Come creare una base hardware sicura per la conformità CRA a lungo termine

Il Cyber Resilience Act (CRA) dell'Unione Europea ha radicalmente spostato la sicurezza informatica da elemento secondario aggiunto a posteriori a pilastro dell'architettura fondamentale per i prodotti contenenti elementi digitali. Con la piena applicazione della normativa a partire dal 2027, gli sviluppatori devono essere consapevoli delle loro responsabilità ai sensi di questa legislazione. Possono quindi selezionare l'hardware di elaborazione appropriato per adempiere a queste responsabilità durante il ciclo di vita di un prodotto embedded. L'hardware giusto consentirà un'architettura sicura "by design" che supporta la gestione continua delle vulnerabilità, ad esempio attraverso aggiornamenti OTA (via etere).

Questo articolo fornisce una breve panoramica dei requisiti CRA ed esplora la tecnologia dell'enclave protetta come base per isolare i dati sensibili e gestire una radice di attendibilità (RoT) hardware per garantire l'integrità del dispositivo. Passa poi a presentare i microcontroller (MCU) e i processori per applicazioni di NXP Semiconductors che possono fungere da base per una soluzione in linea con il CRA e dimostra infine un'implementazione pratica.

Gli obblighi in materia di sicurezza informatica stanno cambiando

Ai sensi del CRA, il produttore ha la piena responsabilità legale di assicurare la conformità. In sintesi, il CRA richiede che i produttori provvedano a:

• Proteggere i dispositivi da manomissioni e garantire l'integrità del software fin dal primo avvio
• Fornire supporto per un periodo di almeno cinque anni (o per la durata prevista del prodotto se più breve), con una gestione continua delle vulnerabilità e aggiornamenti regolari della sicurezza
• Mantenere la disponibilità di aggiornamenti software e della documentazione tecnica per 10 anni o per la durata di un periodo di supporto più lungo
• Fornire una data specifica per la fine del supporto dei prodotti al momento del loro rilascio sul mercato
• Segnalare le vulnerabilità di sicurezza attivamente sfruttate al Computer Security Incident Response Team (CSIRT) nazionale e all'Agenzia dell'Unione europea per la cibersicurezza (ENISA) entro 24 ore, con una relazione dettagliata entro 72 ore e una relazione finale entro 14 giorni
• Fornire la certificazione di terze parti per prodotti specializzati secondo le designazioni "Importante" (Classe I e II) e "Critico" del CRA
• Firmare una dichiarazione formale di conformità che consente ai produttori di utilizzare il marchio Conformité Européenne (CE) per l'accesso al mercato dell'UE

Il cuore delle pratiche obbligatorie del CRA è l'impegno a garantire e mantenere l'integrità dei dispositivi, a partire dalla creazione di una base hardware sicura per ogni prodotto. Sebbene il CRA non definisca un quadro di riferimento specifico, la tecnologia dell'enclave protetta offre ai progettisti un modo affidabile per gestire questo impegno obbligatorio.

Come la tecnologia dell'enclave protetta supporta l'autenticazione del firmware

Solitamente contenuta all'interno di un System-on-Chip (SoC) più grande, l'enclave protetta (Figura 1) è un sottosistema hardware protetto che genera, memorizza e gestisce le risorse di verifica del software (come le chiavi di crittografia) e fornisce una radice di attendibilità (RoT) hardware per il sistema. Isolando queste risorse dal resto del dispositivo, gli sviluppatori possono assicurare la protezione da accessi non autorizzati. L'intero sistema può quindi essere protetto da software non autorizzati mediante un processo di avvio sicuro.

Figura 1: Un'enclave protetta stabilisce una RoT hardware rispetto alla quale ogni stadio del processo di avvio può essere verificato come autentico, garantendo l'integrità del sistema. (Immagine per gentile concessione di Brandon Lewis)

L'avvio inizia all'interno dell'enclave protetta, dove la RoT convalida le firme a ogni stadio dell'avvio sicuro del firmware, verificando che il sottosistema sicuro non sia stato compromesso. In caso di mancata corrispondenza, il processo di avvio si arresta, poiché la RoT non può convalidare l'integrità della sequenza di avvio. Questo è il primo stadio della protezione del sistema principale dalle manomissioni.

