EMB_82

EMBEDDED 82 • NOVEMBRE • 2021 40 HARDWARE | SECURE ELEMENT la loro estrazione remota. Idealmente, le chiavi crit- tografiche sono conservate in un elemento sicuro che impone un confine isolato e sicuro in modo che le chia- vi non vengano mai esposte. Questo non è un compito banale. L’intera progettazione richiede protezione da manomissioni e la protezione contro gli attacchi di in- tercettazione come side channel analysis. Il proteggere adeguatamente la chiave in questa modalità richiede un alto livello di competenza in materia di sicurezza. Inoltre, ciò estende i tempi di sviluppo della soluzione IoT. Ma non è una responsabilità che si può evitare, proteggere la chiave è una pratica di sicurezza di vitale importanza ed è quindi da implementare. Fortunata- mente, per i produttori sono disponibili elementi sicuri, come la tecnologia Microchip ATECC608, con i livelli di protezione richiesti. Sebbene tali componenti esistano, permangono pro- blemi con l’uso della gestione delle identità offerta dall’hardware. La necessità di applicare l’identità si- cura in modo tale che non possa essere compromessa da un utente malintenzionato dotato di risorse non è stata facile da raggiungere per la maggior parte dei produttori, integratori di sistemi e fornitori di servizi. L’approccio convenzionale consiste nel configurare un elemento sicuro nell’hardware durante la produzione con le chiavi private appropriate. Tuttavia, le conside- razioni sulla logistica della supply-chain hanno gene- ralmente limitato l’uso di questo approccio alle grandi implementazioni. Fornire a ciascun dispositivo un’i- dentità sicura significa personalizzare il processo di produzione: un’impresa costosa a meno che la perso- nalizzazione non venga ammortizzata su un volume di unità elevato in modo che il costo per dispositivo ne sia solo minimamente influenzato. Tuttavia, ora è possibile fornire la configurazione de- gli elementi di sicurezza richiesta in modo conveniente anche con un MOQ (minimum order quantity) di sole dieci unità, preconfigurandoli ed eseguendo il pre-pro- visioning per i dispositivi IoT. Con questo modello, che è supportato dalla Trust Platform di Microchip, anche una semplice telecame- ra di sorveglianza IoT di base, un gateway, un condi- zionatore d’aria o un’applicazione simile possono esse- re protetti da certificati device-generic pregenerati che vengono bloccati all’interno di un elemento sicuro per l’autenticazione Cloud autonoma all’on-boarding. Il co- sto totale per dispositivo, per la fornitura di questo archi- vio di chiavi sicure basato su hardware con un certificato generico è inferiore a quello che può offrire un qualsiasi fornitore di servizi PKI di terze parti e autorità di certifi- cazione, e l’approccio riduce significativamente la com- plessità e il time-to-market. L’elemento sicuro nella Trust Platform Microchip, archivia i dati segreti, comprese chiavi e certificati che sono stati generati durante la produzione all’interno degli stabilimenti protetti dell’azienda e non vengono mai esposti durante il processo di provisioning sicuro