如何建立安全的硬體基礎以達到長期 CRA 合規性

歐盟 (EU) 網路韌性法案 (CRA) 已經將網路安全性徹底改變，從原本的事後考量轉變成含有數位元素之產品都必備的核心架構考量。隨著法規即將在 2027 年全面實施，開發者必須瞭解在此法規要求下需負擔的責任。接著便可挑選適當的處理硬體，以在嵌入式產品的生命週期內擔起這些責任。適當的硬體就可達到設計保障安全 (Secure-by-design) 的架構，以支援持續的漏洞管理，例如，透過空中 (OTA) 更新。

本文將簡短概述 CRA 的要求，並探討安全隔離區技術，以便做為隔離敏感資料及管理硬體信任根 (RoT) 的基礎，藉此確保裝置的完整性。接著會介紹來自 NXP Semiconductors 的微控制器單元 (MCU) 和應用處理器，可當作對齊 CRA 的解決方案基礎，並且會展示一個實用的實作範例。

網路安全義務正在改變

根據 CRA，製造商須承擔確保合規性的全部法律責任。總結來說，CRA 對製造商有以下要求：

• 保護裝置以免遭受竄改，確保軟體從首次啟動起的完整性
• 提供至少五年的支援期限，若期限較短，至少要涵蓋產品的預期壽命，且需持續進行漏洞管理與定期的安全更新。
• 保留更新的可用性及最新的技術文件達 10 年，或更長的支援時間
• 在產品上市時提供明確的終止支援日期
• 在 24 小時內，將已遭主動利用的安全漏洞回報給國家電腦安全事件應變小組 (CSIRT) 及歐盟網路安全局 (ENISA)，並於 72 小時內提交詳細報告，14 天內提交最終報告。
• 針對 CRA 列為「重要」(Class I 與 II) 及「關鍵」類別的產品，須提供第三方認證
• 需簽署正式的合規聲明 (DoC)，製造商才可使用歐洲合格標誌 (CE 標誌) 進入歐盟市場

CRA 強制作法的核心宗旨是為了致力於確保並維護裝置的完整性，從每個產品奠定安全的硬體基礎開始。雖然 CRA 並未制訂具體的框架，但安全隔離區技術能讓設計人員以可靠的方式來管理這項強制性承諾。

安全隔離區技術如何支援韌體驗證

安全隔離區 (圖 1) 通常位於較大的系統單晶片 (SoC) 中，是一個安全的硬體式子系統，負責產生、儲存和管理軟體驗證資產 (如加密金鑰)，並為系統提供硬體信任根。將這些資源與裝置的其他部分隔離，開發人員就可防止未經授權的存取。之後，整個系統就可透過安全啟動流程來避開未經授權的軟體。

圖 1：安全隔離區可建立硬體信任根，藉此確認啟動流程的各個階段是否真實，以確保系統完整性。(圖片來源：Brandon Lewis)

啟動程序會在安全隔離區中展開，此時，信任根會在安全韌體啟動的每個階段驗證簽章，以確認安全子系統未遭到破壞。如果不符，啟動流程將停止，因為信任根無法驗證啟動序列的完整性。這只是保護主系統免受竄改的第一個階段。

在後續每一個啟動階段中，安全隔離區都會使用硬體信任根綁定的公鑰來驗證簽章。此驗證作業可確保只有真實且經過製造商簽署的程式碼才會執行。因此，如果在任何階段驗證失敗，主系統將會中止啟動，或以有限功能運作，進而隔開潛在的威脅。

由於長期的 CRA 合規性還要求在產品生命週期中提供定期更新，因此安全啟動作業是驗證每個修補程式真實性的重要關鍵。這對 OTA 更新來說更為重要，因為安裝通常會自動進行。安全隔離區可提供安全啟動信任鏈的基礎元素。因此，開發人員可以受益於此子系統中的先進硬體元件。

支援設計保障安全的高效能 MCU

在打造可對齊 CRA 的產品時，NXP 的 MCX N 系列 MCU (圖 2) 可提供一個專用且安全的子系統，並配有雙核心 Arm® Cortex®-M33 架構，內有整合式神經處理單元 (NPU)，可進行邊緣 AI 處理。低功耗操作可達 57 µA/MHz，能讓電池供電式設計達到長工作壽命，並具備額外的斷電模式，可將電流消耗量降低至最低 2 µA。

NXP EdgeLock 安全子系統的作用是安全隔離區。除了具有可避免硬體遭利用的偵測故障和篡改模組之外，EdgeLock 子系統還具備多項措施可維持軟體的完整性，包括：

• 可避免未經授權存取的除錯驗證器
• 公鑰密碼技術 (PKC)，具有加密用的 AES-256 和 ECC-256 模組，用於密碼雜湊的 SHA-512，以及用於低延遲區塊密碼的 PRINCE 模組
• 基於 SRAM 的物理不可複製函數 (PUF)，可用於產生裝置唯一識別碼並衍生金鑰，以支援不可變的硬體信任根

圖 2：除了對齊 CRA 的 EdgeLock 安全子系統外，NXP 的 MCX N94x MCU 還具備多種介面，可因應各種不同的應用。(圖片來源：NXP)

