芯安全 新發(fā)展 | 國(guó)民技術(shù)可信計(jì)算再上新臺(tái)階
8月11日,為期三天的密碼與安全行業(yè)盛會(huì)--“2023商用密碼大會(huì)”在鄭州國(guó)際會(huì)展中心降下帷幕,國(guó)民技術(shù)攜帶近40個(gè)優(yōu)秀安全應(yīng)用案例參展,全面展示了國(guó)民技術(shù)“芯安全 新發(fā)展”成果。首次亮相的可信計(jì)算NS350系列TCM2.0密碼安全新品等可信計(jì)算相關(guān)產(chǎn)品與應(yīng)用案例在展會(huì)上尤為受到關(guān)注。
本文引用地址:http://2s4d.com/article/202308/449763.htm中國(guó)可信計(jì)算核心推動(dòng)者
國(guó)民技術(shù)是中國(guó)可信計(jì)算芯片產(chǎn)業(yè)的主要?jiǎng)?chuàng)建者與核心推動(dòng)者,發(fā)起并主導(dǎo)制定了中國(guó)可信計(jì)算標(biāo)準(zhǔn),同時(shí)參與了可信計(jì)算國(guó)際標(biāo)準(zhǔn)的制定,是國(guó)際可信計(jì)算產(chǎn)業(yè)唯一來(lái)自中國(guó)的核心產(chǎn)品與服務(wù)商。產(chǎn)品支持Intel、AMD、高通等國(guó)際及國(guó)內(nèi)主流計(jì)算平臺(tái)應(yīng)用,與Intel平臺(tái)可信啟動(dòng)無(wú)縫配合,完整支持微軟Windows可信應(yīng)用。
早在2007年,國(guó)民技術(shù)就推出了全球第一款TCM可信計(jì)算芯片SSX44,該芯片支持SM2、SM3、SM4等商用密碼算法,符合TCM1.0標(biāo)準(zhǔn)要求。
2013年,國(guó)民技術(shù)第二代TCM可信計(jì)算芯片Z32H320TC問(wèn)世,該芯片兼容TPM2.0國(guó)際標(biāo)準(zhǔn)(TPM2.0 Spec 1.16)。
2014年,國(guó)民技術(shù)可信計(jì)算產(chǎn)品開始進(jìn)入國(guó)際主流企業(yè),Microsoft、Lenovo、DELL在國(guó)內(nèi)機(jī)型上配置國(guó)民技術(shù)可信計(jì)算產(chǎn)品,支持中國(guó)以及全球可信應(yīng)用。
2015年,國(guó)民技術(shù)配合國(guó)家成功推動(dòng)應(yīng)用我國(guó)商用密碼算法體系的可信計(jì)算標(biāo)準(zhǔn)正式成為ISO/IEC 11889國(guó)際標(biāo)準(zhǔn),這是我國(guó)商用密碼算法首次被ISO國(guó)際標(biāo)準(zhǔn)采納。
2017年,國(guó)民技術(shù)量產(chǎn)第三代可信計(jì)算芯片Z32H330TC,該芯片兼容TPM2.0(TPM2.0 Spec 1.38),提供SPI接口,支持主動(dòng)度量,可用于搭建基于TCM/TPM/TPCM等可信計(jì)算架構(gòu)的應(yīng)用平臺(tái)。
2023年,國(guó)民技術(shù)推出第四代可信計(jì)算芯片NS350并將于年底量產(chǎn),該芯片支持TCM2.0標(biāo)準(zhǔn),同時(shí)兼容TPM2.0標(biāo)準(zhǔn)(TPM2.0 Spec 1.59)。
中國(guó)標(biāo)準(zhǔn)可信計(jì)算產(chǎn)品進(jìn)入“雙商密認(rèn)證”新時(shí)代
可信計(jì)算芯片屬于密碼安全芯片,需要符合商用密碼產(chǎn)品認(rèn)證安全芯片檢測(cè)認(rèn)證相關(guān)標(biāo)準(zhǔn)要求,國(guó)民技術(shù)TCM安全芯片始終維護(hù)商用密碼產(chǎn)品認(rèn)證安全第二等級(jí)認(rèn)證證書,已成為產(chǎn)業(yè)的標(biāo)準(zhǔn)要求,可提供防止側(cè)信道攻擊、側(cè)信道分析和故障注入等物理現(xiàn)場(chǎng)攻擊的能力。隨著可信密碼模塊產(chǎn)品類別進(jìn)入商用密碼產(chǎn)品認(rèn)證目錄,可信計(jì)算芯片還需要滿足TCM 2.0安全協(xié)議標(biāo)準(zhǔn)要求,提供防止字典攻擊、重放攻擊、中間人攻擊等安全特性,以及滿足密碼模塊對(duì)于權(quán)限訪問(wèn)控制等應(yīng)用安全要求。國(guó)民技術(shù)Z32H330TC芯片即將獲得可信密碼模塊第二安全等級(jí)商用密碼產(chǎn)品認(rèn)證證書。從此中國(guó)標(biāo)準(zhǔn)的可信計(jì)算單芯片進(jìn)入了“雙商密認(rèn)證”、“雙商密二級(jí)”的新時(shí)代。
