IoT har eksisteret som begreb i et par årtier siden internettets boom. Dengang forventede man nok, at man i fremtiden ville have smarte og konnekterede produkter, men interessen var mest koncentreret om at differentiere stand-alone produkter fra traditionelle computere, og cybersikkerhed var kun tiltænkt pc’er og servere. Meget har dog ændret sig siden …
Artiklen har været bragt i Aktuel Elektronik nr. 4 – 2026 og kan læses herunder uden illustrationer
(læs originaludgaven her)
Artikel skrevet af Winbond
Med tiden er der kommet flere og flere typer af produkter online som mobile enheder, netværk, industrielle styringer, husholdningsapparater og ”always-on” pc-produkter. Da der for snart tyve år siden ikke fandtes nogen vejledning, havde hver leverandør sine egne idéer om sikkerhed – eller manglen på samme. Med stigningen i antallet af forbindelser er der opstået risici inden for cybersikkerhed i millionvis, og kompatible, forbundne produkter blev attraktive mål for hackere, der forsøger at udnytte netforbundne produkters åbenhed til deres egne og kriminelle aktiviteter.
Efterhånden som de netforbundne enheder har udviklet sig, bliver nationale økonomier mere og mere afhængige af elektronikprodukternes funktion og drift. Konnektiviteten er nu en vigtig søjle i vores moderne samfund. Infrastruktur, forsyningsvirksomheder offentlige institutioner – og selv husholdninger – er alle afhængige af den korrekte og sikre drift af det forbundne udstyr for at opretholde en stabil funktion i hverdagen.
Det har ført til, at US National Institute for Standards in Technology (NIST) har lanceret NIST SP800-193 ”Platform Firmware Resiliency Guidelines” tilbage i maj 2018. Publikationen er målrettet alle konnekterede produkter, der kører på enhver tænkelig art af firmware – fra store og komplekse servere ned til små, embeddede controllere.
NIST SP800-193 (kort ”193” herefter) diskuterer konceptet bag ”modstandsdygtighed” (”Resiliency”), som i hvordan man gør en platform resistent over for fejlfunktioner som følge af hackerangreb eller spontane fejl. Basis for ”resiliensen” er tre grundpiller:
● Beskyttelse, som handler om at sikre, at en platformskode og data opretholder integritet. Integritet betyder ikke, at platformen ikke kan ændres, men at den forbliver i en tilstand, der fungerer som tiltænkt for bruger, leverandør og infrastrukturen. For koden betyder det, at der skal være tale om en verificeret, ”trusted” version af den kode, der kører på systemet. For data betyder det, at data kun er blevet modificeret af autoriserede brugere og gennem godkendte processer.
● Detektering er platformens evne til at identificere korrumpering af kode og data – og til at give alarm i så fald. Detektering skal udføres af et separat lag, da kompromitteret kode ikke kan være trusted til selvtest og for de relevante data.
● Recovery er systemets evne til at gå tilbage til en korrekt funktion for både kode og de kritiske data.
Under implementering af beskyttelse, detektering og recovery skal et system kunne fortsætte en trusted drift igennem cyberangreb samt under varierende spontane fejl. SP800-193 dækker kun resiliens for firmware og kritiske data. Standarden dækker ikke tab eller ødelæggelse af andre og heller ikke beskadigelse af hardwaren eller fysiske skader på systemet.
Winbond Secure Flash giver modstandsdygtighed efter NIST SP800-193-standarden
Winbonds familie af secure-flash komponenter er designet med modstandsdygtighed i kernen med adressering af de tre grundpiller i SP800-193 gennem sofistikeret logik indbygget direkte i hardwaren i flash-hukommelsen, så der tilbydes det separate lag, som er nødvendigt for at kunne supportere den ønskede resiliens.
Beskyttelse
● Root-of-trust handler om at opretholde integriteten i firmwaren, så den forbliver ”trusted”. Bruger og infrastruktur kan dermed stole på funktionen i firmwaren, så den kan styre systemet korrekt samt verificere autenticitet og integritet af andre dele af firmwaren, før andre dele bliver eksekveret af firmwaren.
● Kryptografisk write-beskyttelse håndterer beskyttelse og opretholdelse af system-firmwaren og kritiske data samt integriteten. Winbonds Secure-Flash-komponenter bruger kryptografisk write-beskyttelse (CWP). CWP gør platformsdesigneren i stand til at beskytte dele af flashen mod erase- eller programmeringsoperationer. Den eneste måde, hvorpå man kan programmere eller slette/erase disse sektorer er via en kryptografisk autentifikationsproces, som kræver kendskab til de kryptografiske keys (nøgler), der er lagret sikkert i en utilgængelig del af flash-hukommelsen. Disse keys er ukendte for en hacker, da de ikke eksisterer som klartekst i systemet. De er designet til at være unikke for hvert system, så en spredt kompromittering af systemerne ikke kan optræde – kun enkelthændelser, der kan stoppes lokalt.
