利用硬體式信任根達成《網路韌性法案》的要求

許多嵌入式裝置如今出廠時都帶有已知的漏洞或預設的憑證，但製造商往往未能及時修補這些問題。歐洲網路韌性法案 (CRA) 的用意在於針對具有數位元件的產品提升安全性。此法規解決問題的方法就是，規定產品在其生命週期中 (從設計與開發到售後維護)，要強制實施網路安全要求。

有個常用的方法可符合這些要求，特別適合嵌入式和 IoT 裝置，就是利用硬體式信任根 (RoT)。硬體式 RoT 在任何密碼系統中都是可信賴的來源，可提供關鍵安全功能，如安全啟動、安全儲存、密碼運算及裝置驗證。

在軟體安全措施的範疇中，當攻擊者取得核心層級 (Ring 0) 或虛擬機管理程式 (Ring -1) 的權限時，就可以存取記憶體並繞過保護機制。然而，硬體式 RoT 通常是在獨立的加密邊界內運作，通常位於另外的輔助處理器或隔離的執行環境中。

因此只要透過硬體式 RoT 功能，製造商就可符合 CRA 的基礎要求。包括健全的識別與驗證機制、安全更新與漏洞管理，以及系統資料移除。接下來，我們將探討如何利用 RoT 來達到 CRA 的技術要求。

圖 1：STMicroelectronics 的 STSAFA110DFSPL02 驗證晶片與 IoT 安全元件，可透過安全啟動與韌體升級來達到簽章驗證服務。(圖片來源：STMicroelectronics)

技術實作

1. 透過安全且經過測量的啟動來確保系統完整性

硬體式 RoT 最重要的功能之一就是建立可信賴的啟動流程。這表示 RoT 含有不可變的程式碼，會在裝置通電時優先執行，其作用就是驗證下一階段軟體 (啟動載入程式、OS 等) 的真實性和完整性，然後再交出控制權。

此過程會從硬體向上建立一套信任鏈。前一個階段會對啟動序列中的每個元件進行密碼學檢查。在實務中，RoT 會使用嵌入式公開金鑰驗證啟動載入程式的數位簽章，只允許製造商授權的韌體運行。

在更進階的實作中，RoT 也可執行受測量的啟動，會記錄每個軟體階段的加密雜湊值以進行遠端證明。這表示外部系統可以要求證明裝置中啟動的確切韌體版本為何。CRA 雖未強制要求此類證明，但有助於達到法規的用意，以便使用者和組織評估產品的安全性。

2. 強大的識別與驗證

硬體式 RoT 能為各個裝置提供強大的身份，會以製造時寫入唯一加密金鑰或憑證的型式提供。此身份可當作驗證裝置合法性的依據。例如，Cisco 的硬體式 RoT 晶片就存有一個安全唯一裝置識別碼 (SUDI) 憑證和一把私密金鑰，都會受到硬體保護，且不打算從安全硬體中匯出。

對於資源受限的 IoT 裝置來說，採用完整的受信任平台模組 (TPM) 並不實際，因此 TCG 的裝置識別碼組成引擎 (DICE) 標準提供了輕量的硬體式 RoT 機制。可將身份與矽晶片和軟體狀態綁定在一起。

圖 2：Microchip Technology 的 AT97SC3204-U2A1A-20 受信任平台模組 (TPM) LPC 介面，具有能在 200 ms 內計算 2048 位元 RSA 簽章的加密加速器。(圖片來源：Microchip Technology)

在製造時，256 位元值的唯一裝置密鑰 (UDS) 會儲存在保險絲中，或從 實體無法複製功能 (PUF) 衍生而來，且僅可由不可變的啟動層存取。

為了進一步強化此模型，會採用 PUF 式的實作，以確保根金鑰永遠不會儲存在非揮發性記憶體中，以降低遭受實體擷取攻擊的風險。這些機制可支援 CRA 規定的防偽、安全驗證及機密性要求。

3. 安全更新與漏洞管理

硬體式 RoT 不僅僅是確保初始啟動安全性。在裝置運作期間也依然重要，尤其是在軟體更新時。CRA 對於漏洞處理和修補高度重視，要求製造商提供可安全發送更新並迅速修復已知缺陷的機制。RoT 可檢查更新套裝的數位簽章，藉此達到通過身份驗證且安全的韌體更新。

舉例而言，Microchip 就指出，將設計符合 CRA 的產品，包括實施安全啟動流程並確保韌體完整性，接著才會執行安全韌體更新，以抵禦新興威脅。RoT 也可以強制執行防回滾保護，確保在進行更新修補後，攻擊者無法載入舊版韌體。

結論

硬體式信任根的實作是達到《網路韌性法案》所述之核心驅動要素的基礎構件。RoT 能促成安全啟動、唯一裝置識別、經過驗證的更新安裝、加密金鑰保護，以及可長期安全維護的平台。這些能力將一同強力支援 CRA 所規定的必要網路安全要求。