為了達到額外防護，MCX N94x MCU 具備 Arm TrustZone 以提供安全執行環境，並備有防篡改引腳的即時時脈 (RTC)，可保護基於時間的安全機制。亦具有安全的直接記憶體存取 (DMA) 控制器、記憶體防護單元 (MPU) 以及錯誤修正碼 (ECC) RAM，可避免記憶體遭到利用。MCX N94x MCU 提供兩種款式，可讓開發人員依據特定應用調整記憶體需求：MCXN946VDFT 整合了 1 Mbyte 快閃記憶體與 352 Kbyte SRAM，採用 184 引腳 VFBGA 封裝；MCXN947VDFT 則擁有 2 Mbyte 快閃記憶體與 512 Kbyte SRAM，採用 172 引腳 HDQFP 封裝。

除了安全性和記憶功能外，MCX N94x MCU 還提供數位及類比 I/O、人機介面 (HMI) 以及馬達控制子系統。這些特性再加上 -40°C 至 +125°C 的工作溫度範圍，可促成多種 CRA 合規的產品設計，包括工業自動化設備、智慧家電、電動工具和醫療裝置。

使用 MCX N94x MCU 開發應用時，FRDM-MCXN947 評估板 (圖 3) 可提供有效的起點。具有豐富的連接選項，包括乙太網路和 USB Type-C 連接埠以及擴充排針座，因此能用熟悉的工具快速開發應用。NXP 亦提供資源，例如 Expansion Board Hub 和 Application Code Hub，可支援團隊挑選相容的硬體並使用 MCUXpresso 進行程式設計。

圖 3：FRDM-MCXN947 評估板可快速製作符合 CRA 的系統原型。(圖片來源：NXP)

NXP 的 EdgeLock 適用於嵌入式 Linux 應用

NXP 亦在其 i.MX 93 系列 (圖 4) 節能應用處理器中納入 EdgeLock 安全隔離區。此系列提供與 MCX N94x MCU 類似的高效能週邊，同時結合一個單核心 Cortex-M33 與兩個支援 Linux 的 Arm Cortex-A55 應用核心。

圖 4：i.MX 93 應用處理器結合 EdgeLock 與一個 Cortex-M33 及兩個 Cortex-A55 核心，能為嵌入式 Linux 系統提供安全基礎。(圖片來源：NXP Semiconductors)

如同 MCX N94x MCU，i.MX 93 應用處理器的 EdgeLock 安全隔離區也含有篡改偵測和密碼學模組。然而，專用的安全時脈 (納入以避免基於時間的漏洞) 和 eFuse 金鑰儲存區亦可用於硬體信任根。另外，即時子系統中的 ECC RAM 與 MPU 也可提供更廣泛的系統記憶體保護。Cortex-A 及 Cortex-M 核心皆具備 Arm TrustZone 以達到安全軟體分割，並可由受信任的資源域控制器 (TRDC) 進一步提供支援。

除了生產適用於商業、汽車及工業溫度範圍的 i.MX 93 裝置外，NXP 也提供可擴充的運算選項，可用於多種應用。舉例而言，MIMX9351DVVXMAB 就配備單一 Cortex-A55 核心，工作頻率最高達 1.7 GHz，並搭載 NPU，可支援智慧家庭中樞等高效能的邊緣 AI 應用。相較之下，MIMX9302DVVXDAB 提供兩個最高工作頻率為 900 MHz 的 Cortex-A55 核心，並省略選配的 NPU，因此是適合數位資訊亭和多攝影機保全系統的通用運算解決方案。亦有提供這些資源的其他搭配組合。

為了利用 i.MX 93 應用處理器加速開發，MCIMX93-QSB 評估板 (圖 5) 配備了多個用於程式設計、連網及系統擴充的實體連接器。包括乙太網路和 USB Type-C 連接埠、擴充排針座以及 M.2 Key-E 插槽。此開發板具有 i.MX 軟體與開發工具的支援。

圖 5：MCIMX93-QSB 評估板及支援軟體可加速 i.MX 93 應用開發。(圖片來源：NXP Semiconductors)

為了進一步加強裝置安全性以符合 CRA 的支援期限承諾，NXP 的 EdgeLock 2GO 雲端服務能為開發人員提供安全的 OTA 更新、程式碼簽章，以及整個裝置生命週期的憑證和金鑰管理。可原生整合至受 EdgeLock 保護的裝置，藉此奠定完善安全策略的基礎，以支援長期 CRA 合規性。

結論

歐盟的 CRA 將在未來多年影響數位產品的開發，但開發人員現在就需要加以瞭解，以趕上實施期限。在設計對齊 CRA 的產品時，像是 NXP 的 MCX N94x MCU 和 i.MX 93 應用處理器等裝置，就可透過 EdgeLock 安全隔離區以及額外的硬體安全措施，來提供穩健的硬體安全基礎。透過 EdgeLock 2GO，開發團隊更能進一步強化其對長期 CRA 合規性及設計保障安全產品的承諾，以因應不斷演變的監管環境。