Certificazione di sicurezza e ruolo cruciale delle soluzioni di sensori antimanomissione / Security certification and the crucial role of anti-tamper sensor solutions

-

 Certificazione di sicurezza e ruolo cruciale delle soluzioni di sensori antimanomissioneSecurity certification and the crucial role of anti-tamper sensor solutions


Segnalato dal Dott. Giuseppe Cotellessa / Reported by Dr. Giuseppe Cotellessa



I dispositivi connessi stanno diventando sempre più vulnerabili agli attacchi degli hacker che cercano di penetrare o manipolare i sistemi per estrarre dati sensibili o interromperne le operazioni.

La proliferazione dell'IoT, dell'elettronica automobilistica e dei dispositivi per infrastrutture critiche fa sì che le conseguenze di una violazione non si limitino più alla perdita di dati, ma possano includere anche danni fisici o guasti del sistema.

Nel tentativo di contrastare queste minacce alla sicurezza e con l'entrata in vigore del Cyber ​​Resilience Act (CRA) dell'UE nel 2027, si è assistito ad una rinnovata attenzione alla certificazione di sicurezza. Questa spinta normativa, unita all'evoluzione delle rotte di attacco, ha causato un'impennata della domanda di soluzioni di sensori antimanomissione in grado di migliorare significativamente la protezione contro una varietà di rotte di attacco e contribuire a raggiungere livelli di sicurezza più elevati.

Certificazione di sicurezza

I Common Criteria for Information Technology Security, abbreviati in Common Criteria (CC), sono lo standard internazionale (ISO/IEC 15408) per la valutazione e la certificazione della sicurezza dei prodotti IT. L'obiettivo è identificare e mitigare le vulnerabilità di sicurezza attraverso analisi e test. In sostanza, i Common Criteria forniscono al settore IT un insieme chiaro di parametri per affrontare la sicurezza informatica.

Questo framework definisce metodologie specifiche e rigorose per la valutazione della sicurezza di un prodotto, formalmente espresse attraverso i vari livelli di garanzia della vulnerabilità. Esistono diversi livelli di garanzia della vulnerabilità definiti nell'ambito dei requisiti EAL (Evaluation Assurance Level) e AVA_VAN (Vulnerability Assessment / Vulnerability Analysis). Più alto è il livello AVA_VAN, più sicuro è considerato un dispositivo od un sistema rispetto alle minacce alla sicurezza, poiché i livelli più alti prevedono metodi di test completi per rilevare potenziali vulnerabilità e verificarne la robustezza.

Sebbene vi siano alcune differenze regionali tra gli schemi CC in Europa, Asia e Stati Uniti, esistono accordi di riconoscimento Common Criteria (CCRA) tra i paesi per semplificare il riconoscimento. Altri standard di certificazione della sicurezza, tra cui ARM PSA (Platform Security Architecture) e Global Platform SESIP (Security Evaluation Standard for IoT Platforms), hanno requisiti simili o hanno adottato CC come riferimento per migliorare la sicurezza dei dispositivi connessi.

Livelli di certificazione di sicurezza

Ogni livello di certificazione di sicurezza offre un insieme specifico di criteri e metodologie per valutare le caratteristiche di sicurezza di un prodotto IT, dai test di funzionalità di base a rigorosi processi di verifica formale. Esaminando i requisiti CC AVA_VAN, i livelli da 3 a 5 sono i più interessanti per i produttori di silicio che implementano funzionalità di sicurezza, poiché comportano complesse valutazioni della vulnerabilità, sofisticati test di penetrazione e modellazione di potenziali percorsi di attacco. AVA_VAN.5 è il livello più alto, che indica la resistenza ad aggressori con un elevato potenziale di attacco alla sicurezza.

Potenziale di attacco alla sicurezza

Ogni livello di AVA_VAN ha un diverso livello di potenziale di attacco. Questo è elencato nella tabella, tratta dalla metodologia di punteggio JIL (Joint Interpretation Library). Il TOE è l'obiettivo di valutazione.

