公开金钥加密法护身　物联网设备安全性跃增

    恶意攻击是物联网系统运作的最大风险，轻则使系统瘫痪，重则造成庞大经济损失或危害使用者生命安全；因此晶片商利用公开金钥加密演算法为物联网电子设备建立严格的身分认证机制，以杜绝非法入侵，强化设备运作安全性。

电子设备互连安全是一个意义深远的话题。关于物联网(IoT)安全性的讨论主要涉及两部分内容，本文将先介绍如何识别并进而评估连接设备的安全风险，同时探讨如何为电子设备提供经过验证的安全性能；重点将聚焦于应对措施，尤其是基于公开金钥的演算法。  
第二部分内容将于下期刊载，将关注安全装载及“可信根”的重要性，这是电子设备信任度的基石。文中将演示实施设备安全的便利性，以及如何在现场对设备进行更新。DeepCover安全微控制器(MCU)将做为支持安全性的元件示例，以帮助读者更具体了解保护IoT安全的设计方法。  

装置/网路接取更多元　物联网安全风险飙高 

日常生活被互连电子设备包围得越来越紧密，这个互连网路就是IoT。IoT以及每种可携式安全设备、工业和医疗设备的硬体内部都有软体运作，让日常生活更便利，并能满足用户连线需求、控制家用电器功能、在医疗设备中保护病人的生命安全，以及透过智慧型网路或透过控制发电厂提供公共事业服务(水、天然气、电)。  

安全的个人设备和IoT将大幅改变生活方式，并扩展用户视野和活动范围，帮助人们沟通和消费。制造商和各行各业正开始热烈拥抱IoT，以增强业务效率和资料跟踪(例如工业4.0)。  

举例来说，能源和供水公司现在逐渐认识到远端存取IoT网路的智慧型仪表，可透过资料管理和资料采撷能获得的效率和智慧化管理优势；银行和支付管道开始支持智慧卡快速支付，使用免费(或及其便宜)的触控终端平台，不受时间和地点限制。IoT同样渗透到家庭健康系统--心电图(ECG)监测、血糖分注器、胰岛素泵等，帮助提高人们的生活品质，或为患者和医疗机构节省大量时间和费用。  

据市调机构预测，2018年联网的销售点(POS)系统将达到八千八百万的出货量。显而易见，可连接网路的电子设备具有一定应用价值，但也毫无疑问存在脆弱点。  

利用智慧手机，随时随地飙网已经变得如此方便、舒适，用户早已忘记曾经的56k数据机。但当今的联网设备及暂态访问大千世界的能力也产生信任错觉，使用者应谨记一个悲观但简单的真理：透过网路或IoT的投资、联系、交易也刺激其他不怀好意的破坏者的胃口。  

安全风险来自于竞争对手、单一掠夺者及犯罪组织。前者更倾向于复制技术如智慧型电话或墨水匣技术，往往可藉此节省数年的研发时间。第二种及最后一类则对偷窃支付卡、PIN码、支付终端密码更感兴趣，或透过破坏帐户、远端关断可携式医疗设备进行敲诈勒索。另外可想像一下工厂或医院用于配电的智慧电表被远端攻击而引发的恐怖威胁，无需更多的例子来说明这种严重性，就足以证明我们周围充满安全风险。  

一般来说，利益相关方的风险体现在众多方面。  

·声誉损失：制造商声称是正品的电池在我的笔记型电脑中爆炸了。  

·智慧财产权(IP)损失：我历经5年开发的视频解码器演算法被复制和剽窃了，糟糕的是我因为担心技术泄露没有申请专利。  

·经济损失：我零售连锁店的数十台支付终端被骇，结果发生了虚假交易，以及/或者持卡人的敏感性资料被盗。客户在不断谴责我，我需要找出骇客。  

·商品损失：我刚刚看到网路上公开的关于篡改电表的文章，就有数千名不诚实的用户开始行动，以漏缴电费。  

·健康损失：我的胰岛素泵不能供药了，或供药过多。是谁下命令更改供药时间？  

·丧失关键基础设施的控制权：谁切断了整座城市的照明？  

确保电子装置安全性　完善风险分析不可或缺 

任何电子设备供应商都必须遵循两个目标：第一，提供新型、功能强大且性价比高的电子设备或服务；第二，完全致力于其产品可靠性、职责及安全性。实际上，这是其保证用户、利益关系方及消费者信心的唯一途径。毫无疑问，实现以上目标是业务长远发展的必要条件，但认识到安全风险仅仅是交付安全产品的第一步，每个供应商还须采用并强制实施严格的持续风险分析过程。  

