EdgeLock® Assurance:信頼できるセキュリティ
あらゆるエンドポイントで機密情報を保護するには、信頼できるスマート・セキュリティが必要です。EdgeLock AssuranceプログラムのNXP製品は、業界標準を満たすように設計されており、製品のコンセプトからリリースまで、実績のあるセキュリティ開発プロセスおよび検証評価に従っています。
EdgeLock®セキュア・エンクレーブと暗号化アクセラレータ
オプションで暗号化アクセラレーションを備えた、ハードウェアを基点とするセキュリティ。
NXPでは、デバイスの動作に不可欠なセキュリティ機能を保護および分離するために、最新世代のMCU、MPU、クロスオーバー・プロセッサの多くにEdgeLockセキュア・エンクレーブという専用のセキュリティ・ユニットを搭載しています。他のSoCから物理的に分離されたEdgeLockセキュア・エンクレーブは、独自のCPUコアと独自のメモリを備えています。SoCの完全性を保護し、アプリケーション・コアが機密データへ直接アクセスするのを防止し、さらには機密性の高い重要なセキュリティ機能を実行するための高度な分離を備えています。また、標準のTrusted Execution Environment (TEE) をより一層上回る保護を提供します。
プロセッシング・プラットフォームのセキュリティのトラスト・アンカーとしてのEdgeLockセキュア・エンクレーブ
- システムに組み込まれた信頼の基点(分離型)
- 機密情報(鍵)およびプラットフォームの完全性に関わるクレデンシャルを格納
- SoCの完全性を強化および監視
- アプリケーション・コアで実行されるOSに非依存
- アプリケーション・コアの種類に非依存
- オープンソースのスタックを通じて使用可能
産業用および民生用IoTにおけるセキュリティ実装を加速
EdgeLockセキュア・エンクレーブは、OEMが産業用および民生用IoT製品にセキュリティを簡単かつ合理的に実装できるようにし、規制された市場への製品投入およびレジリエンスの構築を可能にします。
| 利点 | 詳細 |
|---|---|
| 主なセキュリティ機能 | セキュア・ブート、デバイス認証、認証、セキュア・デバッグ、セキュア・ファームウェア・アップデート、セキュア・コネクト、デバイスのライフサイクル管理、データ保護、ソフトウェア (IP) 保護など、基盤となる不可欠な幅広いセキュリティ機能のサポートを提供します。 |
| デバイスの保護の強化 | アプリケーション・コアとメモリを別個に動作させる専用のセキュリティ・ユニットを備えており、物理的な分離に基づいた高度な隔離により、機密性の高い重要なセキュリティ機能のセキュリティを強化します。 |
| オンチップ・リソースの増加 | 暗号化処理の負荷を専用のセキュリティ・ユニットにオフロードすることで、アプリケーション・コアとメモリのリソースが解放され、厳密なタイミングやパフォーマンスが求められるアプリケーションの設計が容易になります。 |
| 迅速な認証取得 | シリコンベースの信頼の基点は、IEC 62443、米国サイバー・トラストマーク、サイバー・レジリエンス法などのIIoT規格や規制への準拠を容易にし、認証の維持を簡素化します。 |
| ライフサイクルを通じた簡単なメンテナンス | EdgeLock 2GOクラウド・サービスは、鍵管理のためのインフラへの投資や維持を必要とすることなく、信頼の基点の認証情報のセキュアな更新を可能にします。 |
| セキュア・マニュファクチュアリング | セキュアなソフトウェアと認証情報のインストールにより、信頼性の低い生産環境におけるサプライ・チェーンの管理を強化します(フラッシュレス・プロセッサにも対応)。 |
| 開発コストの削減 | チップ・レベルでのセキュリティは、機器レベルで適用される保護メカニズム(アクセス制御を備えたセキュアな施設、監視システム、デバイスや筐体の改ざんを検出するためのアラームや不正防止シールまたはコーティングなど)の必要性を最小限に抑えます。 |
EdgeLockセキュア・エンクレーブ・テクノロジのプレゼンテーション
EdgeLockセキュア・エンクレーブがどのようにして、セキュリティの強化と規制への準拠をサポートするハードウェアによる信頼の基点をもたらすのかをご紹介します。
2つの機能プロファイルによるスケーラブルなセキュリティ
EdgeLockセキュア・エンクレーブは、NXPのエッジ・プロセッシング・ポートフォリオ全体にスケーラブルなセキュリティをもたらすために、「コア」と「アドバンスト」という2つの機能プロファイルで提供されています。コア・プロファイルは、制約のある軽量デバイスにとって不可欠なセキュリティを提供します。より堅牢なエッジ・プロセッシング・プラットフォームの場合は、アドバンスト・プロファイルが、強化された機能を提供します。このアプローチにより、さまざまなIoTデバイスにわたってセキュリティ実装を最適化できるスケーラビリティがもたらされます。
| 特長 | コア | アドバンスト |
|---|---|---|
| 暗号化サービス、TRNG | ||
| セキュアな鍵保管 | ||
| デバイス固有のIDと鍵 | ||
| デバイス認証 | ||
| セキュアな接続 | ||
| OTAでの鍵管理 (EdgeLock 2GO) | オプション* | |
| エンクレーブFW/暗号化を更新可能 | オプション* | |
| ランタイム・デバイス保護 | - | |