Al livello 3, come richiesto dal livello 3 ARM PSA, dal livello di garanzia SESIP 3 e dal CC EAL3, il potenziale di attacco è considerato Avanzato-Base. Nella metodologia di punteggio JIL, questo intervallo di valori è compreso tra 21 e 24 e rappresenta la somma delle fasi di identificazione e sfruttamento di uno specifico attacco.

I valori vengono determinati combinando diversi fattori: tempo di test trascorso, competenza, conoscenza dei dettagli dell'obiettivo di valutazione, disponibilità di campioni dell'obiettivo di valutazione, sofisticatezza delle apparecchiature necessarie per implementare un dato attacco e disponibilità di campioni aperti dell'obiettivo di valutazione.

Per soddisfare il requisito di livello 3, che prevede un intervallo di 21-24, è necessario innanzitutto considerare il tempo necessario all'attaccante per identificare e sfruttare ogni possibile vulnerabilità. A questo livello, in una settimana si ottengono 6 punti, fino a un mese 9 punti ed in un mese 13 punti, per entrambe le fasi.

Poi c'è la competenza dell'aggressore che esegue l'attacco. Questa dovrebbe essere considerata almeno competente (4 punti) o esperto (9 punti), e l'equipaggiamento richiesto all'aggressore dovrebbe essere classificato come specializzato (7 punti) o personalizzato (11 punti).

La metodologia JIL definisce ciascuna di queste classificazioni in base alle competenze che l'attaccante deve possedere ed ad un elenco di diverse tipologie di equipaggiamento potenzialmente utilizzabili. Per un attacco da parte di un esperto che duri più di una settimana ed utilizzi attrezzature specializzate, il potenziale di attacco sarebbe valutato 22 (6+9+7), che rientra nell'intervallo Enhanced-Basic di 21-24.

A livelli più elevati di CC (EAL4 e EAL5), deve essere soddisfatto il requisito corrispondente di resistenza agli attacchi AVA_VAN.4 o AVA_VAN.5, con potenziali di attacco corrispondenti di Moderato (25-30) e Alto (31+).

L'importanza delle soluzioni con sensori antimanomissione

L'attenzione della sicurezza si sta spostando dalle minacce di rete puramente remote e basate su software ad attacchi fisici ed elettrici che prendono di mira direttamente il silicio. Questo cambiamento è dovuto al fatto che, una volta effettuato l'accesso al pacchetto fisico, i dati sensibili (come le chiavi di crittografia) possono essere estratti utilizzando attacchi side-channel (misurando il consumo energetico o le emissioni elettromagnetiche) o manipolati tramite attacchi di fault injection (interferendo con la tensione, il clock o utilizzando impulsi elettromagnetici).

Le soluzioni di sensori anti-manomissione rappresentano la risposta del settore a questi attacchi fisici. Sono progettate per agire come un sistema immunitario integrato nel chip. Rilevano rapidamente anomalie ambientali che segnalano un attacco attivo, come variazioni di temperatura, tensione, frequenza di clock o la presenza di un campo elettromagnetico esterno. In questo modo, questi sensori aumentano drasticamente la difficoltà ed i costi di una violazione riuscita.

L'integrazione di questi sensori ha un impatto diretto sul punteggio di certificazione di sicurezza. Un set di sensori antimanomissione correttamente implementato, nel nostro esempio precedente, dovrebbe facilmente estendere il potenziale di attacco a oltre un mese da parte di un esperto con attrezzature su misura, raggiungendo un punteggio potenziale di almeno 33 (13+9+11). Se le attrezzature richieste sono considerate solo specialistiche o l'intervallo di tempo è di solo un mese (o anche una settimana), altri fattori potrebbero aumentare il potenziale di attacco, come la conoscenza del target, l'accesso al target (ad esempio, il numero di campioni richiesti) o la necessità di campioni aperti per guidare il valutatore.

Grazie ai recenti progressi nel campo della protezione antimanomissione, sono ora disponibili soluzioni con sensori antimanomissione che si sono dimostrate un modo efficace per proteggere da una vasta gamma di potenziali attacchi alla sicurezza e possono, come parte di una serie di contromisure, contribuire a raggiungere livelli più elevati di certificazione di sicurezza.

