1 59 Table of Contents 61 102

EO_495

DIGITAL SECURITY 60 - ELETTRONICA OGGI 495 - GIUGNO/LUGLIO 2021 Questa certificazione garantisce correttezza funziona- le e interoperabilità, non è limitata al mercato USA ma viene riconosciuta a livello globale, per questo motivo è richiesta o desiderata da molte aziende del settore. Se il prodotto finale deve essere sottoposto a certifi- cazione, il fatto di possedere un certificato CAVP per quanto concerne l’implementazione della parte critto- grafica può accelerare in modo notevole il processo. Per questo Renesas si è impegnata a certificare le funzionalità di crittografia integrate nella sua SCE in accordo con il programma CAVP. Molti dei blocchi crit- tografici implementati sono già stati sottoposti a certi- ficazione; AES, SHA e la parte DRBG del generatore di numeri casuali sono già certificate CAVP. Per quanto riguarda la criptazione asimmetrica, SCE offre RSA ed ECC, i quali sono attualmente in procinto di ottenere la certificazione CAVP. Il NIST ha pubblicato sul suo sito la lista dei moduli certificati. Lo standard SESIP Infine, parliamo del Security Evaluation Standard for IoT Platforms (SESIP). Esso è attualmente promosso e pubblicato dal gruppo GlobalPlatfrom , e definisce uno standard di riferimento per la valutazione dei re- quisiti della sicurezza per le piattaforme IoT. L’obiettivo finale è quello di poter essere riutilizzato, per soddi- sfare le specifiche di differenti tipi di prodotti. Nella pratica, i requisiti funzionali comuni sono consolidati nei “profili” SESIP, come Arm PSA L1 per i chip. Sono attualmente in fase di sviluppo mappature aggiuntive per IEC 62443 e altri standard. I componenti della nor- ma IEC62443 sono riportati nella figura 3. SESIP definisce 5 livelli di test, con un crescente livello di controllo. Parte da un primo livello basato sull’auto- valutazione, per poi passare ai test di indagine black- box (per una piattaforma closed-source), in seguito si passa a un’analisi delle vulnerabilità white-box (con un’analisi del codice sorgente limitata nel tempo com- binata con una test di ispezione, anch’esso limitato nel tempo), fino ai livelli più alti, nei quali può essere usato per completare la certificazione SOG-IS. Quest’ultimo include alcuni criteri standard di garanzia di varie com- ponenti e una mappatura specifica. SESIP fonda le sue radici all’interno del programma di certificazione basa- to su criteri standard, il quale ha una architettura simile. Infine, molte certificazioni hanno requisiti comuni per offrire prove riguardo il flusso di sviluppo per le fun- zionalità relative alla sicurezza. Questo implica che, du- rante la fase di design, tipicamente è necessario stilare un piano di sicurezza, il quale definisce un framework per le fasi successive. Oltre alla necessaria analisi del- le minacce e alla stesura delle specifiche relative agli obiettivi di sicurezza, vengono definite le funzionalità di sicurezza (software o hardware), viene eseguita la progettazione in modo sicuro, poi integrata, revisiona- ta e infine testata. Le caratteristiche dell’implementa- zione vengono infine provate prima della pubblicazio- ne della documentazione relativa alla sicurezza e della Fig. 3 – Componenti della norma IEC62443

RkJQdWJsaXNoZXIy Mzg4NjYz