| 統合されている代表的なMCU/プロセッサ |
(制約のある軽量デバイス) |
|
| サポートされるデバイス |
EdgeLock暗号化アクセラレータ
EdgeLockセキュア・エンクレーブは、物理的に隔離された環境内で機密情報やプラットフォームの整合性に関わるクレデンシャルを保護するよう設計されていますが、一部のアプリケーションでは、極めて高い帯域幅または超低レイテンシでの暗号化と認証も必要となります。エンクレーブには専用の暗号化コプロセッサが含まれていますが、これらのエンジンは、速度よりはむしろセキュアな実行のために最適化されています。
インダストリアルTSNネットワークや高速モバイル通信、その他のデータ集約型エッジ・ワークロードを含むユース・ケースでは、EdgeLock暗号アクセラレータがセキュア・エンクレーブを補完し、エンクレーブ内に保持された機密情報を暴露または侵害することなくアプリケーション・レベルの暗号化性能を提供します。
以下に、NXPの一部のMCUおよびMPUで提供されているEdgeLock暗号化アクセラレータの概要を示します。
| アクセラレータのタイプ | 説明¹ | 更新可能 | 鍵保管の統合 | 鍵注入のためのラッピング | 一般的なユース・ケース (代表的な例) |
|---|---|---|---|---|---|
| EdgeLockアクセラレータ (CAAM) | 拡張された暗号化サポートを備えたアクセラレータ・ファミリで、RSA、ECC、AES、SHA-1/2、3DESをカバー。一部のバリエーションには、プロトコル・オフロードも含まれる。 | - | TLS、IPsec | ||
| EdgeLockアクセラレータ (V2X) | 高速のECDSA認証向けに最適化されたアクセラレータ。SHE/Evitaをサポート(車載) | 自動車のV2X、高速ブート | |||
| EdgeLockアクセラレータ (Prime) | 高速のECDSA認証、AES、SHA-2向けに最適化されたマルチエンジン・アクセラレータ | TSN (Time Sensitive Networking)、高速ブート、ディスク暗号化、TLS、ネットワーク、IPsec、DRM、V2X | |||
| EdgeLockアクセラレータ (PKC) | RSAおよびECC方式に使用される数値演算コプロセッサ | (ホスト・プロセッサSW) | - | - | TLS、IPsec、Matter |
| EdgeLockアクセラレータ (Casper) | RSAおよびECC方式に使用される数値演算コプロセッサ | (ホスト・プロセッサSW) | - | - | TLS |
| EdgeLockアクセラレータ (SGI) | AES、HMAC/CMAC、SHA-2方式向けのアクセラレーションを統合したハードウェア・エンジン | - | 高速ブート(AESベース)、マス・ストレージへの鍵ラッピング | ||
| EdgeLockアクセラレータ (HASH-CRYPT) | AES、SHA-1、SHA256のアクセラレータ | - | - | - | セキュア・ブート、TLS |
| EdgeLockアクセラレータ (DCP) | AES-128/SHA256のアクセラレータ | - | - | 高速ブート、ディスク暗号化、TLS |
NXPのEdgeLock 2GOプラットフォームへセキュアに接続
OEMは、NXPのEdgeLock 2GO鍵管理プラットフォームをEdgeLockセキュア・エンクレーブにネイティブに統合することで、NXPのサービスを利用して、製造から寿命に至るまで、デバイスのライフサイクルのあらゆる時点で、鍵とデジタル証明書をセキュアに追加、削除、更新できます。販売後および使用開始後であっても、常にセキュリティ規制の進化に対応した最新の状態を維持することができ、社内で鍵管理インフラを構築したり、維持したりする必要がありません。この統合は、EdgeLockセキュア・エンクレーブを搭載したMPUおよびほとんどのMCUで既に利用可能であるか、利用可能になる予定です。
ドキュメント
|
CRAがどのように製品のセキュリティに対する期待を再構築しているのか、またNXPがどのようにして、規制準拠に対応したスケーラブルなソリューションを通じて、メーカーが自信を持って新しい規制の時代に適応できるよう後押ししているのかがわかります。 |
|||
|
レジリエンスとコンプライアンスのために、NXPが拡張性に優れたモジュール型セキュリティ・ソリューションと実用的な導入および強固な規制準拠サポートをどのように提供しているのかご紹介します。 |
|||
|
IEC 62443への準拠は、インダストリアルおよびヘルスケア市場へのアクセスにとってますます重要となっています。要件を満たし、レジリエンスを実現するために、NXPがどのようにスケーラブルなセキュリティ・ソリューションを提供しているかをご覧ください。 |
|||
|
EdgeLockセキュア・エンクレーブにより、物理的に隔離されたシリコンベースのトラスト・アンカーを実装し、ネットワーク対応デバイスについてレジリエンス、コンプライアンス、セキュア・ライフサイクルのすべてを実現する方法について解説します。 |
|||
|
世界中でセキュリティ規制が厳格化されており、重要な要件について理解することが不可欠になっています。NXPがどのように準拠を簡素化し、デバイスやソフトウェア全体にわたる製品のセキュリティを強化しているのかを解説します。 |