. : New eShop! - Mobilní verze - Pandatron.cz - Pandatron.sk - Diskuzní fórum - Zakázkový vývoj : .
 
Zabezpečení konfigurace obvodů FPGA
20. června 2013 - 8:44 | Pandatron | Zabezpečení konfigurace obvodů FPGA | Komentářů: 0  

Zabezpečení konfigurace obvodů FPGA

Zveřejněná aplikační poznámka společnosti Altera popisuje využití bezpečnostních funkcí obvodů FPGA 40 a 28 nm generace před kopírováním, reverzním inženýrství či manipulací s konfiguračními soubory.

Společnost Altera zveřejnila zajímavou aplikační poznámku, popisující využití bezpečnostních funkcí v obvodech Altera FPGA řady 40- a 28 nm procesu k ochraně uživatelské aplikace. Dostupné funkce mají za cíl chránit uživatelskou aplikaci – konfiguraci FPGA před neoprávněným kopírováním, reverzním inženýrství či manipulací s konfiguračními soubory.


Tab. 1: Podporované obvody

V dnešním rychlém a stále více konkurenčním prostředí je důležitým faktorem každého konstruktéra ochrana svého návrhu před neoprávněným kopírováním. Je přitom lhostejné, jedná-li se o aplikaci do vojenského zaměření, nebo zařízení pro spotřební průmysl. Ruku v ruce s tím, jak obvody FPGA začínají hrát hlavní roli ve stále větším počtu důležitých systémových komponent, je stále důležitější věnovat určité prostředky i pro ochranu před neoprávněným kopírováním, reverzním inženýrství či nežádoucí manipulací. Jednou z možností, kterou lze tyto otázky v obvodech FPGA řešit, je průchod konfiguračního bitstreamu dešifrovacím blokem se standardním šifrovacím algoritmem AES (Advanced Encryption Standard) 256 bit.

Největší problém totiž vzniká právě při samotném provozu obvodů FPGA. Ty totiž svou konfiguraci ukládají obvykle pouze do buněk (volatile) SRAM. To ale znamená, že buňky SRAM musí být naplněny konfigurací obvodu pokaždé, kdy dojde k jeho zapnutí. V typické aplikaci je tedy celá konfigurace FPGA obvodu uložena v externím paměťovém zdroji, jako je například paměť typu flash nebo jiný konfigurační prvek. Je jasné, že takto přenášená data z konfiguračního zdroje do FPGA lze velice snadno zachytit a následně použít ke konfiguraci například klonu uvedeného zařízení.

Jedním z řešení, které obvody FPGA nabízejí, je dostupnost integrované volatile a non-volatile paměti, určené pro uložení šifrovacích klíčů. Klíče jsou přitom do FPGA uloženy při použití konfiguračních funkcí při návrhu zařízení. V závislosti na bezpečnostním režimu pak mohou při zapnutí obvody pracovat s konfiguračním souborem, zašifrovaným stejným klíčem, nebo mohou, například při testování po výrobě, přijmout normální, nezašifrovaný konfigurační soubor.

Konstrukce uvedené bezpečnostní funkce je možná při konfiguraci FPGA pomocí rychlého pasivního paralelního režimu (FPP) externím obvodem (např. MAX® II, MAX V, nebo libovolným mikroprocesorem). Zároveň je také možné použít aktivní sériové (AS) nebo pasivní sériové (PS) konfigurační schéma.


Obr. 1: Architektura a základní vlastnosti obvodů Stratix V FPGA

Více informací k tomuto tématu je dostupných k částech Configuration, Design Security a Remote System Upgrades příslušné technické dokumentace daného obvodu.

Bezpečnostní šifrovací algoritmus (AES)
Moderní FPGA obvody mají přímo na svém čipu vyhrazen prostor pro dešifrovací blok, který k dešifrování konfiguračních dat používá algoritmus AES a uživatelsky definovaný, 256 bitový klíč. Ten je nutné do dešifrovacího bloku zapsat jako první, ještě před vstupem konfiguračních dat.

Algoritmus AES představuje symetrickou blokovou šifru, zpracovávající data po 256 bitových blocích. Šifrovaná data procházejí sérií transformací, obsahujících bitové záměny, přesuny a posuvy dat a samozřejmě aplikaci příslušného klíče.

FPGA k tomuto účelu obsahují AES Decryptor blok, který umožňuje použití algoritmu AES i pro dešifrování konfiguračních dat po zapnutí obvodu. Pokud není bezpečnostní funkce vyžadována, je samozřejmě blok AES odpojen z činnosti. Integrovaný blok AES je ověřen a schválen jako vyhovující normě Federal Information Processing Standards FIPS-197.

Více informací o AES je dostupných v dokumentech Federal Information Processing Standards Publication FIPS-197 nebo AES Algorithm (Rijndael) Information na http://csrc.nist.gov. Zájemcům je rovněž k dispozici zpráva Advanced Encryption Standard Algorithm Validation List, vydaná National Institute of Standards and Technology (NIST).


Obr. 2: Schéma průchodu konfiguračních dat

Non-Volatile a Volatile Key Storage
Obvody FPGA nabízejí pro uložení šifrovacích klíčů jak volatile, tak non-volatile paměťový prostor. Je jasné, že uchování klíče v paměti SRAM vyžaduje použití záložní baterie, ale zároveň umožňuje jeho libovolnou změnu. Naproti tomu uchování v non-volatile paměti umožňuje naprogramování pouze jediného klíče, ale paměť nevyžaduje záložní baterii. Svůj obsah si tedy uchová i po odpojení napájení.

V případě uchování dešifrovacího klíče v integrované paměti SRAM se nejčastěji používají lithiové knoflíkové baterie typu BR1220 (–30°C až +80°C) a BR2477A (–40°C až +125°C).

V tab. 1 je srovnání základních vlastností volatile a non-volatile datového úložiště.


Tab. 2: Srovnání volatile a non-volatile paměti

Více informací k zabezpečení a šifrování konfiguračních dat, včetně popisu přípravy krok za krokem, získáte v dokumentu Using the Design Security Features in Altera FPGAs (AN-556-2.0) společnosti Altera.

Odkazy & Download:
Domovská stránka výrobce
Přehled distributorů a kontaktů
Using the Design Security Features in Altera FPGAs (AN-556-2.0)







GooglePlus1 FaceBook Twitter del.icio.us DiGG Google StumbleUpon Google Buzz Email RSS PDF Tisk

Komentáře:
Název příspěvku: Vaše jméno: host
                 
  Zakázat formátování [Zakáže kódování a nahrazování smajlíky.]
Připojit soubory
reklama:
PU232F - převodník USB-UART, modul
Modul s obvodem CP2102 od Silicon Labs - převodník USB-UART pro vývoj a malosériovou výrobu.
Skladem od 290 Kč

Informace uvedené v článcích jsou platné v době jejich vydání a samotné články jsou určeny pouze jako zdroj informací. Autor článku ani správce webu nenesou žádnou zodpovědnost za případné újmy na majetku a zdraví. Názvy společností a výrobků, loga a další multimediální materiál mohou být ochrannými známkami příslušných společností.
RSS kanály: | |
+420 723 846 377
info@pandatron.cz
Všechna práva vyhrazena | mobilní verze | © Copyright 2000 - 2016 ISSN 1803-6007