In ogni stadio successivo di avvio, l'enclave protetta verifica le firme utilizzando le chiavi pubbliche ancorate nella RoT hardware. La verifica garantisce che venga eseguito solo il codice autentico e firmato dal produttore. In questo modo, se la verifica fallisce in qualsiasi stadio, il sistema principale interrompe l'avvio o viene eseguito con funzionalità limitate, isolando così le potenziali minacce.

Poiché la conformità CRA a lungo termine richiede anche aggiornamenti regolari durante il ciclo di vita di un prodotto, l'avvio sicuro è essenziale per verificare che ogni patch sia autentica. Questo vale soprattutto per gli aggiornamenti OTA, dove le installazioni sono spesso automatiche. Un'enclave protetta fornisce un elemento fondamentale nella catena di attendibilità dell'avvio sicuro. Per questo è molto utile per gli sviluppatori poter utilizzare componenti hardware sofisticati che contengono questo sottosistema.

Un MCU ad alte prestazioni che supporta la sicurezza "by design"

Per la realizzazione di prodotti in linea con il CRA, gli MCU serie MCX N (Figura 2) di NXP forniscono un sottosistema protetto dedicato oltre a una doppia architettura Arm® Cortex®-M33 con un'unità di elaborazione neurale (NPU) integrata per l'elaborazione Edge IA. Il funzionamento a bassa potenza, fino ad appena 57 µA/MHz, consente una lunga durata operativa nei progetti a batteria, con modalità di spegnimento aggiuntive che riducono l'assorbimento di corrente ad appena 2 µA.

Il sottosistema sicuro EdgeLock di NXP funziona come un'enclave protetta. Oltre ai moduli di rilevamento di glitch e manomissioni per prevenire gli exploit hardware, il sottosistema EdgeLock presenta diverse misure per mantenere l'integrità del software, tra cui:

• Un autenticatore di debug per prevenire l'accesso non autorizzato
• Crittografia a chiave pubblica (PKC), con moduli AES-256 e ECC-256 per la crittografia, SHA-512 per l'hashing crittografico e un modulo PRINCE per la cifratura a blocchi a bassa latenza
• Una funzione fisica non clonabile (PUF) basata su SRAM per generare un identificatore univoco del dispositivo e ricavare chiavi per supportare una RoT hardware immutabile

Figura 2: Oltre al sottosistema protetto EdgeLock in linea con il CRA, gli MCU MCX N94x di NXP offrono un'ampia gamma di interfacce per adattarsi a molte applicazioni differenti. (Immagine per gentile concessione di NXP)

Per assicurare una maggiore protezione, gli MCU MCX N94x dispongono di Arm TrustZone per ambienti di esecuzione sicuri e di un clock in tempo reale (RTC) con pin antimanomissione per proteggere i meccanismi di sicurezza basati sulla temporizzazione. Sono presenti anche controller sicuri per l'accesso diretto alla memoria (DMA), un'unità di protezione della memoria (MPU) e una RAM con codice di correzione degli errori (ECC) per prevenire gli exploit della memoria. Gli MCU MCX N94x offrono due varianti che consentono agli sviluppatori di adattare i requisiti di memoria per una determinata applicazione: MCXN946VDFT integra 1 MB di Flash e 352 kB di SRAM in un contenitore VFBGA a 184 pin, mentre MCXN947VDFT ha 2 MB di Flash e 512 kB di SRAM in un contenitore HDQFP a 172 pin.

Oltre alle caratteristiche di sicurezza e memoria, gli MCU MCX N94x offrono I/O digitali e analogici, interfacce uomo-macchina (HMI) e sottosistemi di controllo motori. Queste caratteristiche, unite a un intervallo della temperatura di funzionamento compreso tra -40 e +125 °C, consentono di realizzare una varietà di progetti di prodotti conformi a CRA, come apparecchiature di automazione industriale, elettrodomestici intelligenti, utensili elettrici e dispositivi medicali.

Per lo sviluppo di applicazioni con gli MCU MCX N94x, la scheda di valutazione FRDM-MCXN947 (Figura 3) costituisce un efficace punto di partenza. È dotato di ampie opzioni di connettività, quali porte Ethernet e USB Type-C e basette di espansione, che consentono il rapido sviluppo di applicazioni con strumenti familiari. NXP mette inoltre a disposizione risorse come Expansion Board Hub e Application Code Hub per supportare i team nella scelta di hardware compatibile e nella programmazione con MCUXpresso.

