Kännyköiden tietoturva menee uusiksi

Tietoja

Älypuhelimissa tietoturva on hoidettu jo yli kymmenen vuoden ajan niin, että luotettu prosessointi tehdään laitteen muistin TEE-osiossa (Trusted Execution Environment). Nyt käynnissä on murros. Tulevaisuudessa esimerkiksi salausavaimet tallennetaan eristettyyn muisti-alueeseen eli enklaaviin, kertoo Huawein HSSL-laboratoriota johtava Jan-Erik Ekberg.

HSSL- eli järjestelmäturvallisuuden laboratoriota (Helsinki System Security Lab) vetävän Ekbergin mukaan älypuhelimien tietoturvan tämän hetken standardiratkaisu syntyi Arm:n TrustZone-tekniikan myötä. Useimmissa puhelimissa on turvallinen suojattu TEE-osio, jossa voi säilyttää esimerkiksi pankki-korttitietoja. Käytännössä kyse on rinnakkaisesta kernelistä, joista toinen on suojattu ja tarkoitettu vain tietoturvallisten prosessien käyttöön.

- Puhelimen oma tietoturva lähtee TEE:stä. Turvakäynnistys eli secure boot yleensä sisällyttää TEE:n, mutta TEE myös auttaa turvakäynnistyksen ylläpitämisessä, Ekberg kuvaa.

Viime vuosina tämä kuva on alkanut monipuolistua. Lähinnä Google on lanseerannut keystone-tekniikan, jossa sovellus voi luoda järjestelmän ylläpitämän avaimen, ja jolla voidaan autentikoida palveluja. Myös nämä on toteutettu TEE-osiossa. Älypuhelimen tietoturvan mullistus tulee kuitenkin palvelinpuolelta.

Intel esitteli viitisen vuotta sitten SGX-tekniikan, joka tarkoittaa yksinkertaisesti CPU-piirille lisättyjä tietoturvan laajennuskäskyjä. - Tässä ratkaisussa TEE:n virkaa toimittaa secure enclave eli eristetty turvallinen muistialue. Iso ero TEE-rakenteeseen on siinä, että tällainen enklaavi on koodimäärältään pienempi, Ekberg selventää.

Enklaavi on väliaikainen rakennelma laitteen muistissa. Se muodostuu ainoastaan suojausprosesseja varten ja poistuu, kun on tehnyt tehtävänsä. Ero on merkittävä TEE-rakenteeseen, jossa käyttöjärjestelmän rinnalla pyörii koko ajan toinen kernel.

- Kun enklaaviin viedään logiikkaa, on hyökkääjille samalla vähemmän softaa, jonka voisi murtaa. Kun ei ole toista rinnakkaista kerneliä, on yksi komponentti vähemmän, jota vastaan hyökätä, Ekberg selventää.

Hän näkee, että tällainen enclave-tyylinen ratkaisu rakennelma tulee myös päätelaitteisiin. – Esimerkiksi viime vuonna esitelty Armv9-A-arkkitehtuuri tarjoaa realm-moodia, joka on hyvin lähellä niitä tekniikoita, joita tarjotaan palvelinpuolella.

Käytännössä enklaavissa on kyse laitepohjaisesta virtualisointikerroksesta, jolla voidaan eri komponentteja laittaa ajamaan rinnan, mutta yhdistettynä muistin salaukseen. - Kun jokaisen rinnakkain toimivan komponentin muisti salataan laitteistotasolla, saadaan sama lopputulos kuin TEE:ssä muistipalo-muureilla, mutta paljon dynaamisemmin.

Intelin SGX:ssä enklaavit toteutettiin välimuistin kautta, mikä rajoitti niiden käyttöä. Tätä rajoitusta Intel on pyrkinyt korjaamaan uudemmalla TDX-tekniikalla (Trust Domain Extensions). Samaan pyrkii AMD omalla SEV-tekniikallaan (Secure Encrypted Virtualization). Nämä perustuvat salaukseen, jolloin rajoitus tulee enää laitteiston kokonaismuistista, ei välimuistin koosta.

Ekberg muistuttaa, että hän katsoo mobiililaitteiden tietoturvaa pitkälti tutkijan näkökulmasta.

- Mobiiliekosysteemissä TEE on niin syvään juurtunut, että murroksessa menee varmaan viitisen vuotta. Sen jälkeen jonkin aikaa TEE ja dynaamisemmat ratkaisut ovat markkinoilla rinnakkain.

TEE on ollut älypuhelimissa elegantti ratkaisu, vaikka se onkin jäämässä vanhanaikaiseksi. Sen nousuun laitteiden de facto -tietoturvastandardiksi perustuu osin historiaan ja tuonaikaisiiin kännykkäpiireihin.

- Kun Arm TrustZone kehitettiin 15 vuotta sitten, ei mobiilipiireissä ollut 2-vaiheista virtuaalimuistia. Oli vain yksi virtuaalimuisti sovellusten ja kernelin välillä, ja jos tällaisessa ympäristössä halutaan tehdä laitetasolla eristys, ei ole oikeastaan muuta tapaa kuin tehdä toinen saman-lainen ympäristö rinnalle.

Tämän jälkeen monivaiheinen virtualisointikerros on pikku hiljaa levinnyt Intelin prosessoreista myös Arm-piireille, jolloin tarve ajaa rinnakkain kahta kerneliä on hävinnyt. Tulevien enklaavien myötä käyttöön saadaan periaatteessa ääretön määrä turvattuja ympäristöjä.

