Autor: Martin Motz
Product Sales Manager Microcontroller de Rutronik
Cuanto más potente y omnímodo es internet y más avanzados son los componentes que hacen realidad la conexión de dispositivos “inteligentes”, mayores son las áreas de aplicación que se abren. En combinación con el software, los microcontroladores forman el corazón y el alma de la tecnología de sensores en Industria 4.0 e IoT. Aunque la conectividad de fábricas y hogares inteligentes ofrece un inmenso potencial de crecimiento e innovación – también son vulnerables a los ataques.
Los microcontroladores se están convirtiendo en el escudo ante la manipulación y los ataques informáticos (ciberataques) en el contexto de IoT, Industria 4.0 y robótica. Algunas familias de estos productos ya incorporan un buen número de funciones de seguridad. Los microcontroladores son los principales componentes de control en sistemas conectados. Los fabricantes también están empleando procesos de desarrollo certificados de acuerdo a los estándares más relevantes. Además, a través de la seguridad en sus cadenas de producción, los proveedores garantizan a los clientes el suministro de una solución segura de extremo a extremo. En términos de seguridad, los microcontroladores se pueden clasificar según las aplicaciones a las que se dirigen:
- Soluciones de autentificación y TPM (módulos de plataforma segura), como los modelos para protección de marca y redes IoT
- Banca y soluciones de identificación (ID) para compañías de tarjetas inteligentes clásicas en procesos de pago, números de identificación, transporte y servicios de televisión de pago
- Soluciones de seguridad móvil para sistemas basados en SIM de productos móviles y aplicaciones máquina a máquina (M2M)
- Soluciones de automoción para comunicación en proximidad (NFC, eSE) y conducción segura
Funciones de seguridad de datos integradas
IoT, Industria 4.0 y robótica usan habitualmente microcontroladores estándares para aplicaciones industriales y de consumo (microcontroladores de propósito general). Los modelos con funciones de seguridad integradas también se encuentran disponibles. La familia STM32, por ejemplo, dispone de muchas características que aportan protección ante:
- Usurpación de identidad (protección ante manipulación, de integridad y trazabilidad) • Denegación de servicio de datos (throttling)
- Espionaje y manipulación de datos y código (protección de memoria, gestión de derechos, nivel de depuración, protección ante manipulación, comprobación de integridad y actualizaciones de firmware seguras)
- Ataque físico / mecánico (protección de manipulación onchip) Estas funciones se implementan especialmente en la integración on-chip. Garantizan una autentificación robusta, integridad de plataforma y seguridad de datos total, incluyendo la protección resultante de la privacidad de los usuarios finales y de datos, IP y protección de marca – y, por ello, satisfacen la demanda de la máxima seguridad de datos para productos estándares. Las aplicaciones típicas abarcan, por ejemplo, impresoras, ordenadores, gateways, extremos de IoT y sensores.
Funciones basadas en hardware
Integridad y seguridad operativa: La revisión de redundancia cíclica calcula un checksum que identifica errores en transferencia o almacenamiento de datos. Esto no sólo ofrece una comprobación de integridad, sino que también permite verificar una firma del software durante su tiempo de ejecución. La monitorización de potencia es un método de elevada seguridad (estado de bandera POR (power on RESET)/PDR (power down RESET)/BOR (brown out RESET)/ PVD (programmable voltage detector)) a la hora de determinar la razón de un reinicio y, por consiguiente, asegurar que se produce por un acceso autentificado.
Se complementa con la función “Read while Write – Leer Mientras Escribe” para una detección eficiente de manipulación y acceso (logging). La funcionalidad del Clock Security System (CSS – Sistema de Seguridad de Reloj) se basa en que tanto el reloj como el sistema se restauran, así como en los relojes internos y externos, que funcionan de manera independiente. Asimismo, Watchdog y Window Watchdog monitorizan las ventanas de tiempo de manera independiente. La integridad y la fiabilidad de los contenidos de memoria quedan garantizadas con el Error Correction Code (ECC – Código de Corrección de Errores) y la revisión de paridad. También dotan de protección añadida ante ataques destinados a infectar los sistemas con errores (bugs). Un sensor mide continuamente la temperatura ambiente del IC para asegurar que se mantiene en el rango especificado, evitando así el riesgo de daños duraderos por calentamiento.