國(guó)民技術(shù)可信計(jì)算產(chǎn)品方案特點(diǎn)
國(guó)民技術(shù)可信計(jì)算系列產(chǎn)品符合TCM標(biāo)準(zhǔn),兼容TPM國(guó)際標(biāo)準(zhǔn),產(chǎn)品獲得商用密碼產(chǎn)品型號(hào)證書,技術(shù)性能、功耗等指標(biāo)方面在國(guó)內(nèi)、國(guó)際處于領(lǐng)先水平,同時(shí)還通過(guò)了多個(gè)第三方檢測(cè)機(jī)構(gòu)測(cè)試。產(chǎn)品具有如下技術(shù)優(yōu)勢(shì):
· 單芯片實(shí)現(xiàn)可信密碼模塊(TCM), 兼容TPM標(biāo)準(zhǔn)(不同固件版本)
· 基于國(guó)民技術(shù)32位安全技術(shù)架構(gòu)平臺(tái)
· 內(nèi)置TCM固件與大容量數(shù)據(jù)Flash
· 集成硬件非對(duì)稱加密引擎、硬件對(duì)稱加密引擎、雜湊算法硬件加速器
· 具有存儲(chǔ)加密、復(fù)位過(guò)濾、環(huán)境傳感器等安全機(jī)制
· 片內(nèi)集成時(shí)鐘發(fā)生器
· 同時(shí)支持1.8V/3.3V工作電壓
· 支持SPI接口和I2C接口
· 工作溫度范圍更寬,支持-20度到85度
主要應(yīng)用案例
國(guó)民技術(shù)可信計(jì)算芯片在國(guó)內(nèi)具有領(lǐng)先地位,廣泛應(yīng)用于各大主流品牌的筆記本、平板、臺(tái)式機(jī)、服務(wù)器等電腦設(shè)備,用于實(shí)現(xiàn)防字典攻擊、防中間人攻擊、防重放攻擊、數(shù)據(jù)安全保護(hù)等各種安全功能。此外,在移動(dòng)可信網(wǎng)關(guān)、物聯(lián)網(wǎng)節(jié)點(diǎn)設(shè)備等方面也有大量應(yīng)用。
國(guó)民技術(shù)已經(jīng)面向聯(lián)想、同方、長(zhǎng)城等國(guó)內(nèi)所有主流電腦廠商供貨,同時(shí)也是聯(lián)想、微軟、英特爾、DELL等國(guó)際廠商在華的獨(dú)家可信計(jì)算芯片供應(yīng)商。
國(guó)民技術(shù)第四代可信計(jì)算芯片NS350面世
國(guó)民技術(shù)NS350系列TCM2.0密碼安全新品在2023年商用密碼大會(huì)上首次亮相,該產(chǎn)品完全支持我國(guó)新一代TCM2.0可信密碼模塊標(biāo)準(zhǔn),并兼容TPM2.0(TPM2.0 Spec 1.59)國(guó)際標(biāo)準(zhǔn)應(yīng)用。NS350芯片基于40nm先進(jìn)工藝設(shè)計(jì),支持I2C和SPI接口,提供QFN16/20/32和TSSOP28等多種封裝形式。芯片在技術(shù)性能和安全性方面具有較大提升,目前已經(jīng)獲得商用密碼產(chǎn)品認(rèn)證安全芯片第二安全等級(jí)證書,正在開展CC EAL4+安全認(rèn)證,產(chǎn)品還將通過(guò)FIPS 140-3等資質(zhì)認(rèn)證。聯(lián)系國(guó)民技術(shù)可獲取NS350芯片樣品,產(chǎn)品在2023年12月開始量產(chǎn)供貨。
關(guān)于可信計(jì)算
1.基本概念
可信計(jì)算旨在解決人與程序之間、人與機(jī)器之間的信息安全傳遞,成為信息安全發(fā)展的必由之路??尚庞?jì)算首先在計(jì)算機(jī)系統(tǒng)中建立一個(gè)信任根,信任根的可信性由物理安全、技術(shù)安全與管理安全共同確保。從信任根開始,到硬件平臺(tái)、操作系統(tǒng)、以及應(yīng)用,一級(jí)度量認(rèn)證一級(jí),一級(jí)信任一級(jí),由此建立起一條信任鏈,從而把這種基于可信根的信任擴(kuò)展到整個(gè)計(jì)算機(jī)系統(tǒng)。
可信計(jì)算具有三大基礎(chǔ)核心作用:
· 度量平臺(tái)完整性,建立平臺(tái)免疫力,提供一把安全度量的“尺子”。
· 作為平臺(tái)身份唯一性標(biāo)識(shí),提供一個(gè)安全認(rèn)證的“身份證”。
· 實(shí)現(xiàn)硬件級(jí)密碼學(xué)計(jì)算與密鑰保護(hù),提供一把信息安全保護(hù)的“數(shù)據(jù)鎖” 。
2.可信計(jì)算平臺(tái)
