バックナンバーはこちら

today&tomorrow

What's New in DesignWare IP?

2018 Mar. vol.109

DesignWare ARC Secure IP Subsystem

特長

  • 重要度の高いシステムや決済機能を搭載したアプリケーションを悪意ある攻撃から保護する事前検証済みサブシステム
  • サイドチャネル攻撃を防ぐARC SEM Security Processorを統合
  • AES、3DES、SHA-256、RSA、ECCといった各種アルゴリズムの暗号化を効率よく実行するソフトウェア/ハードウェア暗号機能オプション
  • セキュア・インストラクション/データ・コントローラにより、外部メモリーに対する暗号化と認証を実行
  • NIST(アメリカ国立標準技術研究所)により認証された暗号ライブラリ、セキュア・ブートならびにSecureShieldランタイム・ライブラリをはじめとするサブシステム・ソフトウェアが、 サブシステムのハードウェア機能を活用して包括的なセキュリティ・ソリューションを提供

主な用途

  • モバイル
    • 組込みSIM(eSIM/iSIM)
    • 組込みユニバーサルICカード(eUICC/iUICC)
    • 組込みセキュア・エレメント
    • モバイル決済
  • IoT(Internet of Things)
    • スマートメーター
    • 電子政府の個人番号
  • 車載
    • テレマティクス
    • 車車間(V2V)/路車間(V2I)通信
  • 産業
    • プログラマブル・ロジック・コントローラ(PLC)
    • ロボット工学

概要

DesignWare® ARC® Secure IP Subsystemは事前検証済みのハードウェアとソフトウェアによってプログラマブルなハードウェアRoot of Trust(信用の起点、RoT)を実現し、 重要度の高い組込みシステムや決済機能を搭載したアプリケーションのセキュリティを確保する完全なソリューションで、システムに短期間で容易に組み込めるように設計されています。

完全にカスタマイズ可能なARC Secure IP Subsystemは、エネルギー効率に優れたDesignWare ARC SEM110またはSEM120Dプロセッサを中心に、幅広い種類のハードウェア暗号アクセラレータ、 信頼できないメモリーへのアクセスに機密性と認証機能を追加するセキュア・インストラクション/データ・メモリー・コントローラ、ホスト・プロセッサおよび周辺デバイス、真性乱数生成器(TRNG)、 ローカルNVMストレージとの通信をサポートする各種インターフェイスなどで構成されています。ARC Secure IP Subsystemには、NISTによる承認済みの暗号ライブラリ、 すべてのI/Oに対する省フットプリントのドライバ、信号処理をサポートしたDSP関数ライブラリ(SEM120D)、セキュア・ブート・ソフトウェア、SecureShield™ランタイム・ライブラリなどのソフトウェアも含まれます。

画像

図1:ARC Secure IP Subsystemのアーキテクチャ

セキュリティ機能

ARC Secure IP Subsystemには基本的なセキュリティ機能が幅広く用意されています。これらは、カスタマーおよびサードパーティ・アプリケーション・ソフトウェアによる拡張が可能です。

セキュア・ブート:ホストCPUのソフトウェアおよびデータ完全性をチェックし、デバイスをセキュア・ステートに初期化した後、信頼性確認済みのファームウェアのみを実行するようにします。 ARC Secure IP Subsystemは、コードベースをホスト・プロセッサで実行する前に認証し、完全性をチェックします。この認証に成功した場合のみ、サブシステムからホスト・システムへ制御が渡され、ブート・プロセスが継続されます。

セキュア認証:ターゲット・デバイスと通信する1つ以上の上流/下流デバイスが信頼できるかどうかを確認するために欠かせない機能です。信頼できることを確認するには、双方が合意した認証方式が必要です。 ARC Secure IP Subsystemは、各種認証プロトコルの完全性およびデバイス間の共有秘密鍵の機密性を確認します。

セキュア・アップデート:セキュアな識別と認証に基づき、ファームウェアのフィールド・アップデートを可能にします。

セキュア・デバッグ:セキュアなプロトコルを使用して外部ホストとの間で認証を行い、デバイスに対するローカル・デバッグを可能にします。

セキュア・ストレージ:デバイスのアプリケーション・データを保護します。この機能を有効にすると、ARC Secure IP Subsystemは信頼されないストレージにアプリケーション・データを保存する際、 セキュアなパスでデータの暗号化と復号を実行し、攻撃者による読み出しや書き換えを防ぎます。この機能を利用すると、データセットはローカル・デバイス上でしか復号化されることがありません。 つまり、データセットはARC Secure IP Subsystemの内部で生成した鍵によって保護され、デバイスに安全に紐付けられます。

ハードウェア暗号アクセラレーション(オプション):セキュア・ブート、セキュア・アップデート、セキュア・デバッグなどのセキュリティ機能の実行速度がソフトウェアのみのソリューションに比べ大幅に向上します。

このサブシステムは、シノプシスのIPコンフィギュレーション・ツールARChitectを使用して完全にカスタマイズできます。 コンフィギュレーション・オプションにはプロセッサ設定、I/Oインターフェイス(タイプと数)、ハードウェア・アクセラレータ設定などがあります。 ユーザー・アプリケーションは、シノプシスのMetaWare Development Toolkit環境でARC Secure IP Subsystemのソフトウェア・ライブラリを使用して開発できます。

カテゴリートップ