最简单的风险分析过程包括三步骤。首先评估被保护资产、货物的强项和弱点；然后评估所有潜在攻击者并剖析其可能使用的方法；最后，检查任何可能的攻击途径，如果任何一种攻击方法和途径得以实施，都会将设备(资产)置于风险之中。 想像一种可能出现的情景。如果藉由简单的蓝牙(Bluetooth)连接侵入智慧电表，能为某人每月节省20%电费，这就存在巨大的欺诈风险。风险分析之后须采取的措施视情况而定。  

·采取法律/合约保护：这条路通常具有较高性价比，值得使用。设备制造商很容易要求分包商(例如制造工厂)签署一份保密协定(NDA)，并承诺诚实守信。  

·部署技术措施：这些步骤可防止设备被不守信的合作夥伴、分包商及罪犯/遥不可及的攻击者利用。技术措施保证设备的预期行为和功能受制造商控制、封锁和约束，没有人也没有任何东西能够修改预定义的操作或访问保护功能。  

当制造商与供应商签署法律合约并在设备中部署技术措施时，同时也在保护其自身资产，保证设备不受非法篡改及IP剽窃。制造商也保证使用者，也就是你、我的设备安全且可靠工作。  

软体加密让物联网安全更添保障 

上述讨论很有道理，那么，如何在设备中有效部署安全措施呢？其中一个办法是软体加密。以下将讨论如何以加密为工具来保证设备安全，提高制造商和最终用户的信任度和信心。  

既然讨论加密，就不得不提到安全装载；但在此处将不花费大量时间讨论安全装载的内容，因为那是第二部分文章的重点。  

电子设备由安装在印刷电路板(PCB)上的一组电子元件组成，通常包括一个(或多个)运作嵌入式软体的微控制器。软体可以看成数位内容，以可执行的二进位码储存在记忆体中，执行软体的可信度是基本保障，而这种信任建立在安全装载基础上。  

安全装载程式涉及到加密，允许电子设备开始执行合法并可信任的软体，从而进行操作。现在，我们讨论如何凭藉基于公开金钥的签名验证这样的安全装载：  

基于公开金钥的签名验证 

现有公开金钥加密方法能方便、安全地验证数位内容的完整性和真实性。完整性意味着数位内容在建立之后未经篡改；真实性意味着相同数位内容由一个明确、真实的实体发布。这两项基本特征由数位签章机制保证并且是必需的，所以电子设备能够信任数位内容(即二进位码)。  

数位内容完整性由所谓的消息摘要机制保证，也就是安全散列演算法，例如着名的SHA-1、SHA-256及最近颁布的SHA-3。消息摘要就像“超级循环冗余检测码(CRC)”，但输出位元组更多。例如，SHA-256演算法产生32位元组输出，CRC-32仅产生四个位元组，这是安全散列演算法的一项基本特征：根据预定义散列值伪造原始数位内容是不可能的；推论是：两个不同的乱数内容产生两个不同的散列值(两个不同数位内容生成相同散列值的概率几乎为零)。  

如果数位内容的部分位元组被修改，数位内容散列值将发生变化。此外，与CRC不同，在被篡改数位内容上附加一定位元组后，生成的散列值不可能与原始、未经修改的数位内容的散列值相同。因此，采用散列演算法保证数位内容，就不可能私自篡改数位内容。最后，计算散列值与计算CRC类似：无需金钥。  