Il portfolio agileSecure di Agile Analog include soluzioni di sensori antimanomissione analogici altamente configurabili ed indipendenti dal processo. Tra queste, IP per il rilevamento delle manomissioni, come un rilevatore di glitch di tensione, un monitor di attacco al clock, un sensore di temperatura digitale ed il nuovo rilevatore EMFI che identifica gli attacchi di iniezione di guasti elettromagnetici (EMFI). Questi sensori sono considerati idonei per un valutatore che utilizza componenti di garanzia AVA_VAN.3 (o superiori) come parte del proprio framework di test.

Integrazione di sensori antimanomissione nel sottosistema di sicurezza complessivo

Sebbene i sensori siano fondamentali per il rilevamento, una strategia anti-manomissione completa prevede una serie di contromisure integrate che rafforzano reciprocamente gli obiettivi di sicurezza ed aumentano il punteggio complessivo del potenziale di attacco. Le uscite dei sensori devono essere collegate ad un complesso di gestione degli allarmi, spesso parte di un'enclave di sicurezza più ampia o di una Root of Trust (RoT) sul chip, che risponde all'attacco.

È fondamentale che questo sistema sia progettato per resistere ai tentativi dell'aggressore di disabilitare il rilevamento.

Quando un allarme viene confermato, la risposta deve essere decisa ed immediata. Le risposte possono variare da: la generazione di un NMI (interrupt non mascherabile) per interrompere operazioni sensibili, la cancellazione di valori segreti e chiavi crittografiche dalla memoria volatile e l'attivazione di un reset parziale o completo del chip.

La radice di fiducia può utilizzare un set ben calibrato di IP di sensori antimanomissione per difendersi da un'ampia gamma di attacchi. Per proteggere le chiavi di base gestite da una radice di fiducia, spesso la radice di fiducia include un certo livello di funzionalità antimanomissione. Molte radici di fiducia dispongono di interfacce per estendere la funzionalità antimanomissione integrando sensori o avvisi.

Come le soluzioni antimanomissione possono aiutare la certificazione di sicurezza

Ottenere e mantenere una certificazione di sicurezza non è solo una sfida tecnica, ma anche logistica e commerciale. Il processo di valutazione è lungo e costoso, e i progetti di chip vengono spesso trasferiti a nuovi nodi di fonderia (o tecnologie di processo) per mantenere la competitività in termini di costi e prestazioni.

Questo requisito di riqualificazione e ricertificazione rende cruciale la scelta di un IP anti-manomissione. Sebbene l'utilizzo di sensori puramente digitali possa sembrare allettante per la loro portabilità e la relativa immunità alle perdite di processo, questi spesso non hanno la precisione e la sensibilità necessarie per rilevare le anomalie transitorie e impercettibili, come un singolo glitch di tensione o un picco di clock sincronizzato con precisione, che sono alla base dei moderni attacchi di fault injection.

È qui che i sensori analogici eccellono, poiché misurano proprietà fisiche intrinseche con granularità continua e ad alta risoluzione, rendendoli significativamente più sensibili alle manipolazioni più dettagliate che un aggressore potrebbe tentare. Tuttavia, la tradizionale proprietà intellettuale analogica è notoriamente dipendente dal processo, il che comporta un costoso e lungo lavoro di riprogettazione e ricertificazione in caso di porting su un nuovo nodo.

Agile Analog ha cercato di affrontare direttamente questo conflitto. Offrendo un approccio configurabile ed indipendente dal processo alla proprietà intellettuale anti-manomissione analogica, l'azienda garantisce l'elevata sensibilità necessaria per rilevare attacchi fisici avanzati, eliminando al contempo il consueto inconveniente della dipendenza dal processo. Ciò consente di interfacciare lo stesso progetto logico digitale con la proprietà intellettuale dei sensori di pari livello su diversi nodi di fonderia. Richiedere ed ottenere una certificazione a seguito di una riduzione o di un passaggio a un nuovo nodo può sfruttare gran parte del lavoro di analisi delle vulnerabilità svolto in precedenza. Questa continuità riduce significativamente la necessità di ripetere approfonditi test di penetrazione, migliorando il time-to-market del nuovo prodotto e risparmiando considerevoli costi di sviluppo.

