全球極具創新性的可編程邏輯器件供應商—廣東高雲半導體科技股份有限公司(以下簡稱“高雲半導體”)在2019年發佈了的安全FPGA系列產品(SecureFPGAs),因其實現了硬件PUF(物理不可克隆功能)的安全性,從而為高雲半導體的μSoC FPGAs提供了信任基礎。自此後,高雲半導體一直在與各類安全技術人員合作開發應用案例,以便快速推進其嵌入式產品上的安全開發。
近期,紐約理工學院(NYiT)溫哥華分校與高雲半導體 SecureFPGAs合作開發瞭解決方案,並將其作為該校INCS 870網絡安全顧問研究生課程的一部分。 通過與高雲半導體合作,學生們使用Secure FPGA、μSoC FPGA解決通用安全問題,並基於芯片附帶的ID Broadkey安全庫開發了安全啟動方案。
安全啟動作為一項行業標準,可確保PC或其他嵌入式設備的啟動僅能夠使用原始設備製造商(OEM)進行數字簽名和驗證。 通常,在應用程序軟件之前會運行少量的啟動代碼,並在軟件啟動時使用非對稱密鑰對在應用程序固件上執行簽名驗證。
“通過本項目的實踐,學生們對嵌入式系統開發有了進一步的認識,尤其是嵌入式系統因其多面性難以讓學生們進行全面的接觸與體驗,”紐約理工學院溫哥華分校的INCS 870課程的助理教授邵雲龍說,“而在這個項目中,學生們使用GOWIN的SecureFPGA系統及其Broadkey安全庫,以非對稱密鑰對完成了應用程序固件的簽名驗證過程。在此過程中學生們收穫了實踐經驗和成就感,同時強化了理論概念。結果表明,學生們很認可此項目並且達到了學習目標。”
SecureFPGA為安全啟動過程提供了多層安全保障。首先,SecureFPGA器件可在原廠配置,以便於根密鑰對在高雲半導體原廠現場初始化。 其次,該器件使用基於SRAM的PUF技術,以其硬件SRAM的固有硅屬性來重新生成根密鑰對,而不是將其存儲在設備中。 第三,私鑰在一個開發人員永不可用的安全保護區內被保護,該保護區只能通過提供的Broadkey安全庫進行訪問。
“對於希望為嵌入式產品增加安全功能的客戶,安全啟動是我們收到的最常見的請求之一,” 高雲半導體國際營銷總監Grant Jennings說。”與紐約理工學院溫哥華分校的合作,使得從具有網絡安全領域專業知識的研究生那裡,對高雲半導體的安全產品應用提供了極其寶貴的見解與經驗。”
紐約理工學院溫哥華分校此項目成功推出的示例設計,現已可通過登陸高雲半導體官方網站www.gowinsemi.com獲取,其可以使用GOWIN的DK-Start-GW1NSE-2C開發套件進行評估,為開發人員在未來產品開發提供了一個集成應用程序固件檢查的良好起點。
紐約理工學院溫哥華研究生Duo Xu解釋說:“為了進行安全啟動,開發人員需要提供應用程序固件的啟動地址和大小(以字節為單位),用於驗證數字簽名。在數字簽名生成過程中,程序將初始化ID Broadkey安全庫並生成數字簽名,並存儲在閃存中。簽名生成後,就可以在代碼中調用安全啟動函數來重新生成簽名,並與存儲在閃存中的數字簽名進行比較,以驗證應用程序沒有被修改。如果驗證成功,啟動過程將跳轉到固件的第一個地址,如果驗證失敗,則顯示錯誤消息並跳轉到無限循環。”
