啥都吃的豆芽 · 2020年05月25日

Arm获得软处理器IP的首个高保证通用标准安全认证

image.png
Asaf Shen
2020年4月17日

据估计,到2021年,与网络犯罪相关的报告成本将达到6万亿美元。这只是网络安全问题。随着部署的设备越来越多,无论它们是否连接,都会受到各种类型的攻击的威胁,无论是软件攻击、物理攻击还是通信攻击。

因此,ARM致力于在整个物联网设备范围内提供可信、简化的安全路径。由于这一承诺,ARM已经对Cortex-M33和Cortex-M35P软处理器进行了全面的评估。除了审查开发流程之外,还评估了安全功能(在RTL级别实施):

  • 两个处理器的TrustZone和内存保护单元(MPU)。
  • Cortex-M35P中提供的特定安全功能,可解决一些通常需要接近目标设备的额外攻击(我们在本博客中也将这些安全功能称为“物理安全”)

这两款处理器及其安全功能均已通过EAL6+认证,符合通用标准国际标准组织15408标准。

这一认证在安全保障领域是独一无二的,对ARM和整个行业来说都是一个重要的里程碑。随着设备的功能不断增强,攻击面不断扩大,攻击者的复杂程度不断提高,对设备的基础-软处理器IP级别-应用公正的第三方评估(以认证过程的形式)比以往任何时候都更加重要。ARM IP的认证是在Verilog硬件描述语言上进行的,它为许多应用领域提供安全保证和价值,在这些领域,SoC和设备制造商寻求认证完整的产品(从旨在实现入门级安全和保证的设备到旨在实现最高级别安全的设备)。

让我们深入了解细节,以便更好地理解认证是什么,以及这对行业意味着什么。

什么是通用标准?

“信息技术安全评估通用标准”(简称“通用标准”或“CC”)是定义计算机系统安全评估方法的国际标准。简而言之,此框架定义了一种标准方法,用于根据相关的安全要求对计算机系统的实现进行评估。这一切都是关于保证-给每个人一个工具来评估和比较半导体领域产品的安全水平。

CC框架定义了许多需要审查的方面,包括:

  • 从物理和IT角度与开发环境相关的方面。
  • 沿着开发链和生成的文档跟踪需求的方式。
  • 功能测试。
  • 漏洞分析和测试。
  • 在manufacturing的不同阶段的安全保障。
  • 产品用途

CC评估的结果是由政府机构颁发的证书,该证书验证产品符合实施者提出的声明,并证明特定的评估保证级别(EAL),表明评估过程的彻底性。共有七个评估保证级别,从EAL1到EAL7,EAL7是最高级别(只有一个这样的EAL7证书在“集成电路、智能卡和与智能卡相关的设备和系统”类别下发布)。对于安全而言,这条链条就像最薄弱的一环一样坚固。Cortex-M33和Cortex-M35P处理器及其功能提供经EAL6+级别认证的精心设计的安全产品。

由于其综合性,通用标准评估在诸如身份证、银行和SIM卡等高安全性、高保证的认证中非常普遍。还有其他评估方法,如PSA认证,这是一个在非监管市场获得更广泛安全认证的重要势头的框架,也映射到关键的政府指导和立法。

image.png

如今,我们看到跨多个应用和用例(如移动用户隐私、有线和无线通信协议等)所需的安全级别显著提高。这导致在银行和SIM卡等传统产品之上,需要对各种产品进行全面、公正的安全评估。

如今,这些安全评估是针对完整的产品(如SoC)进行的,这些产品通常由不同的IP块组成。在不同的SoC和不同的SoC设计中使用这些IP块的相同副本。

为此,ARM通过了严格的CC评估,采用了Cortex-M33和Cortex-M35P处理器及其安全功能。

这两个产品都被认证为软宏,也就是说,认证是在超高级描述语言(VHDL)上执行的。要使ARM达到这一里程碑,这些处理器的功能的设计和实现必须是彻底和极其全面的。Cortex-M33和Cortex-M35P上的TrustZone和MPU都在体系结构级别使用正式的方法进行了验证。评估还验证了RTL实现是否完全符合体系结构定义。通过FPGA测试验证了Cortex-M35P评估的物理安全功能。此方法允许希望在自己的产品认证中使用这些ARM处理器的ARM合作伙伴重用ARM认证的评估结果(例如,在设计、集成和漏洞评估方面)。

ARM评估的一个关键结果是能够为IP的集成提供正确的指导,并描述重用的限制。必须严格遵循ARM文档,并与负责最终SoC认证的评估实验室和认证机构密切合作和沟通。

这些ARM处理器实施的评估是由Brightsight进行的,该独立实验室被认可为按照CC框架的要求对SoC进行CC评估。然后,我们完成了完整的认证,让荷兰CC认证方案NSCIB(认可的认证机构)认证评估,并以通用标准证书的形式收到对达到的安全级别的正式确认

image.png

Arm生态系统如何使用此认证?

