打印
[应用相关]

安全存储

[复制链接]
392|0
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
micoccd|  楼主 | 2021-12-30 09:21 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
敏感数据存储通常的做法是加密存储, 其中密钥的安全存储和使用是关键,需要考虑来自芯片外部和内部的攻击
•外部攻击主要依赖于调试端口访问控制和芯片生命周期管理
•来自芯片内部攻击主要是逻辑攻击,考虑的是软件漏洞可能带来的风险。通常通过硬件隔离机制,避免关键数据被代码任
意访问(包括存在风险的代码)

STM32不同的MCU系列实现安全存储的方式不尽相同
•STM32L0和STM32L4系列带有Firewall硬件单元,配合PCROP,可以将密钥和使用密钥的crypto代码与其余部分的应用代码隔离开,实现密钥的安全存储与使用
•STM32H7带有crypto的型号中,通过使能Security选项字节,结合安全用户存储区、PCROP,以及硬件CRYPT单元密钥寄存器只写特性,在Boot阶段将密钥加载至Crypto硬件单元,跳转到应用程序后密钥不可见,但应用内可以使用CRYPT硬件进行加解密操作。
•STM32WB提供CKS(Customer Key Storage)功能,利用M0+与M4之间的双核隔离特性,在M0+侧提供AES密钥存储功能,M4上运行的应用代码可以使用密钥进行加解密操作,但是无法获取密钥数据本身。
•STM32L5系列支持TrustZone架构,利用TrustZone带来的系统隔离特性,配合HDP,AES硬件单元等实现对密钥的保护,同时在软件上提供基于TF-M软件框架的安全存储服务。
•STM32U5上,除了STM32L5已经提供的功能外,还新增加了HUK和SecureAES,HUK是硬件唯一密钥,出厂已经预置在每一颗U5芯片中,这个密钥直接关联到SAES模块,CPU和DMA都无法访问,提供了一个基于纯硬件的一机一密的密钥安全存储的功能。

关于存储保护相关的硬件特性的更多内容请点击STM32信息安全硬件特性

使用特权

评论回复
发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

104

主题

720

帖子

1

粉丝