数位内容的真实性由基于公开金钥的数位签章机制保证(即加密)。公开金钥加密基于一对金钥。任何人均可拥有一对金钥：安全储存的私密金钥(如KPRIV)和向任何人公开的公开金钥(如KPUB)。私密金钥可用于对数位内容进行签名，数位内容的发行方使用其安全保存的私密金钥表示其为发行方；任何人可利用公开金钥验证数位内容的签名，而这两个金钥将绑定在一起。  

实际上，利用KPRIV对内容进行签名会产生数位签章，仅可由KPUB进行成功验证，其他公开金钥无效。相反，如果使用KPUB成功验证某个签名，则可证明只能是由KPRIV签名的，不可能是其他私密金钥。  

生成数位签章两大步骤 
生成数位签章分为两个步骤。第一步包括对数位内容执行散列演算法，生成具有上述特征的散列值；在第二步中，利用自己独有、未公开的私密金钥对之前的散列值进行“签名”。第二步形成的值(签名)附加到原始数位内容。  

现在，任何希望验证数位内容签名的人必须执行以下步骤：第一步，再次对数位内容执行散列演算法，与签名生成过程相同；第二步，与附加在数位内容的签名及公开金钥一起，将产生的重构散列值作为签名验证演算法的输入。如果演算法判断签名真实有效，则证明数位内容与原始数位内容完全相同(完整性)，该数位内容的创作者是真实的(真实性)(图1)。  


图1　数位签章示意图，如何应用和验证。
由于私密金钥只能由私密金钥所有者(而非他人)用于对内容签名，基于公开金钥的数位签章机制非常有效。因此，必须安全、妥善地保管私密金钥。而公开金钥则不须保密，任何人均可验证数位内容的签名。对公开金钥唯一基本要求是可靠，请注意，这里的“公”并不意味着不安全，公开金钥可随意使用的原因是其不提供关于私密金钥的任何资讯，任何人在知道公开金钥的情况下不能计算出私密金钥。此外，公开金钥不允许任何人私自执行可识别操作，例如数位内容签名。  

然而，由于任何人可产生一对金钥，必须有一种机制验证公开金钥所有者的身分。假设公开金钥没有与身份严格绑定，如果用户利用公开金钥成功验证数位内容的数位签章，仍然不可相信该数位内容，因为并不知道谁实际签署该数位内容。 因此，必须全部保证公开金钥完整性、真实性和身分。以上目标可采用不同的方式实现。  

·自我认证：数位内容的接收方从发送方本身接收公开金钥，或者发送方以公开金钥合法来源及所有权不受怀疑的方式发送公开金钥。只要该公开金钥储存在不会受到非法篡改的位置，公开金钥就是可信的(也称为根金钥)。  

·分级认证：该方法中，验证者的层次结构保证公开金钥的来源。公开金钥基础设施(PKI)提供此类层次结构的定义。公开金钥和金钥所有者身份之间的物理联系是一份证书。证书由PKI体系的中间实体签署(即认证机构)。  

假设某人希望拥有经过认证的公开金钥。该人生成一对金钥，并将私密金钥保存在安全、隐蔽的位置；然后，原则上认证机构应与该人实际见面，并仔细核实该人的身分。如果通过认证，将身份资讯(名称、单位、位址等)附加至公开金钥，然后利用认证机构的私密金钥对形成的文档进行签名。这样就将身分资讯永久绑定至公开金钥，形成的签名被附加至证书。  

如果身份资讯、公开金钥值或证书签名中的任何一个要素被篡改，那么经过认证的签名将变为无效，因此该证书包含的资讯将得不到信任。认证机构的私密金钥可由其他认证机构进行认证。  

使用与数位内容所用的相同加密签名认证机制，可验证证书的有效性。证书的签名验证保证证书的完整性和真实性，从而保证证书所含内容的完整性和真实性：公开金钥和身分(图2)。在使用公开金钥之前，必须先使用认证机构的公开金钥验证公开金钥证书的有效性。然后通过使用上级签名机构的公开金钥，确保该认证机构的公开金钥证书也是有效的，依次类推；因此，使用连续认证机构的公开金钥，就会形成一个验证链，直到受信任的根金钥。由于将使用的根金钥是通过方法1获得的，所以是可信的。  


