, y hemos obtenido la certificación FIPS 140-2 con clientes específicos y hemos aprovechado diferentes cosas para nuestros SOM. También hemos estudiado FIPS 140-3. Es algo que veremos en el futuro.