連接技術的飛躍以及對詳盡數據和即時情境回應日益增長的依賴,促使物聯網 (IoT) 蓬勃發展。專家預測,到 2025 年,物聯網設備部署數量將達到 730 億。其中許多將部署在網路外圍邊緣,功能強大的邊緣電腦會將連線設備傳輸以用於儲存、處理、分析和回應命令的大量數據進行本地收集。然而,每個連接到物聯網的組件、設備或感測器都提供了一個新的端點,惡意行為者可能試圖利用該端點。如果成功,惡意行為者可能會竊取或更改敏感數據、操控實體系統的命令、將惡意軟體注入網路,或進行無數其他網路攻擊。
物聯網被入侵的威脅因連線設備在網路中共享的「受信任狀態」而加劇。許多邊緣電腦部署在未受監控的遠端位置,這表示當網路連線不可用時,惡意行為者可能有機會實際存取設備。一個被入侵的端點可能讓惡意行為者自由存取連線資料庫、穿戴式或植入式醫療設備、汽車控制系統或製造車間。為了應對日益複雜的網路攻擊所帶來的演變威脅,邊緣電腦製造商正將信任平台模組 (TPM) 直接整合到其硬體中。
什麼是 TPM?
信任運算群組 (TCG) 構思了硬體安全錨點的概念,以解決 1990 年代網際網路和電子商務興起所暴露的技術漏洞。TPM 將由製造商實體固定在設備主機板上,為產品建立信任鏈,協助保護隨後應用的韌體和軟體。在作業系統層級實作的安全功能可以建立在 TPM 將提供的保護基礎上。例如,Microsoft 的 Windows 10 具有一整套安全功能,可以建立在啟用安全功能的硬體和韌體之上。
該模組於 2009 年首次標準化,TPM 1.2 提供了多項系統保護措施:
- 識別:晶片中燒錄了獨特且不可更改的根金鑰,可明確識別設備。此功能在設備驗證方面具有邊緣意義。
- 加密:TPM 使用根金鑰來加密用於加密檔案、資料夾和完整系統磁碟的金鑰。TPM 中的空間限制將其金鑰儲存限制為單一根金鑰,但透過將其基礎安全性借給進一步加密加密金鑰,產生的金鑰產品可以安全地儲存在模組外部。
- 亂度:TPM 具有亂數產生器,可為加密功能注入亂度,減少暴力破解嘗試的徒勞猜測。
- 啟動安全性:雖然惡意軟體可以在作業系統層級以下運作 — 避開在後續啟動的軟體網路安全解決方案 — TPM 包含平台配置暫存器,可儲存代表安全啟動過程的測量結果。這些測量結果中的任何異常都會導致設備中止啟動過程以進入其上次已知良好狀態。
TPM 1.2 技術提供了製造商和使用者一直缺乏的基礎系統安全性。然而,電腦處理能力的進步降低了 TPM 演算法的有效性。TCG 以 TPM 2.0 作出回應。
TPM 2.0 在 TPM 1.2 上有何改進?
TPM 2.0 透過實作多項新功能,更好地強化了電腦安全性:
- 演算法可互換性:TPM 1.2 鎖定為單一雜湊演算法 SHA-1。當 SHA-1 的有效性受到質疑時,顯然下一個標準需要考量最終演算法淘汰的可能性。TPM 2.0 可以容納多種演算法,以防安裝的演算法無法抵禦威脅。
- 增強的簽章數據:基本驗證簽章現在可以支援額外資訊,例如 PIN 以及生物識別和 GPS 數據。
- 密碼驗證:在不需要足夠保護的部署中,密碼可以減少驗證軟體的複雜性和成本。
- 改進的金鑰管理:金鑰可以委託用於有限的條件使用。
- 功能靈活性:TPM 2.0 讓製造商僅實作部署所需的安全功能。這種靈活性允許在資源受限的物聯網設備中進行 TPM 整合。
TPM 如何保護物聯網?
任何對數據安全和連線設備的正常運作感興趣的實體都應確保其硬體包含 TPM 技術。TPM 生成的憑證形成了跨設備信任,可確保數據通訊和訊號傳輸安全。鑑於許多物聯網和邊緣運算部署的關鍵性質,這種基礎安全性是不可或缺的。
TPM 可以確保整合在設施和關鍵基礎設施中的工業物聯網 (IIoT) 技術的健全性。在工業部署中收集和分析數據的邊緣電腦需要可靠地按預期執行,而不會受到惡意軟體或入侵影響流程的威脅。在這些部署中,能夠操縱機械的異常程式碼可能會導致災難性的動態回應。適當安全的工業邊緣電腦可以防止人身傷害、設備和產品損壞以及環境危害。
在資訊保護方面,TPM 在協助組織遵守日益增長的數據隱私控制方面發揮著重要作用。許多控制措施都授予「安全港」,以避免在存取數據被加密(因此對未經授權方無用)的情況下, costly 和損害聲譽的洩露報告。對於邊緣電腦部署,從連線設備收集的大部分數據如果處理不當、洩露或被入侵,可能會成為隱私侵權訴訟的基礎。邊緣電腦通常部署用於收集生物識別數據、財務資訊甚至視訊影像 — 所有這些都可能包含個人可識別資訊 (PII) 和/或受 HIPAA、GDPR 或 PCI-DSS 等控制措施保護的受保護健康資訊 (PHI)。TPM 能夠為這些敏感數據進行有效的加密,保護消費者以及負責保護其資訊的人員。
邊緣電腦能夠部署到關鍵功能和數據處理必須在無法確保硬體不可存取性的環境中執行的環境中,這使得對安全信任錨點的需求變得至關重要。TPM 技術為物聯網連線系統建立並維護堅不可摧的完整性。透過在製造層級注入此信任錨點,邊緣電腦供應商拒絕惡意行為者可能發動網路攻擊的任何機會。
在此處閱讀更多關於 TPM 2.0 技術如何保護 Premio 強固型邊緣電腦的資訊:https://premioinc.com/pages/tpm2