Figura 3: La scheda di valutazione FRDM-MCXN947 consente la rapida prototipazione di sistemi conformi a CRA. (Immagine per gentile concessione di NXP)

EdgeLock di NXP per applicazioni Linux embedded

NXP include anche un'enclave protetta EdgeLock nei suoi processori per applicazioni ad alta efficienza energetica serie i.MX 93 (Figura 4). Questi offrono una gamma di periferiche ad alte prestazioni simile a quella degli MCU MCX N94x, combinando un singolo core Cortex-M33 con due core dell'applicazione Arm Cortex-A55 compatibili con Linux.

Figura 4: I processori per applicazioni i.MX 93 combinano EdgeLock con un core Cortex-M33 e due core Cortex-A55 per fornire una base sicura per i sistemi Linux embedded. (Immagine per gentile concessione di NXP Semiconductors)

Come gli MCU MCX N94x, l'enclave protetta EdgeLock dei processori per applicazioni i.MX 93 comprende moduli di rilevamento delle manomissioni e di crittografia. Tuttavia, un clock protetto dedicato (incluso per prevenire gli exploit basati sulla temporizzazione) e la memorizzazione delle chiavi eFuse servono anche per la RoT hardware. Anche in questo caso, la memoria di sistema più ampia è protetta da RAM con ECC e da una MPU all'interno del sottosistema in tempo reale. Entrambi i core Cortex-A e Cortex-M sono dotati di Arm TrustZone per il partizionamento sicuro del software, ulteriormente supportato da Trusted Resource Domain Controller (TRDC).

Oltre a produrre dispositivi i.MX 93 per gli intervalli di temperatura commerciale, automotive e industriale, NXP offre anche opzioni di calcolo scalabili per un'ampia gamma di applicazioni. Ad esempio, MIMX9351DVVXMAB è dotato di un singolo core Cortex-A55 che funziona fino a 1,7 GHz e di una NPU per supportare applicazioni Edge IA ad alte prestazioni come gli hub di domotica. MIMX9302DVVXDAB, invece, offre due core Cortex-A55 che funzionano fino a 900 MHz e non ha l'NPU opzionale, pertanto è una soluzione informatica generica adatta ai chioschi informativi digitali e ai sistemi di sicurezza multi-telecamera. Sono disponibili altre combinazioni di queste risorse.

Per accelerare lo sviluppo con i processori per applicazioni i.MX 93, la scheda di valutazione MCIMX93-QSB (Figura 5) è dotata di diversi connettori fisici per la programmazione, la connettività di rete e l'espansione del sistema. Tra questi, porte Ethernet e USB Type-C, basette di espansione e uno slot M.2 Key-E. La scheda è supportata da software e strumenti di sviluppo i.MX.

Figura 5: La scheda di valutazione MCIMX93-QSB e il software di supporto accelerano lo sviluppo delle applicazioni i.MX 93. (Immagine per gentile concessione di NXP Semiconductors)

Per rafforzare ulteriormente la sicurezza dei dispositivi, in linea con gli impegni del periodo di supporto previsti dal CRA, il servizio cloud EdgeLock 2GO di NXP offre agli sviluppatori aggiornamenti OTA sicuri, firma del codice e gestione di certificati e chiavi per l'intero ciclo di vita dei dispositivi. Integrandosi in modo nativo nei dispositivi protetti da EdgeLock, questo servizio completa le basi di una strategia di sicurezza a 360° che supporta la conformità CRA a lungo termine.

Conclusione

La normativa CRA dell'UE per molti anni plasmerà lo sviluppo di prodotti digitali, ma gli sviluppatori devono comprenderne subito i requisiti per poter rispettare la scadenza. Nella progettazione di prodotti conformi al CRA, dispositivi come gli MCU MCX N94x e i processori per applicazioni i.MX 93 di NXP forniscono una solida base di sicurezza hardware tramite EdgeLock Secure Enclave e ulteriori misure di sicurezza hardware. Con EdgeLock 2GO, i team di sviluppo possono rafforzare ulteriormente il loro impegno verso la conformità CRA a lungo termine e i prodotti sicuri "by design" in questo panorama normativo in continua evoluzione.