Andando avanti

La certificazione di sicurezza fornisce una garanzia essenziale sulla robustezza della sicurezza dei dispositivi IT e, con le nuove normative sulla sicurezza, come la CRA, l'importanza della valutazione formale sta diventando sempre più importante.

In futuro, i sensori antimanomissione svolgeranno un ruolo cruciale nella certificazione di sicurezza, aiutando le organizzazioni ad ottenere garanzie ed a soddisfare la crescente domanda di silicio fisicamente sicuro.

ENGLISH

Connected devices are becoming increasingly vulnerable to attacks by hackers who are looking to penetrate or manipulate systems to extract sensitive data or disrupt operations.

The proliferation of IoT, automotive electronics and critical infrastructure devices means that the consequences of a breach are no longer limited to data loss but can also include physical damage or system failure.

In an effort to counter these security threats and with the EU’s Cyber Resilience Act (CRA) coming into force in 2027, there has been a renewed focus on security certification. This regulatory push, combined with evolving attack routes, has caused a surge in demand for anti-tamper sensor solutions that can significantly enhance protection against a variety of attack routes and help achieve higher levels of security.

Security certification

The Common Criteria for Information Technology Security, shortened to Common Criteria (CC), is the international standard (ISO/IEC 15408) for the security evaluation and certification of IT products. The aim is to identify and mitigate security vulnerabilities through examination and testing. In essence, CC provides the IT sector with a clear set of metrics to address IT security.

This framework defines specific, rigorous methodologies for evaluating a product's security, which are formally expressed through the various levels of vulnerability assurance. There are several levels of vulnerability assurance defined as part of the EAL (Evaluation Assurance Level), and the AVA_VAN (Vulnerability Assessment / Vulnerability Analysis) requirements. The higher the AVA_VAN level the more secure a device or system is considered against security threats, as higher levels involve comprehensive testing methods to detect potential vulnerabilities and verify security robustness.

Whilst there are some regional differences between CC schemes in Europe, Asia and the US, Common Criteria Recognition Agreements (CCRAs) exist between countries to streamline recognition. Other security certification standards, including ARM PSA (Platform Security Architecture) certified and Global Platform SESIP (Security Evaluation Standard for IoT Platforms), have similar requirements or have adopted CC as a reference in order to improve the security of connected devices.

Security certification levels

Each security certification level offers a specific set of criteria and methodologies to assess the security features of an IT product from basic functionality tests to rigorous, formal verification processes. Examining CC AVA_VAN requirements, levels 3 though 5 are the most interesting to manufacturers of silicon implementing security functionality as these involve complex vulnerability assessments, sophisticated penetration testing and modelling of potential attack routes. AVA_VAN.5 is the highest level, indicating resistance to attackers with a high security attack potential.

Security attack potential

Each level of AVA_VAN has a different level of attack potential. This is listed in the following table from the JIL (Joint Interpretation Library) scoring methodology. TOE is the Target of Evaluation.

At level 3, as required by ARM PSA level 3, SESIP assurance level 3 and CC EAL3, the attack potential is considered to be Enhanced-Basic. In the JIL scoring methodology, this is a range of values from 21-24 and is the sum of the identification and exploitation phases of a specific attack.

The values are determined by combining a number of factors: elapsed test time, expertise, knowledge of details of the evaluation target, availability of samples of the evaluation target, sophistication of required equipment to implement a given attack and availability of open samples of the evaluation target.

To meet the level 3 requirement of a range of 21-24, firstly the time the attacker needs to identify and exploit each possible vulnerability must be considered. At this level, over a week is 6 points, up to a month is 9 points and over a month is 13 points, for both phases.

Then there is the expertise of the attacker performing the attack. This should be deemed at least proficient (4 points) or expert (9 points), and the required equipment for the attacker should be categorised as specialised (7 points) or bespoke (11 points).

The JIL methodology defines each of these ratings based on the skills that the attacker must possess and a list of different types of equipment that could potentially be used. For an attack by an expert exceeding one week using specialised equipment the attack potential would be rated 22 (6+9+7), which falls within the Enhanced-Basic range of 21-24.

At higher levels of CC (EAL4 and EAL5), the corresponding AVA_VAN.4 or AVA_VAN.5 requirement of resistance to attacks must be met, with corresponding attack potentials of Moderate (25-30) and High (31+).

