Wbudowany
Bezpieczeństwo

Bazując na wieloletnim doświadczeniu z kilku projektów klientów, opracowaliśmy dla Ciebie ofertę zabezpieczeń, która zawiera najważniejsze punkty dla Twojego produktu:

  • Know-how i ochrona wizerunku
  • Zapewnienie dostępności Twoich urządzeń i usług
  • Bezpieczna sieć i komunikacja Twoich urządzeń
  • Bezpieczny zdalny dostęp do konserwacji i serwisu
  • Utrzymywanie i zwiększanie poziomu bezpieczeństwa
  • Krótkie czasy reakcji na zdarzenia krytyczne

Środki bezpieczeństwa _ dla indywidualnej ochrony

Nasze oferty oprogramowania są ogólnodostępne i wykorzystują rozwiązania open source. Do podpisywania bootloaderów czasami trzeba zastosować specyficzne rozwiązania producenta kontrolera.

  • Szkolenie z zakresu bezpieczeństwa i indywidualne doradztwo projektowe
     
  • Funkcjonalność związana z bezpieczeństwem w naszym standardzieBSPs i niestandardowe rozwiązania
     
  • Bezpieczna inicjalizacja (Provisioning) w naszym zakładzie produkcyjnym w Moguncji (Niemcy)
     
  • Zarządzanie cyklem życia oprogramowania

Preferujemy podejście holistyczne i pracujemy zgodnie z zaleceniami najlepszych praktyk, a także z międzynarodową serią norm ustanowionych w branży „Przemysłowe sieci komunikacyjne - bezpieczeństwo IT dla sieci i systemów” (IEC 62443). 

Aby proces ten był jak najbardziej opłacalny dla Ciebie, pracujemy z wyborem podstawowych metod, za pomocą których można zaimplementować najróżniejsze wymagania dotyczące bezpieczeństwa. W praktyce samo osiągnięcie pierwszego poziomu bezpieczeństwa jest znaczącą poprawą ochrony Twojego produktu.

Poziom bezpieczeństwa
(SL)
Środki techniczne
napastnika
Zasoby (czas / pieniądze)
napastnika
Umiejętności
napastnika
Motywacja
napastnika
Uszkodzenie poufności
(według IoTSF)
Uszkodzenie integralności
(według IoTSF)
Uszkodzenie dostępności
(według IoTSF)
Znaczenie
1 nie gering nie Błąd użytkownika uwolnienie
dane wrażliwe
ograniczony minimalny • Zapobieganie
przypadkowe błędy użytkownika
• Utrata danych
minimalne konsekwencje
2 ogólna wiedza informatyczna gering generał Niska,
celowo ukierunkowane
strata
dane wrażliwe
ograniczony ograniczony • Scenariusz Kiddy
• Utrata danych jest ograniczona
Wpływ na osobę / organizację
3 wysoko rozwinięty umiarkowany specyficzne dla systemu umiarkowany,
celowo ukierunkowane
Strata bardzo dużo
dane wrażliwe
ograniczony wysoki, katastrofalny • Zapobieganie
średnie ataki (hakerzy)
• Utrata danych
Znaczący wpływ
4 wysoko rozwinięty przedłużony specyficzne dla systemu wysoki,
celowo ukierunkowane
Strata bardzo dużo
dane wrażliwe
wysoki, katastrofalny wysoki, katastrofalny • Zapobieganie
główne ataki (hakerzy)
(Państwa / organizacje)

Cyberprzestępczość jest realna, a wymagania ustawodawcy są zróżnicowane i zależą od zastosowania produktu końcowego.

Razem z Tobą określamy wymagania prawne dotyczące Twojego projektu i decydujemy o rozwiązaniu.

Przy uruchamianiu produktów IT należy przestrzegać następujących przepisów:

  • Ustawa o cyberbezpieczeństwie - Wszystkie produkty są klasyfikowane w klasach zgodnie z poziomem bezpieczeństwa
  • Przepisy dotyczące odpowiedzialności za produkt i stan techniki
  • Federalna ustawa o ochronie danych (BDSG)
  • Prawo bezpieczeństwa IT dla infrastruktury krytycznej (KRYTYCZNE)

Dla lepszego wprowadzenia w temat regularnie oferujemy szkolenia z zakresu bezpieczeństwa. Daje to kompleksowy przegląd. Obszary tematyczne naszych szkoleń obejmują:

  • Aspekty prawne - Normy i wytyczne
    - Co nakazuje ustawodawca?
     
  • Podstawy (Piramida Bezpieczeństwa) - od modułu do runtime'u
    - Jakie są środki ochronne?
     
  • Bezpieczeństwo przez projekt - Opracowywanie bezpiecznych produktów
    - Jak brane jest pod uwagę bezpieczeństwo w procesie rozwoju?
     
  • Bezpieczna inicjalizacja - Funkcje bezpieczeństwa w produkcji
    - Jak twój klucz trafia do modułu?
     
  • Zarządzanie cyklem życia oprogramowania - Zrównoważona konserwacja oprogramowania
    - W jaki sposób zapewniasz aktualizacje produktu?