● Autentificerede opdateringsmekanismer. SP800-193 kræver, at system-firmware vil blive rettidigt opdateret med patches, som fjerner eventuelle fremtidige følsomheder. ”193” kræver, at opdateringerne vil ske via en autentificeret opdateringsmekanisme, der sikrer, at opdateringen er autentisk (true-to-source) og fuldstændig (komplet og uændret). Firmware-opdateringer skal være til rådighed som en ”signed digest”, der gør systemet i stand til at sikre sig, at opdateringskoden er ægte, fuldstændig og uændret. Det medfører så et ”hønen-og-ægget”-problem: Hvad nu hvis opdateringsmekanismen er følsom og har brug for patches? Hvis opdateringsmekanismen har følsomheder, der kan give en hacker mulighed for at uploade kompromitteret firmware, hvordan kan man så stole på opdateringsmekanismen?
For at løse dét problem inkluderer Winbonds Secure-Flash en indbygget mekanisme, der giver firmware-opdateringer med autentificering og integritetsbeskyttelse. Oven på disse giver opdateringsmekanismen en roll-back beskyttelse og atomar drift. Denne opdateringsmekanisme tillader, at et nyt firmware-image kan skrives i flash-komponenten bid for bid af hensyn til langsomme eller upålidelige netværk. Når det samlede opdaterings-image er blevet skrevet, vil en secure-flash autentificere det nye image og tjekke, om det er komplet, autentisk og i en version, der er nyere end den eksisterende version i flashen. Hvis disse tjek bliver fuldført med succes, vil en secure-flash udskifte det gamle image med det nye og dermed give systemet en ægte, opdateret firmware. Den samlede proces er fejlsikker og øger platformes modstandsdygtighed yderligere, da processen forhindrer systemhåndtering under opdateringsprocessen, hvis en fejl skulle dukke op.
Detektering
SP800-193 kræver, at systemet vil detektere uautoriserede ændringer i firmwaren og de kritiske data, før de eksekveres eller bruges. Ved detektering af anormaliteter kan systemet udføre en recovery-proces.
● Automatisk integritetstjek initieres i Winbonds Secure-Flash for at undersøge firmware-sektoren under power-up og om ønsket af brugeren. Dette integritetstjek scanner hele firmware-sektoren og leder efter uautoriserede ændringer. Hvis der bliver opdaget uautoriserede ændringer, implementerer secure-flashen en recovery-proces, som beskrevet nedenfor.
● Firmware-initieret dataautentificering er Winbonds Secure-Flash support af en dedikeret hardwarebaseret autentificeringsmekasnime, der autentificerer kritiske data. Denne mekanisme kan initieres af firmwaren for at sikre, at kritiske data ikke er blevet kompromitteret. Mekanismen er baseret på en indbygget SHA-256 engine, der giver ultrahurtig autentificering af store datasæt uden behov for at flytte data fra flashen ind i memoryen.
Recovery
Recovery-mekanismen skal genoprette platformens firmware og kritiske data til en valid og autoriseret tilstand, når systemet har opdaget, at det er blevet kompromitteret.
Automatisk firmware-fallback er en måde, hvorpå Winbond secure-flash supporterer recovery ved at allokere en fallback-sektor. Den indeholder en alternativ firmware, der automatisk kan indsættes i stedet for en kompromitteret firmware, når denne bliver detekteret. Den alternative firmware kan enten være en autentisk kopi af den originale firmware eller en speciel version af firmwaren dedikeret til recovery af systemet fra en kompromitteret tilstand.
Den automatiske firmware-fallback arbejder sammen med det automatiske integritetstjek. Under system power-on bliver firmware-integriteten tjekket internt af flashen. Systemet bliver holdt i en reset-tilstand under denne korte periode. Hvis integritetstjekket fejler, vil flashen automatisk remappe fallback-sektionen i stedet for den kompromitterede firmware-sektor og dermed tillade systemet at eksekvere denne backup-firmware.
Fallback-firmwaren kan enten være en kopi af den autentiske system-firmware, eller den kan supportere recovery i firmwaren – enten fra en lokalt lagret kopi eller via fjernlagring. Fallback-firmwaren er beskyttet af en kryptografisk write-beskyttelse med en unik key dedikeret til denne sektor. En kompromittering af disse keys i andre sektorer vil ikke kompromittere fallback-firmwaren. Det opfylder kravene i SP800-913 for integriteten af recovery-mekanismen.
Recovery af kritiske data tillader i Winbonds Secure-Flash flere beskyttelsesmetoder for hver enkelte sektor. Kritisk data kan enten lagres i to separate sektorer – hver med en unik key – så kritiske data er beskyttet mod kompromittering eller ondsindede cyberangreb. En sikker kopi af data kan derfor lagres lokalt på en beskyttet måde og siden bruges i tilfælde af korrumpering af data.
Kort opridset
NIST SP800-193 beskriver systemkrav for en modstandsdygtig firmware og beskyttelse af kritiske data mod kompromittering fra cyberangreb eller fejlfunktioner. Det kræver et dedikeret beskyttelseslag med rod i en uangribelig kode, der dog kan være meget vanskelig at implementere.
Winbonds Secure-Flash giver det ønskede beskyttelseslag i hardwaren og opfylder dermed kravene som beskrevet i NISP SP800-193. Secure-flash komponenterne fra Winbond er 100 procent drop-in kompatible med standard NOR-flash komponenter. Det medfører minimale designændringer ved konvertering af et system til modstandsdygtighed efter NIST SP800-193.
Billedtekst:
Efter NIST SP800-193 skal netforbundne og kommunikerende produkter beskytte sig selv, detektere anormaliteter og udføre recovery for fortsat drift. Disse funktioner ligger på hardware-/firmware-niveau i Winbonds Secure-Flash-produkter.