该认证进一步验证了ARM的安全努力,并对Cortex-M33和Cortex-M35P处理器的安全功能(包括在这两个产品中实现的TrustZone安全扩展和MPU)以及在Cortex-M35P中实现的物理安全功能的质量提供了信誉验证。更重要的是,对于正在使用这些处理器并希望认证其硅产品的ARM合作伙伴来说,这一成就具有实实在在的好处。

ARM合作伙伴可以重复使用这些软处理器IP评估的结果,并通过用于安全评估的“复合模型”实现SoC级别认证的时间和成本节约。这允许评估过程利用用于创建更广泛的评估目标的构建块的评估结果。这种方法已经在应用程序级认证中广泛使用,在这种情况下,总体产品评估利用底层硬件的现有认证,允许评估与硬件“组合”完成,重点放在最终产品的开发人员稍后添加的软件上。因此,虽然ARM合作伙伴将需要在SoC级别添加安全功能,并且仍需要对最终产品(SoC)进行全渗透测试,但软IP评估将允许SoC评估将重点放在被评估硬件的物理行为上。

当软IP在ARM合作伙伴产品的开发过程评估方面获得认证时,还存在其他优势。软IP生命周期和交付流程的ARM认证为该IP的完整性提供了保证,再次节省了完整产品(SoC)认证期间的时间(得益于结果重用)。ARM认证的优点并不仅限于此,因为处理器软IP评估验证了ARM提供的指导文档的覆盖范围。完整的指导有助于SoC开发人员(ARM合作伙伴)以安全和正确的方式集成IP,并帮助SoC评估员快速验证处理器的正确实现。

对ARM Cortex-M软处理器IP的认证是向使业界能够开发可信赖的高性价比安全解决方案迈出的一步。半导体公司现在有了一条通向获得其SoC设计的高保证认证的明确途径。Proven&Run将带来整个解决方案的另一个组成部分,利用它的安全操作系统ProvenCore,它已经获得了针对基于ARM Cortex-A的设备的Common Criteria EAL7认证,也可用于Cortex-M处理器。我们对ARM生态系统中的这些新发展感到非常兴奋。“。为基于Cortex-M的设备提供现成软件解决方案的组织Proven&Run的总裁兼创始人Dominique Bolignano说。

寻求不同于通用标准的评估的合作伙伴也可享受这些优势。例如,它将加快实现PSA认证计划中概述的未来保证级别的道路,该计划正迅速被在更广泛的物联网空间中构建支持TrustZone的微控制器的硅合作伙伴采用。

同时,Brightsight正式审核了我们的相关开发站点,NSCIB确认其符合最低站点安全要求(MSSR)。寻求使用我们处理器的产品认证的合作伙伴可以利用获得的ARM MSSR现场认证,因为这消除了他们安排ARM开发现场审核的需要,并可节省成本和时间。

Arm将如何提供所有这些好处?

Arm向我们的合作伙伴提供了针对这些处理器的可单独分发的可交付产品的安全软件包。这些软件包包括:

  • 一个安全指南文档,涵盖针对Cortex-M33和Cortex-M35P的TrustZone和内存保护,以及针对Cortex-M35P的其他一组防篡改功能
  • 由产品供应商(Arm)开发的安全目标文档,涵盖了特定的实施细节。
  • 验证方法计划和摘要报告
  • 针对Cortex-M33和Cortex-M35P的CC认证评估材料
  • MSSR证书

我们很高兴成为第一家也是唯一一家成功通过SoC认证软处理器IP的公司,从而帮助我们的合作伙伴获得完整设计的高保证认证。开新门永远是挑战,也是巨大的机会。当今的安全挑战以及创新,安全的产品投放市场的速度要求采用这种方法,从IP层开始建立信任。

推荐阅读
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息