The importance of anti-tamper sensor solutions

The focus of security is shifting from purely remote, software-based network threats to physical and electrical attacks directly targeting the silicon. This shift is driven by the fact that once the physical package is accessed, sensitive data (like encryption keys) can be extracted using side-channel attacks (measuring power consumption or electromagnetic emissions) or manipulated using fault injection attacks (glitching the voltage, clock or using electromagnetic pulses).

Anti-tamper sensor solutions are the industry's response to these physical attacks. These are designed to act as an on-chip immune system. They rapidly detect environmental anomalies that signal an active attack, such as changes in temperature, voltage, clock frequency or the presence of an external electromagnetic field. In doing so these sensors dramatically raise the difficulty and cost of a successful breach.

The integration of these sensors directly impacts the security certification score. A correctly implemented set of anti-tamper sensors, in our previous example, should easily extend the attack potential to over a month by an expert with bespoke equipment, achieving a potential score of at least 33 (13+9+11).  If the equipment required is deemed only specialised or the time frame is only a month (or even a week), other factors could add to attack potential, like knowledge of the target, access to the target (for example, the number of samples required), or a need for open samples to guide the evaluator.

Following recent advances in the anti-tamper space there are now anti-tamper sensor solutions that have proven to be an effective way to protect against a vast array of potential security attacks and can, as part of a range of countermeasures, help achieve higher levels of security certification.

Agile Analog’s agileSecure portfolio contains highly configurable and process agnostic analogue anti-tamper sensor solutions. This includes tamper detection IP such as a voltage glitch detector, clock attack monitor, digital temperature sensor and the new EMFI detector which identifies Electro-Magnetic Fault Injection (EMFI) attacks. These sensors are considered in-scope for an evaluator using AVA_VAN.3 (or higher) assurance components as part of their testing framework.

Integrating anti-tamper sensors within the overall security subsystem

While sensors are critical for detection, a complete anti-tamper strategy involves a set of integrated countermeasures that mutually reinforce security goals and elevate the overall attack potential score. The sensor outputs must be connected to an alert handling complex, often part of a wider security enclave or Root of Trust (RoT) on the chip, that responds to the attack.

Crucially, this system must be designed to be resistant to attempts by the attacker to disable the detection.

When an alert is confirmed, the response must be decisive and immediate. Responses can range from: generating an NMI (non-maskable interrupt) to halt sensitive operations, wiping secret values and cryptographic keys from volatile memory, and triggering a partial or full-chip reset.

The root of trust can use a well-calibrated set of anti-tamper sensor IPs to defend against a wide range of attacks. To protect the base keys that are managed by a root of trust, some level of anti-tamper functionality is often included within a root of trust. Many roots of trust have interfaces to extend the anti-tamper functionality by integrating sensors or alerts.

How anti-tamper solutions can help security certification

Achieving and maintaining a security certification is not just a technical challenge - it is also a logistical and commercial one. The evaluation process is time-consuming and expensive, and chip designs are frequently moved to new foundry nodes (or process technologies) to maintain cost and performance competitiveness.

This requirement for re-qualification and re-certification makes the choice of anti-tamper IP crucial. While using purely digital sensors might seem appealing due to their portability and relative immunity to process shrinks, these often lack the necessary accuracy and sensitivity to detect the subtle, transient anomalies, such as a single voltage glitch or a precisely timed clock spike, that underpin modern fault injection attacks.

This is where analogue sensors excel, as these measure intrinsic physical properties with continuous, high-resolution granularity, making them significantly more sensitive to the fine-grained manipulations an attacker may attempt. However, traditional analogue IP is notoriously process-dependent, involving a costly and time-consuming redesign and re-certification effort when porting to a new node.

Agile Analog has looked to address this conflict directly. By offering a configurable and process-agnostic approach to analogue anti-tamper IP, the company delivers the high sensitivity required to detect advanced physical attacks while eliminating the usual drawback of process dependence. This enables the same digital logic design to be interfaced with sibling sensor IP across different foundry nodes. Applying for and achieving a certification following a shrink or port to a new node can leverage much of the prior vulnerability analysis work. This continuity significantly reduces the need to re-run extensive penetration testing, improving time-to-market for the new product and saving considerable development costs.