Cifrado – pero realizado correctamente
Las técnicas de cifrado protegen un texto fuente del acceso no autorizado al codificar el texto sin formato original. Por lo tanto, cualquier persona que extrae (craquea) el código también puede descifrar el texto encriptado. Las técnicas más avanzadas emplean cifrado simétrico y asimétrico. En el método simétrico, sólo hay una clave en el cifrado y el descifrado, lo que supone que el emisor y el receptor usan la misma clave, mientras que en el modo asimétrico cada una de las partes utiliza su propia clave, con la que se crea un par de claves: consiste en una clave pública para encriptar los datos y una clave privada para descifrarlos. En algunos modelos de la serie STM32, se integra un generador de números aleatorios genuinos en el chip para tareas de cifrado.
Esta encriptación se fundamenta en el Advanced Encryption Standard (AES – Estándar de Cifrado Avanzado) simétrico. Las familias STM32 F2, F4, F7 y L4 se caracterizan por claves con una longitud opcional de 128 / 256 bits, empleando varios métodos (ECB, CBC, CTR, GCM, GMAC y CMAC), mientras que las unidades STM32 L0 / L1 implementan AES de 128 bits. Ventaja del método simétrico: Como sólo hay una clave, la gestión es más sencilla que con un método asimétrico. Además, el cifrado y el descifrado se ejecutan con mayor rapidez. Varios modelos STM32 también cuentan con una función hash. En este caso, los datos se “separan y esparcen” y la función establece un gran volumen de entrada para un menor volumen en el destino.
También existe el Keyed-Hash Message Authentication Code (HMAC – Código de Autentificación de Mensaje en Clave-Hash). La estructura de este código de Message Authentication Code (MAC – Código de Autentificación de Mensaje) se basa en una función hash criptográfica. Los HMACs están especificados en RFC (Request for Comments – Solicitud de Comentarios) 2104 y en el estándar FIPS 198 del NIST (National Institute of Standards and Technology – Instituto Nacional de Normas y Tecnología de Estados Unidos).
Evitar la manipulación
La protección ante manipulación conlleva mecanismos de defensa para evitar ataques físicos lanzados de manera voluntaria o involuntaria en el sistema de hardware fuera del microcontrolador. El Backup Domain (dominio de backup), vinculado a varias fuentes de inicio (wake-up) garantiza que la seguridad se mantiene en modo Low Power (bajo consumo). El Real Time Clock (RTC – Reloj en Tiempo Real) registra la hora y la fecha de cada evento de manipulación. Algunos STM32 también poseen una función de protección de registro de RTC, que bloquea las operaciones de escritura ilícitas y trabaja independiente del reinicio de sistema, pero no incluye protección cuando se realiza una se cuencia de teclas. Si se detecta una manipulación, el registro asegura que el contenido escrito durante ese tiempo se borra automáticamente. Además, los canales de comunicación específicos se pueden cerrar mediante un bloqueo de las entradas / salidas de propósitos generales (GPIO) seleccionadas que, a su vez, se puede cancelar en el próximo reinicio.
Otras armas que defienden ante el ataque
El bloqueo de depuración impide el acceso no autorizado al microcontrolador vía una interfaz de depuración. También se puede elegir el nivel de seguridad en función de la aplicación y sus requisitos, aunque no se pueda bajar de categoría posteriormente. Los derechos de acceso autorizan a los usuarios o grupos de usuarios a efectuar acciones específicas. Para este fin, la Memory Protection Unit (MPU – Unidad de Protección de Memoria) integrada divide la memoria en regiones con diferentes derechos y reglas de acceso. Cuando se produce una transferencia de datos, el firewall salvaguarda el código o la parte de datos de la memoria Flash o SRAM ante el código (fragmentos) ejecutado fuera del sector protegido. El firewall es más restrictivo que la MPU; sólo se integra en el STM32L0 y L4. Una función de protección de lectura permite gestionar el control de acceso de memoria y así impedir volcados de memoria, como backups de IP de usuarios.