Opowiedz nam krótko o swoich wymaganiach projektowych i zagrożeniach, przed którymi chcesz się zabezpieczyć, a my zaoferujemy Ci odpowiednie warsztaty wewnętrzne lub konsultacje projektowe.

Cena od 1800 € / dzień plus koszty
 

W naszym phyBSP Funkcje bezpieczeństwa już zawarte:

  • Bezpieczny rozruch dla Barebox (NXP-i.MX 6)
  • Secure-Boot dla u-boot (NXP-i.MX 7, NXP-i.MX 8)
  • Podpisane jądro Linuksa jako obraz FIT
  • Moduł CAAM do szyfrowania systemu plików

Następujące dodatkowe funkcje, które nie są częścią standarduBSPs są w formie indywidualnej BSPs są tworzone dla Twojego produktu:

  • Hartowanie jądra
  • Integracja dodatkowych modułów bezpieczeństwa
  • Zaufane środowisko wykonawcze (opcjonalne)
  • Uwierzytelnianie i bezpieczne połączenie (TLS)

Nasza usługa oferuje:

  • Aktywacja bezpiecznego rozruchu
  • Certyfikaty X509 specyficzne dla urządzenia do uwierzytelniania dla wszystkich dostawców usług w chmurze (np. Microsoft Azure, AWS, Google IOT), serwerów aktualizacji (np. MenderIO, FoundriesIO itp.) Lub własnego serwera
  • Instalacja minimalnego systemu Linux w celu uproszczenia końcowej konfiguracji i instalacji oprogramowania w produktach
  • Rejestracja urządzenia w chmurze (Microsoft Azure, AWS, Google IOT)
  • Włączanie / wyłączanie funkcji kontrolera np. JTAG
  • Szyfrowanie katalogów lub partycji na Twoim urządzeniu

Jesteśmy niezawodnym partnerem w realizacji tych zadań, ponieważ możemy przejąć bezpieczeństwo Twoich kluczy prywatnych i innych tajemnic podczas produkcji i importu oprogramowania dzięki naszej usłudze zaopatrzenia w Moguncji (Niemcy).

Zapewniamy maksymalne bezpieczeństwo:

  • Produkcja własna w zakładzie w Moguncji
    Inspekcja i audyt są możliwe i pożądane
  • Zdefiniowany proces i role
  • Obszar chroniony z ograniczonym dostępem
  • Bezpośredni kontakt z odpowiednimi odpowiedzialnymi pracownikami (budowanie zaufania)
  • Kluczowa suwerenność pozostaje z tobą
    Korzystanie z bezpiecznych modułów sprzętowych
  • Brak inicjalizacji produktów do użytku wojskowego lub służb specjalnych
    Minimalizacja ryzyka dla Ciebie i PHYTEC

Pozwól nam złożyć niezobowiązującą ofertę.

Skorzystaj z naszego zarządzania cyklem życia oprogramowania, aby zapewnić zrównoważoną i wiążącą konserwację pakietów wsparcia płyty głównej dla sprzętu specyficznego dla klienta. Testujemy Twój sprzęt z najnowszymi poprawkami i aktualizacjami przez cały cykl życia produktu.

Masz pytania dotyczące wbudowanych zabezpieczeń
czy potrzebujesz wsparcia przy swoim projekcie? 

 

Nasz zespół ds. Bezpieczeństwa z przyjemnością Ci pomoże.

Właściwy kontroler _ Wspieramy Cię w dokonaniu właściwego wyboru

Piramida bezpieczeństwa _ Wszystkie możliwe środki obrony przed atakami można z grubsza podzielić na trzy obszary.

Poniżej Podstawowe wymagania bezpieczeństwa są podstawą bezpiecznego wbudowanego systemu Linux:

Bezpieczne Boot

Zastosowanie bezpiecznego rozruchu zapewnia, że ​​na module sprzętowym można uruchomić tylko godne zaufania, podpisane oprogramowanie. Bezpieczny rozruch to podstawa łańcucha zaufania. Z pomocą tego łańcucha zaufania można zagwarantować, że tylko sprawdzone oprogramowanie będzie używane aż do aplikacji końcowej.

Zaufane środowisko wykonawcze (opcjonalne)

ARM TrustZone to funkcja dla SoC i procesorów w rodzinach procesorów ARM Cortex-A i Cortex-M. TrustZone ma dwie oddzielne domeny (świat normalny i świat bezpieczny). Klucze są przechowywane w bezpiecznym świecie, do którego można uzyskać dostęp za pośrednictwem interfejsu API z normalnego świata Linuksa. TrustZone jest podstawą Trusted Execution Environment, którego op-tee jest implementacją typu open source.

eMMC z blokiem pamięci chronionej przed odtwarzaniem

Tajne dane mogą być przechowywane na partycji RPMB, która jest chroniona przed nieautoryzowanym dostępem.

Identyfikacja urządzenia

Bezpieczna identyfikacja urządzeń jest podstawowym wymogiem komunikacji z urządzeniami w sieci. W tym celu pracujemy między innymi nad procesem bezpiecznej inicjalizacji chipów kryptograficznych.