Going forward

Security certification provides essential assurance about the security robustness of IT devices and with new security regulations, like the CRA, the importance of formal evaluation is becoming increasingly important.

Going forward anti-tamper sensors have a crucial role to play in security certification helping organisations to achieve assurance and meet the growing demand for physically secure silicon.

Da:

https://draft.blogger.com/blog/post/edit/6141919391942889271/5979793635128566714

Commenti

Posta un commento

Post popolari in questo blog

Paracetamolo, ibuprofene o novalgina: quali le differenze? / acetaminophen, ibuprofen, metamizole : what are the differences?

-
Immagine
Paracetamolo, ibuprofene o novalgina: quali le differenze? / acetaminophen,  ibuprofen, m etamizole    : what are the differences? Segnalato dal Dott. Giuseppe Cotellessa / Reported by Dr. Giuseppe Cotellessa Struttura paracetamolo   (acetaminophen) Struttura ibuprofene Struttura novalgina (Metamizolo)  La febbre La febbre non è una malattia ma il suo segno indiretto (salvo rarissimi casi). Dimostra che l’organismo umano sta reagendo all’attacco batterico o virale. In sé è quindi un segnale positivo, tant’è vero che le persone anziane e defedate possono avere addirittura delle polmoniti senza un decimo di iperpiressia! Ed è pericoloso in quanto si rischia di non riconoscere una patologia importante che può mettere a rischio la sopravvivenza stessa. Un elemento che accompagna spesso la febbre ed allarma molto gli interessati e/o i familiari è la comparsa di brividi, che possono essere così intensi da essere confusi con vere ...
Continua a leggere

SGLT-2 consente di raggiungere un tasso di remissione del diabete più elevato / Moderate Calorie Restriction Plus SGLT-2 Achieves Higher Diabetes Remission Rate

-
Immagine
  La restrizione calorica moderata più SGLT-2 consente di raggiungere un tasso di remissione del diabete più elevato /  Moderate Calorie Restriction Plus SGLT-2 Achieves Higher Diabetes Remission Rate Segnalato dal Dott. Giuseppe Cotellessa /  Reported by Dr. Giuseppe Cotellessa Gli adulti con obesità e diabete di tipo 2 trattati con il farmaco inibitore del cotrasportatore sodio-glucosio-2 (SGLT-2) dapagliflozin, combinato con una moderata restrizione calorica, hanno mostrato di avere tassi molto più elevati di remissione  del diabete di tipo 2  rispetto alle persone che hanno solo limitato l'apporto calorico. La ricerca,  pubblicata su  The BMJ , potrebbe essere un metodo pratico per raggiungere la remissione nei pazienti con diabete di tipo 2 precoce. Gli inibitori di SLGT-2 abbassano i livelli di zucchero nel sangue e possono anche portare alla perdita di peso, ma, fino ad oggi, nessuno studio ha cercato di esaminare il loro effetto insieme alla r...
Continua a leggere

Patologie gastro-intestinali: una panoramica chiara / Gastrointestinal diseases: a clear overview

-
Immagine
  Patologie gastro-intestinali: una panoramica chiara /  Gastrointestinal diseases: a clear overview Segnalato dal Dott. Giuseppe Cotellessa / Reported by Dr. Giuseppe Cotellessa Le patologie gastro-intestinali includono condizioni come gastrite, ulcera e gastro-duodenite.  Provocano sintomi digestivi ricorrenti e richiedono diagnosi mirata, pertanto in questo articolo forniremo una panoramica completa e chiara della maggior parte degli elementi di questo quadro clinico. Le  patologie gastrointestinali  come l’ ulcera gastrica , le  gastriti  e le  gastro-duodeniti  rappresentano un insieme di disturbi che affliggono lo stomaco e l’intestino tenue. Queste condizioni, pur essendo distinte per eziologia e manifestazioni cliniche, condividono alcune somiglianze nei sintomi e nelle modalità di trattamento. Ulcera Gastrica L’ ulcera gastrica , similarmente ad un’ ulcera cutanea , è una lesione cronica o una ferita acuta che si forma sulla mu...
Continua a leggere