图2　公开金钥和数位内容签名的验证过程。

使用基于公开金钥的签名验证软体 

将公开金钥签名技术应用到软体时，允许设计者执行可信任的二进位码。现在，可简单地将软体做为数位内容，该数位内容的发送方为软体批准人，该人负责软体对设备的有效性；接收方则为电子设备。软体批准人生成一对金钥，并在制造期间一次性将公开金钥装载至电子设备，私密金钥保存在安全位置，在将代码装载至电子设备之前，软体批准人使用其自身的私密金钥对生成的代码进行签名。接下来，在上电时，执行二进位码之前，电子设备可利用预装载的公开金钥对其完整性和真实性进行验证。  

读者可透过下文了解私密金钥、局限性及如何保护等资讯：  

公开金钥管理 

公开金钥不用担心暴露，因此不要求任何防范措施来禁止访问金钥值。与私密金钥不同，公开金钥不需要通过删除/擦除其验证金钥来应对篡改事件，不需要反旁路攻击措施。唯一必需的保护是必需防止金钥替代/更改，或更改软体的行为。所有这些都使设备设计变得更简单。  

由于使用的演算法不包括加密，仅仅是数位内容摘要(即散列演算法和签名验证)，所以演算法不受出口规范管制。注意，最后，数位签章验证演算法(图1)必须仍然足够可靠，以防止蓄意或意外干扰：电源尖峰脉冲、格式化较差的数位内容和数位签章。  

私密金钥管理 

如以上关于公开金钥数位签章机制的介绍中所述，公开金钥加密基于金钥对(由公开金钥和私密金钥组成的一对金钥)。由于私密金钥允许接收设备对内容进行安全认证，所以要安全保管--仅金钥所有者能够对内容进行签名。相反，由于任何人均可验证签名，所以公开金钥可提供给任何人。这样做没有害处或风险。 显而易见，正确管理私密金钥是金钥加密的关键要求。偷得私密金钥的人能对任何可执行代码进行签名，该代码将成功通过电子设备的验证，所以软体批准人必须将私密金钥储存在严格保护的位置，确保没有人能使用金钥(即使未泄露)。  

有些证书，如PCI PTS 4.0，要求使用硬加密模组(HSM)来管理金钥。HSM为防篡改设备，能够安全地生成和使用金钥对，尽管公开金钥可汇出，但对应的私密金钥仍留在HSM中。使用HSM中的私密金钥(例如对数位内容进行签名)，要求之前进行严格的多重验证，对二进位可执行代码进行签名的人须利用智慧卡和PIN码来解锁HSM中的私密金钥。  

根据安全性原则的不同，该操作可能需要两人或多人才能完成。此外，HSM必须保存在保险箱中，最大程度保证不使用时的安全性。该过程确保只有可信人员才能对二进位可执行代码进行签名。  

ECC与RSA加密的优点比较 

数10年来，基于公开金钥的加密一向是RSA演算法。椭圆曲线加密(ECC)创建于几年之前，已经在安全行业崭露头角并得到普及；与RSA相比，基于椭圆曲线加密演算法的签名验证具有相同阶数。其金钥规模小得多，从而减小存储容量。RSA的安全应用现在要求至少2,048位元金钥；RSA金钥需要256位元组，等效的椭圆演算法只有224位元长，金钥仅为28位元组。因此，椭圆加密演算法是保证新设备安全的首选。  

公开金钥加密有助确保IoT完整性 

公开金钥加密避免对制造分包商的安全约束，包括在这些设备中装载软体。由于公开金钥加密不涉及机密，并且能够保证已装载软体的真实性，所以我们得到两者的精华。  

为确保IoT完整性，我们不能允许电子交易、关键系统存在任何安全性漏洞，例如核电站或可植入医疗设备。随着广域通讯标准的蓬勃发展，IoT必须保证金融、工业和医疗设备的安全，故相关设备要求高度信任，本文讨论的安全机制使安全成为可能，且部署简单。