本文摘自牛咖网文章 HSM为其他应用程序提供密钥管理和加密功能。 TEE它还提供了在其隔离环境中执行应用程序(或应用程序的安全相关部分)的功能。 常规执行环境 (REE)是TEE社区中的术语用于表示设备中的特定性TEE所有其他内容。 在集成HSM软件架构如下:
HSM为安全任务提供加密服务。 REE安全任务提供数据,HSM数据可以接收、加密或解密,然后返回REE任务发布者。
在Android上述设备HSM通常由TEE中的TA代替,实现Keymaster功能和Android特定REE而不是堆栈OpenSSL/PKCS#11。 对于上述情况,即使在发动机控制器中(ECU)简单的常规OS,也专门写了通用TA提供典型的得到HSM功能。
TEE不需要像HSM作为固定用途的服务提供商,它也可以直接处理任务。
在这里,我们将任务转移到这里TEE中,可以在REE未加密数据在活动无法访问的地方操作。 举个例子: – 设备通常支持其他任务,如复杂的通信协议(如CAN总线、IP、蓝牙甚至5G )。 – 具体的安全任务可能或不使用这些通信机制。 – 将安全任务放置在与通信软件隔离的地方(例如,在TEE通信软件中的安全问题不再拖累安全任务的安全性。 一些HSM可通过专有扩展加载代码执行,但符合要求GlobalPlatform的TEE使用标准化接口作为一个接口TEE开发任务可以在另一个任务中TEE上执行。在TEE这类任务被称为信任应用程序。
HSM不能直接保护传感器数据或控制执行器I/O端口免受软件攻击,如汽车ECU的REE。
与HSM正确设计不同SoC上,TEE还可以与外围设备连接。这样就可以创建一个安全的任务,安全地存放在TEE可用于显著提高关键任务的安全性。
以汽车燃油节流阀为例。ECU上的油门I/O接触控制端口REE软件中,那么使用HSM的REE安全任务带来多少安全并不重要;REE如果你对自己的安全有很高的信心,你就不会使用它HSM,所以不确定REE软件不会受到攻击。 如果REE容易受到攻击,这意味着受到攻击REE软件可能未经授权访问I/O端口,无论HSM有多好。 在TEE(就像在HSM在中间,我们没有担心软件任务与安全无关。TEE任务可以连接到硬件控制端口,没有被其他软件未经授权访问的风险。 如果上面的例子中只有一个HSM,所以我们能做的就是保护设备的数据流,而不是设备中的决策。TEE,两者兼得。
正如我们在上面看到的,使用HSM的一个问题是在发生加密之前数据通信的暴露。 – 这将影响软件中的数据HSM在有机会采取行动之前,你可以通过损坏REE提取或修改数据。
– 这也会影响硬件攻击面。
从根本上说,设备集成HSM可以使用SoC硬件方法保护其密钥不被提取,这比TEE密钥更强大。然而,将数据传输到HSM保护这些密钥的方法并不比TEE更强,可能要弱得多。 考虑以下与PCB连接的HSM与典型的TEE相比之下,后者将使用堆叠芯片(包装上的包装)来保护其更高的速度流量:
如上所示,更强TEE甚至不能使用外部RAM,而是使用SoC RAM。
在这种情况下,使用TEE提供传统HSM该功能的优点是显著减少了未受保护数据的曝光,从而提高了平台的整体安全性。 最后,如果您担心密钥提取,无论使用它TEE还是HSM,建议设计保持较小的密钥尺寸。 值得注意的是,在EVITA 有些标准HSM类型与REE在同一个SoC在这些情况下,它们的硬件保护方法通常是TEE一样。