可信計(jì)算平臺(tái)(Trusted Computing Platform,TCP)是構(gòu)建在計(jì)算系統(tǒng)中用于實(shí)現(xiàn)可信計(jì)算功能的支撐系統(tǒng)??尚庞?jì)算密碼支撐平臺(tái)是可信計(jì)算平臺(tái)的重要組成部分,包括密碼算法、密鑰管理、證書管理、密碼協(xié)議、密碼服務(wù)等密碼學(xué)功能,為可信計(jì)算平臺(tái)自身的完整性、身份可信性和數(shù)據(jù)安全性提供密碼支持??尚庞?jì)算密碼支撐平臺(tái)的產(chǎn)品形態(tài)主要表現(xiàn)為可信密碼模塊(Trusted Cryptography Module,TCM)和可信密碼服務(wù)模塊(TCM Service Module,TSM)。
在可信計(jì)算平臺(tái)技術(shù)架構(gòu)體系下,包含了三大關(guān)鍵的密碼學(xué)基礎(chǔ)功能:
· 可信報(bào)告根(Root of Trust for Reporting,RTR):提供密碼學(xué)機(jī)制,對(duì)TCM的狀態(tài)和信息進(jìn)行數(shù)字簽名
· 可信存儲(chǔ)根(Root of Trust for Storage,RTS):提供密碼學(xué)機(jī)制,保護(hù)TCM外部存儲(chǔ)的數(shù)據(jù)信息
· 可信度量根(Root of Trust for Measurement,RTM):提供密碼學(xué)機(jī)制,有序度量平臺(tái)的狀態(tài)
3.可信密碼模塊
TCM可信密碼模塊是可信計(jì)算平臺(tái)的硬件模塊,為可信計(jì)算平臺(tái)提供密碼運(yùn)算功能,具有受保護(hù)的存儲(chǔ)空間。為了支持和規(guī)范中國(guó)可信計(jì)算的研究和應(yīng)用,國(guó)家密碼管理局于2006年組織制定了《可信計(jì)算平臺(tái)密碼技術(shù)方案》,把TCM可信密碼模塊作為商用密碼產(chǎn)品專項(xiàng)產(chǎn)品進(jìn)行型號(hào)鑒定和管理。
TCM作為系統(tǒng)可信安全、自主可控,并且獨(dú)立于主計(jì)算設(shè)備的單獨(dú)部件存在,在PC、服務(wù)器等各種計(jì)算設(shè)備主板上作為可信報(bào)告根、可信存儲(chǔ)根、可信度量根發(fā)揮關(guān)鍵作用。在TCM基礎(chǔ)上,可以采用多種方案搭建可信計(jì)算平臺(tái)。
4.可信安全度量
TCM在計(jì)算設(shè)備上作為單獨(dú)的安全計(jì)算部件,采用南橋SPI或者LPC總線與主計(jì)算設(shè)備(CPU、內(nèi)存、BIOS等)通訊來(lái)提供基礎(chǔ)安全功能,其中TCM的可信度量功能用于可信計(jì)算體系建立過(guò)程,以及基于TCM的通訊流程、通訊數(shù)據(jù)等安全。TCM為可信計(jì)算環(huán)境度量提供了度量算法(SM4、SHA)、度量結(jié)果保存(PCR存儲(chǔ))、度量結(jié)果簽名算法(SM2、ECC、RSA)等基礎(chǔ)功能。
TCM在上電、自檢后,由度量根開始發(fā)起度量,度量根可以是TPCM、也可以是BIOS、或者是操作系統(tǒng)啟動(dòng)程序等??尚艌?zhí)行環(huán)境度量的部件可以包括但不限于:BIOS、設(shè)備硬件配置、操作系統(tǒng)Loader、操作系統(tǒng)內(nèi)核、安全應(yīng)用等。
TCM在主板上電的第一時(shí)間同時(shí)上電,其優(yōu)先級(jí)屬于第一優(yōu)先級(jí),主板的EC(電源控制單元)會(huì)首先給南橋設(shè)備(包括TCM安全芯片、鍵盤等)上電。度量發(fā)生在主板上電,TCM上電自檢之后。
啟動(dòng)度量時(shí)首先通過(guò)TCM GPIO拉住CPU復(fù)位,阻止PCH-CPU處于復(fù)位狀態(tài),TCM SPI主通訊線路讀取BIOS SPI ROM內(nèi)容,而后TCM在內(nèi)部進(jìn)行度量Hash計(jì)算。在完成度量后,TCM與內(nèi)部存儲(chǔ)的預(yù)置標(biāo)準(zhǔn)度量值進(jìn)行對(duì)比驗(yàn)證,驗(yàn)證通過(guò)后,再通過(guò)GPIO釋放CPU復(fù)位,通知CPU-PCH繼續(xù)啟動(dòng),啟動(dòng)BIOS執(zhí)行。主動(dòng)度量模式可以度量SPI BIOS ROM中存儲(chǔ)的所有程序、數(shù)據(jù)等內(nèi)容。
評(píng)論