Trotz der zunehmenden Anzahl von Netzwerkangriffen auf IoT-Geräte wird die Firmware-Sicherheit oft an eine untergeordnete Stelle gerückt. Da Angreifer in den Systemstapel eindringen und den Startvorgang und die zugrunde liegende Hardwarekonfiguration ins Visier nehmen, ist die Wahl der Speicherarchitektur zu einer Schlüsselentscheidung beim Aufbau einer überprüfbaren Vertrauenskette geworden.
Um die Firmware-Sicherheit zu gewährleisten, muss daher jede Komponente vor der Ausführung einer Verschlüsselungsprüfung unterzogen werden. Dieser Pfad beginnt mit einem unveränderlichen Bootloader, der für das Laden und Überprüfen der Hauptfirmware verantwortlich ist. Die in jedem Schritt verwendete Speichertechnologie kann jedoch dazu führen, dass die Firmware durch nicht autorisierte Änderungen anfällig ist.
Interner und externer Flash-Speicher
Der physische Standort des nichtflüchtigen Speichers, der zum Speichern der Firmware verwendet wird, ist einer der kritischsten Faktoren bei Gerätebedrohungsmodellen. Firmware-Ingenieure müssen sich zwischen integriertem On-Chip-Flash (eFlash) und externen Flash-Modulen entscheiden, die über serielle Schnittstellen wie SPI oder QSPI verbunden sind.
Eingebetteter Flash-Speicher wird normalerweise direkt in Mikrocontroller oder SoC-Chips integriert. Diese Architektur bietet ein Höchstmaß an physischer Sicherheit, da keine externen Busse zur Verfügung stehen, die von Angreifern manipuliert werden könnten. Sogar der Zugriff auf den internen Flash-Speicher wird durch dedizierte Register und Sperrbits gesteuert.
Darüber hinaus unterstützt der eingebettete Flash-Speicher einen permanenten Leseschutz. Durch das Kurzschließen spezieller Sicherheitssicherungen können Entwickler JTAG- oder SWD-Debugging-Schnittstellen deaktivieren, um zu verhindern, dass Hacker Firmware-Images ändern. Da sich SoCs jedoch hin zu kleineren Knoten bewegen, steht diese Technologie vor erheblichen Herausforderungen bei der Skalierbarkeit.
Im Gegensatz dazu wird ein externer Flash-Speicher außerhalb des Hauptprozessors platziert und kommuniziert über eine serielle Hochgeschwindigkeitsschnittstelle. Diese architektonische Wahl ermöglicht eine einfache Skalierung der Speicherkapazität, erweitert aber auch die Angriffsfläche des Systems. Alle zwischen dem Prozessor und dem externen Flash-Speicher übertragenen Daten sind von Natur aus anfällig für Bedrohungen wie Abhören, Man-in-the-Middle-Angriffe und physische Manipulationen.
Um diesen Risiken zu begegnen, müssen Firmware-Ingenieure solide Hardware- und Software-Schutzmaßnahmen implementieren. Viele externe NOR-Flash-Speichergeräte sind mit einem physischen Schreibschutz-Pin ausgestattet. Wenn der Pin auf eine bestimmte Spannung gelegt wird, verhindert die interne Logik des Chips, dass Lösch- oder Schreibbefehle ausgeführt werden.
Abbildung 1: Der sichere serielle NOR-Flash-Speicher W77Q32JWSSIR TR von Winbond Electronics verfügt über komplexe Kommunikationskanalverschlüsselungsfunktionen. (Bildquelle: Winbond Electronics)
Wenn die Daten jedoch gelesen werden können, reicht es nicht aus, den Flash-Speicher einfach zu sperren. Während der Ausführung haben Angreifer weiterhin Zugriff auf den Adress- und Datenbus. Diese Schwachstelle hat zur Entwicklung spezieller sicherer Flash-Geräte geführt, einschließlich hardwarebasierter Root-of-Trust-Mechanismen, verschlüsselter Kommunikationskanäle und monotoner Zähler, um Rollback-Angriffe zu verhindern.
Wird jedoch die falsche Speicherarchitektur gewählt, hinterlässt das Gerät grundlegende Mängel, die durch Software-Patches nicht vollständig behoben werden können. Beispielsweise sind Designs, die Firmware ohne Verschlüsselung oder Überprüfung auf einem externen EEPROM speichern, immer anfällig für Hardware-Angreifer. Im Gegenteil, die Wahl eines Speichers mit übermäßigen Einschränkungen kann dessen Funktionalität beeinträchtigen.
Daher müssen Ingenieure Best Practices und Designtechniken verstehen, um die Firmware-Sicherheit durch die Speicherarchitektur zu maximieren.
Best Practices für sicheres Firmware-Speicherdesign
Beim Entwerfen eines sicheren Firmware-Speicherpfads vom Start bis zur Laufzeit müssen Firmware-Ingenieure die folgenden Grundsätze befolgen:
1. Hardwarebasierter Vertrauensanker
Die Ausführung muss immer von unveränderlichen Speicherbereichen ausgehen. Beispielsweise sollte das Boot-ROM oder der dauerhaft sichere Flash-Sektor Code zur Überprüfung aller anderen Firmware enthalten. Dadurch wird sichergestellt, dass Angreifer die Verifizierung nicht umgehen können, indem sie das ursprüngliche Passwort manipulieren.
2. Verwenden Sie verschlüsselte Signaturen
Konfigurieren Sie den sicheren Bootloader so, dass nur Firmware-Images ausgeführt werden, die mit vertrauenswürdigen privaten Schlüsseln signiert sind. Selbst wenn Angreifer auf den Speicher zugreifen und Bits ändern können, können sie auf diese Weise nicht autorisierten Code verhindern. Wenn Vertraulichkeit erforderlich ist, kann die gespeicherte Firmware verschlüsselt werden.
3. Nutzen Sie Hardware-Sicherheitsfunktionen
Wenn die Systemarchitektur externen Speicher verwendet, sollten Ingenieure Geräte wählen, die Hardwaresicherheit unterstützen, beispielsweise einen integrierten Passwortschutz oder eine einfache Verschlüsselung. Obwohl diese Geräte möglicherweise nicht so robust sind wie vollständige Sicherheitskomponenten, bieten sie eine weitere Schutzebene.
Abbildung 2: Macronix unterstützt MX25L3233FM2I-08Q 32 MB seriellen NOR-Flash-Speicher mit serieller Peripherieschnittstelle. (Bildquelle: Macronix)
4. Isolieren Sie Firmware und Daten
Organisieren Sie den Speicherbereich und trennen Sie den sensibelsten Code. Platzieren Sie in der MCU kritische Routineanweisungen in einem sicheren Speicherbereich. Sogar Firmware kann, sofern sie von der Hardware unterstützt wird, bestimmte Flash-Speicherbänke als nur ausführbar oder schreibgeschützt markieren.
5. Sicherheits-Firmware-Aktualisierungsplan
Stellen Sie sicher, dass der Update-Prozess selbst validiert ist (z. B. indem das Update-Paket signiert werden muss). Wenn das Design externen Speicher für temporäre Updates verwendet, sollten dieselben Sicherheitsmaßnahmen wie beim Haupt-Firmware-Speicher angewendet werden.