La protección de escritura salvaguarda cada sector ante operaciones de escritura no deseadas, mientras que la protección de código privado posibilita que cada sector se configure como “execute only”: sólo se puede ejecutar código (no escribirlo). Las funciones de borrado masivo y seguro (mass erase & secure erase) hacen que las IP y los datos confidenciales se puedan eliminar con seguridad; la acción reinicia la memoria completamente a su estado de fábrica. Para garantizar la trazabilidad de un producto final, muchos dispositivos de la serie STM32 incorporan una ID exclusiva de 96 bits. Esto también se puede utilizar en la diversificación de claves de seguridad. Muchos modelos disponen de capacidad de actualización de firmware segura. Es posible ampliar las funciones de seguridad de hardware a través de medidas basadas en software. La seguridad de un producto final ante la manipulación de terceras personas se fundamenta en las soluciones de software implementadas y los componentes de hardware usados. Los microcontroladores y los chips de memoria – según proceda su combinación con sensores e IC de aplicación específica – resultan esenciales en aplicaciones IoT e Industria 4.0. En relación con el Reglamento General de Protección de Datos de la Unión Europea (EU General Data Protection Regulation – GDPR), que entró en vigor el 25 mayo de 2018, Rutronik ha recopilado las funciones de seguridad integradas en las familias de microcontroladores: Incluye tablas con listas de sistemas para protección ante manipulación, módulos de cifrado, gestión de permisos, nivel de bloqueo de depuración, protección de memoria e integridad y seguridad funcional.
La evaluación de las características relevantes de seguridad presentadas en la lista con respecto a la seguridad de datos en el catálogo de microcontroladores de Rutronik ofrece una buena perspectiva informativa: Al igual que varias familias STM32, los microcontroladores seleccionados de las familias Renesas Rx y Synergy S1/S3 también proporcionan un nivel de cobertura superior a la media en lo que se refiere a la seguridad. Los microcontroladores elegidos en la categoría Synergy S5/ S7 (Renesas) incluso superan los requisitos más estrictos. El soporte integrado para métodos de cifrado simétrico y asimétrico, incluyendo generación de clave basada en AES (128/192/256), 3DES/ARC4 o RSA/ DAS o DLP, debe tener aquí su protagonismo.
La familia Rx se puede considerar como una pionera en términos de cobertura total de varias funciones de seguridad y soporte para mecanismos integrados de cifrado simétrico y asimétrico. Las series XMC-1xxx y XMC-4xxx de Infineon también incorporan protección de datos de seguridad, como se puede observar en las páginas 74/75 del folleto Security Aspects – Aspectos de Seguridad. En el contexto de los requisitos especiales para cifrado simétrico y asimétrico, el fabricante hace referencia al paquete de software Crypto. Basándose en su propia valoración de riesgos de seguridad para productos finales y sus componentes, los desarrolladores pueden observar a simple vista qué microcontroladores pueden usar potencialmente para garantizar la compatibilidad con el GDPR en un diseño de placa.
Si el desarrollador define los requisitos de seguridad para el producto final, el catálogo de Rutronik ofrece una amplia variedad de familias de microcontrolador de fabricantes de semiconductores que superan los retos de la legislación GDPR mediante la integración de características de seguridad relevante. En resumen, la principal conclusión en relación con Industria 4.0 consiste en que los datos y los servicios no son un producto, sino una plataforma de negocio.
En el futuro, se tratará menos de vender maquinaria para generar elevados ingresos. En su lugar, se instalará in situ una gran variedad de máquinas de generación de datos diferentes y el operador de la plataforma ganará dinero principalmente del cliente por los servicios relacionados datos relativos. Esto supondrá un cambio revolucionario en el modelo de negocio de las plantas tradicionales y la industria de fabricación de maquinaria y en sus proveedores de componentes.
