PSA 3 级认证是什么及其重要性

Silicon Labs 3的 PSA 认证级别

Silicon Labs 最近通过著名的平台安全架构 (PSA) 获得了最高级别的认证（参见新闻稿）。3 级 PSA 认证旨在为具有强大安全功能的物联网芯片提供实验室评估，对瞄准连接设备的芯片供应商来说，是一个重要的里程碑。我们实际上是率先实现这一目标的芯片供应商，但它意味着什么，为什么任何设备制造商都应该关注？

什么是平台安全架构 (PSA) 认证？

在 Arm 开发 PSA 认证并与全世界分享之前，主要由每个芯片供应商开发自己的安全系统。当然，这导致在描述不同解决方案时出现不同程度的鲁棒性和令人困惑的术语。作为回应，Arm 花了几年时间与半导体领域的安全专家交谈，并提出了一个通用架构，将所有这些好想法都纳入到一个单独的安全架构规范中，他们将这些架构命名为“平台安全架构”，其使命是在安全的微控制器中提供他们所称的“硬件信任根”。

“硬件信任根”理念的一些租户是职能部门，包括：

• 安全启动，确保芯片上运行的初始代码是可信的
• 密钥等安全存储
• 用于更新安全可信代码的安全方法
• 安全隔离安全代码与非安全代码库的方法
• 可靠的加密技术
• 安全调试端口

解释 PSA 认证级别

如果 Arm 止步于此，客户仍然会接受芯片供应商关于其 PSA 实施的说法。Arm 认识到了这一点，并创建了 PSA 认证流程。他们成立了 psacertified.org，安全认证行业的其他巨头也加入了进来，包括 Brightsight、Riscure、UL Security Solutions 和 TrustCB。

PSA Certified 的首要任务是编写简化的保护配置文件，首先将 PSA 架构作为基本要求，然后在此基础上添加保证级别。保护配置文件定义了供应商在特定组件中声称的“什么”安全性。保证级别仅指评估或测试保护配置文件中安全功能的级别或程度。

1 级 PSA 认证

因此，PSA 认证部门准备创建三个单独的文档。第一种是他们所称的 1 级调查问卷，它是对供应商如何达到 PSA“信任根”的自我评估。本调查问卷提交给 TrustCB 进行审核，以防止操纵。另外两份文件是针对软件和物理攻击的两个不同保证级别的保护配置文件。

2 级 PSA 认证

到目前为止，最常见的攻击是软件攻击，可以是本地攻击（设备在您手中），也可以是远程攻击（您通过某种通信介质有线或无线连接到设备）。PSA 2 级保护配置文件专门针对可扩展的软件攻击，并详细说明了防止此类攻击所需的安全功能。PSA 2 级不仅仅是一份调查问卷，还需要独立第三方实验室花费特定时间，并尝试使用各种方法来打破规定的 2 级安全功能。

3 级 PSA 认证

PSA 3 级增加了硬件攻击（无论是本地攻击还是远程攻击），这些攻击历来需要更多时间、经验和更昂贵的设备来执行。因此，如果本地硬件攻击不如软件攻击那么常见，那为什么 Silicon Labs 或任何其他供应商要费尽周折获得这种高级别认证呢？答案是，市场上有一些工具可以通过降低物理攻击所需的经验和设备成本，有效地消除了这两个障碍。例如，NewAE 有一款名为 ChipWhisperer 的产品，您只需花费 3,800 美元就能获得入门套件，该工具包可以通过在设备中窃取用于加密操作的密钥，从而进行一些非常有效的旁路分析攻击。这家公司还以 3,300 美元的价格销售一款名为 ChipShouter 的工具，这是一种廉价的 EMF 故障注入工具，它可能导致产品中的软件出现故障（通常称为故障攻击），并允许在产品中注入恶意软件或执行解锁锁定调试端口的操作。我确信在暗网上还有更先进的工具，甚至更致命，这些只是任何人都可以轻易买到的工具示例。

对物理攻击不采取行动的安全风险越来越大

有了这些相对便宜的工具，犯罪集团很容易对品牌、生态系统或公司的利润造成严重损害。如果你是有组织的网络罪犯，一种简单的赚钱方法是窃取公司的知识产权，并将其出售给拥有资源制造这些设备仿制品的人。据估计，网络上销售的消费电子设备中有 10% 是假冒伪劣品，包括 Wi-Fi 路由器等复杂的设备。公司试图通过锁定调试端口来防止 IP 被盗，以防止有人直接转储产品的全部内容。借助 ChipShouter 工具，您只需对锁定调试端口和吊杆的软件执行故障攻击，所有 IP 就会溢出。

另一个例子可能是，您为生态系统制定了复杂的认证程序，以防止流氓设备或伪造设备加入您的网络。这需要设备中的安全身份和安全握手来验证您的设备是否真实。借助 ChipWhisper 和真正的设备，您可以窃取该秘密身份并轻松克隆设备。

Silicon Labs 的物联网安全

Silicon Labs 致力于预测客户的安全需求，并在它们成为问题之前加以解决。因此，我们采用了 PSA 架构并获得了最高级别的认证，以创造能够主动领先于这种“网络黑手党”的产品，而不是在遭受严重破坏后被迫做出反应。

有关 Silicon Labs 如何确保物联网安全的更多信息，请访问 silabs.com/security。