TPM i elementy zabezpieczające

Chipy kryptograficzne i elementy zabezpieczające, takie jak układ TPM, umożliwiają przechowywanie kluczy kryptograficznych i zarządzanie nimi. Klucze prywatne są przechowywane w sposób zabezpieczony przed manipulacją, niezależnie od używanego oprogramowania.

NXP CAAM

Gdy funkcja Secure Boot jest aktywowana, moduł CAAM firmy NXP oferuje funkcjonalność podobną do układu TPM, ale bez certyfikowanej ochrony fizycznej.

Charakterystyka łańcucha zaufania

  • Trusted ROM Bootloader sprawdza obraz oprogramowania przed jego uruchomieniem
  • Stosowanie par kluczy RSA-4096 i podpisów SHA-256
  • Algorytmy te spełniają wymagania BSI (Federalne Biuro Bezpieczeństwa Informacji) i NIST (National Institute of Standards and Technology) do 2030 roku i później
  • Podstawa ustanowienia Trusted Execution Environment (TEE) i ARM TrustZone®

Bezpieczeństwo sieci

Gdy urządzenia komunikują się z serwerem lub między sobą, połączenie musi być bezpieczne. TLS to najpopularniejszy protokół i niezależna od aplikacji metoda implementacji szyfrowanego połączenia.

  • Ustanów bezpieczne połączenie niezależnie od używanej aplikacji lub protokołu
  • TLS (SSL) jest uznawany za najlepszą praktykę i standard branżowy w zakresie szyfrowanej komunikacji

Ogólne zalecenia
aby zwiększyć
Bezpieczeństwo aplikacji

  • Uruchamiaj tylko te usługi, których naprawdę potrzebujesz na swoim urządzeniu
  • Zamknij wszystkie porty i bardzo selektywnie otwieraj tylko wymagane porty
  • Zawsze używaj loginów chronionych hasłem (w tym interfejsów COM i Telnet)
  • Do przesyłania danych używaj standardowych protokołów
  • Używaj typowych implementacji do szyfrowania (bez własnego rozwoju)

Mainline Linux

Linux jest naszym pierwszym wyborem jako system operacyjny do zastosowań przemysłowych. Jednym z naszych jasnych celów jest oferowanie naszym klientom zalet linii głównejBSPs zapewnić:

  • Stabilny kod, szybkie poprawki błędów / bezpieczeństwa, a także utrzymanie i dalszy rozwój głównych sterowników przez społeczność
  • Mainline to gwarancja utrzymania aktualnych wersji systemu operacyjnego, nawet po wielu latach
  • Często oferujemy zarówno dostawcę, jak i linię głównąBSP w tym samym czasie. W ten sposób możesz zdecydować, kiedy wejść na pokład z Mainline.
  • Dla phyBOARDBSPs: Dołączona jest najnowsza wersja jądra z aktualnymi łatami bezpieczeństwa
  • Dla phyBOARDBSPs: Uwzględniono najnowsze wersje Yocto-Minor
  • Dla phyBOARDBSPs: Roczny BSP-Aktualizacje ze wszystkimi głównymi poprawkami bezpieczeństwa
  • Jądro LTS w BSPs dla produktów PHYTEC
  • Niestandardowe testy z ciągłą integracją

Interfejsy

Wszystkie interfejsy dostępne w produkcie końcowym stanowią potencjalne zagrożenie bezpieczeństwa dla systemów wbudowanych.

  • Używaj tylko wymaganych interfejsów
  • Dostęp zależny od użytkownika do interfejsów
  • Korzystanie z połączenia szyfrowanego

Oprócz ataków za pośrednictwem interfejsów lub połączeń sieciowych, bezpośrednie manipulowanie sprzętem również stanowi zagrożenie bezpieczeństwa.Dostępne są następujące metody ochrony urządzeń elektronicznych przed atakami fizycznymi:

Ochrona przed naruszeniem integralności

  • Chroni poufne dane, takie jak szyfrowanie lub klucze prywatne
  • Trwale usuwa dane, jeśli urządzenie zostało zmodyfikowane
  • Możliwa jest szeroka gama realizacji

Hermetyzacja (odlewanie żywicy)

  • Uniemożliwiony jest fizyczny dostęp do poszczególnych elementów
  • Uniemożliwiono wykrycie użytych komponentów i części
  • Inżynieria odwrotna przy użyciu pomiarów elektrycznych nie jest możliwa

Nasi wbudowani eksperci są do Twojej dyspozycji!

 

Zapewnij sobie osobistą wizytę konsultacyjną szybko, łatwo i bezpłatnie.
30 minut wyłącznie dla Ciebie i Twojego projektu!

Edukacja + szkolenie _ Skorzystaj z naszego know-how do rozwoju swojego produktu

Dzięki transferowi know-how od naszych ekspertów do twoich programistów szybciej osiągniesz swój cel!

 

Uczestnicy naszych szkoleń otrzymują solidną wiedzę z zakresu tworzenia profesjonalnego sprzętu i oprogramowania.