ENTÄPÄ IoT-LAITTEIDEN TIETOTURVA?

Maailmassa on miljardeja älypuhelimia, mutta verkkoon liitettyjä IoT-laitteita vielä monin verroin enemmän. Monen mielestä ne ovat vielä puhelimia paljon suurempi tietoturvariski. Osin tämä perustuu siihen, että TEE:n vaatimaa muistia ei yksinkertaisesti ole pienissä ohjainpiireissä.

- Valmistajat on kyllä mainostaneet turvakäynnistystä ja muistin salausta tai flashin salausta, mutta ne ovat olleet aika heikkoja ratkaisuja. Viime aikoina Arm:n TrustZone M on tuonut uutta tietoturva-mallia ohjaimiin. Näillä piireillä laitteistoon voidaan rakentaa TEE-osioita.

- Arm TrustZone-M:llä on myös vaikea ajaa täyttä kerneliä, vaan se on enemmänkin laitetason eristys yksittäisille funktioille. Tämä sopii hyvin pieniin prosessoreihin, koska tietoturvatarpeet on lähinnä laiteohjelmiston päivitystä ja laitteen autentikointia. Siellä ei tarvita jatkuvasti pyörivää rinnakkaista kerneliä, Ekberg päättää.

Jan-Erik Ekbergin haastattelu ilmestyi uudessa ETNdigi-lehdessä. Sitä pääset lukemaan täällä.

FOREVER # Till ECF-sajten
ALWAYS # congatec

ETNtv

Watch ECF videos

 

TECHNICAL ARTICLES

Tekoälyn avulla robotteja voidaan ohjata puheella

ETN - Technical article

Generatiivisen tekoälyn vallankumous, joka tuo chatbotit asiakaspalveluun ja mahdollistaa älykaiuttimien kaltaiset laitteet, on vasta alkua. Sama teknologia, joka ymmärtää ihmisten puhetta, siirtyy nyt robotiikkaan, missä se auttaa kehittämään algoritmeja robottien liikkeiden ohjaamiseen ja politiikkojen toteuttamiseen tärkeiden tehtävien suorittamiseksi.

Lue lisää...

OPINION

SOM-ratkaisut ovat lääketieteellisen elektroniikan luotettava tulevaisuus

Lääketieteellinen elektroniikka on yksi nopeimmin kasvavista teollisuudenaloista. Väestön ikääntyminen, erityisesti länsimaissa, ja terveydenhuollon teknologioiden jatkuva kehitys pitävät yllä kovaa kysyntää ja ohjaavat alan tutkimus- ja tuotekehitystä, kirjoittaa Digi Internationalin OEM-ratkaisuista Euroopassa vastaava johtaja Ronald Singh.

Lue lisää...

LATEST NEWS

NEW PRODUCTS

 

NEWSFLASH

 SPONSORS

 

Etteplan supports customers cross industries in digitalizing their business from requirement specifications to solution development and implementation. With over 30 years of experience, Etteplan has the needed expertise to develop a wide range of industrial applications, from large established companies to start-ups. We deliver complete turn-key solutions containing cross-discipline know-how.

 

CN Rood offers technical solutions in the field of testing and measurement. We aim to remain leaders in that regard. Our customers are often not looking for a product, but for a solution, and we all have the drive to work on that solution. What we love to do most is to continually work on the latest developments in the field of testing and measuring equipment. Now and in the future.

 


EBV Elektronik was founded in 1969 and is one of the leading specialists in European semiconductor distribution. This success is based on the underlying company philosophy, which was developed a long time ago and which still applies today: operational excellence, flexibility, reliability and execution – with the goal of achieving the highest degree of customer satisfaction.

 

Tria is a world leader in the design and manufacture of embedded computing for OEMs. We offer a broad range of off-the-shelf modules to fully customized systems built for our customers. With a global footprint and deep in-house expertise, we support innovators from design to delivery.

congatec is a rapidly growing technology company focusing on embedded and edge computing products and services. The high-performance computer modules are used in a wide range of applications and devices in industrial automation, medical technology, robotics, telecommunications and many other verticals.

 

Mespek was founded in 1989. Our main products are embedded electronic modules, industrial PCs with peripherals, KVM and server management products, as well as wireless solutions for IoT applications.

 

Since 1985, Digi International Inc. (Digi) has been a pioneer in wireless communication, forging the future for connected devices and responding to the needs of the people and enterprises that use them.

 

CVG Convergens is an ICT services company specialized in embedded systems, smart connected products and ICT systems and processes for SME businesses. Our mission is to help our clients, our team, and the society to improve and thrive by providing reliable and sustainable solutions, services, and products by creative and efficient application of technology.

 

BCC Solutions Oy is a Finnish company that, in addition to expert services, offers comprehensive equipment solutions for data transfer and telecommunication networks, as well as their analysis, testing and measurement. We broadly represent the industry's leading brands.

 

Acal BFi has trusted expertise in advanced electronics for 50 years. If you’re in search of a trusted technology solutions partner, your search ends here. Our extensive knowledge, cutting-edge portfolio, and worldwide capabilities are at your service to bring the future into reality.

 



© Elektroniikkalehti


ECF template