确定在嵌入式设计中增强隐私的要求
随着联网设备变得越来越普遍,它们正在加剧隐私风险。幸运的是,现在有许多现成的芯片和服务可用于帮助设计抵御入侵并防止对私人数据的未授权访问。关键在于确定需要缓解的特定威胁。
广义上讲,隐私需要在未经信息所有者授权的情况下使指定信息不可访问。隐私涉及安全;信息不能在不保证安全的情况下保密。但它们不是一回事。信息安全还涉及防止恶意更改或破坏。从这个意义上说,信息可以在不保密的情况下保持安全。
将信息保密的原因有很多,其中一个主要的原因是全球许多政府法规和要求,用于维护与个人相关的信息隐私,称为个人身份信息 (PII)。构成 PII 的大部分内容是显而易见的——诸如姓名、地址、帐号、位置、健康状况、图像和活动等都是大多数人认为值得保护隐私的 PII。
但其他类型的可能需要保密的信息显然没有那么私密,因为信息本身并不能识别个人身份。然而,与第二条信息配对时,第一条信息可以识别,因此需要隐私。例如,连接的恒温器的温度设置似乎不需要隐私保护。某个地方的恒温器设置为 55 度。所以呢?然而,将该设置与有关恒温器当前位置的信息配对,它会突然变得个性化。知道某个特定房子的恒温器设置为 55 度的人可能会让他们推断出业主正在度假并且房子是相对安全的防盗。
在电子设备中,可能需要保持安全的信息或数据非常重要。静态数据,即内存或存储中的数据,以及通过网络或沿着电线和电路传输的动态数据,都需要保护。如果该保护涉及加密(通常会这样做),则加密密钥也必须受到保护。除了存在或移动的个人数据和密钥之外,设计人员可能还需要确保系统软件和固件不会被篡改,以免“坏人”改变系统行为,使其泄露本应保密的信息。
电子数据安全受到威胁的方式也越来越多,而且数量还在不断增加。远程攻击者可以窃听网络通信。 “中间人”可以拦截传输中的消息并假装是预期的接收者,在合法方之间传递消息以隐藏中断。远程攻击者还可以发送触发系统漏洞的消息,在配置或无线更新期间插入恶意软件,或利用其他代码漏洞。
图 1: 有多种形式的攻击会危及数据安全,因此需要多种不同的对策。 (图片来源:ARM)
如果攻击者可以物理访问或什至只是接近系统,则会打开额外的攻击途径,包括侵入性和非侵入性。信号总线的探测可以揭示流经系统的私人信息。监控电源线或 EMI 辐射可以提供允许恢复加密密钥的信息。通过物理访问也可以改变代码存储设备的内容,甚至更换代码存储设备,剥离封装以暴露裸片以进行探测和分析。
除了设备部署之后,对数据安全的物理访问攻击也可能发生在其他时间。例如,不良行为者可以在制造和组装过程中复制加密密钥,甚至克隆整个系统。然后,设备的克隆可以在系统中运行,就好像它属于那里一样,通过“内部”活动绕过几乎所有形式的安全性。一旦设备退役并被丢弃,有人可以在闲暇时获取它并提取信息。
没有一种方法可以提供针对多种可能攻击类型的安全性,并且实施所有可能的安全方法的成本可能高得令人望而却步。此外,攻击机会和风险因应用程序而异。因此,开发人员必须仔细选择他们将实现的方法。开始的地方是在开始详细设计之前,通过创建威胁模型。该模型不仅应考虑设备本身,还应考虑与其连接的系统。它还应该检查设备正常操作设置的环境,以及整个生命周期。
在开发威胁模型时,开发人员应该采取以下几个步骤:
确定他们需要保护的资产(数据)。出于隐私考虑,这将包括通过设备存在或移动的任何 PII。它还必须包含加密密钥(如果使用),并且可能需要包含系统固件、身份代码、消息元数据等。
识别这些资产可能受到的攻击类型,估计它们的可能性,并评估成功攻击的影响。确保包括设备的整个生命周期,包括制造、部署和处置。这将有助于确定哪些威胁严重到需要缓解。
根据设计时间、性能和物料清单确定所需的对策及其实施成本。
如此开发的威胁模型将有助于指导保护数据隐私所需的硬件和软件设计属性。幸运的是,半导体行业一直在开发多种设备和服务,以应对大多数威胁,并为开发者提供支持,以确定应用正确的对策。
物联网技术