物聯網安全設計從晶片與系統層面做起,SESIP標準在臺推動,可高度對應其他國際標準,盼發展成認證上的基礎

關於SESIP標準,TrustCB執行長暨SESIP標準制定者Wouter Slegers表示,物聯網平臺不僅生態系統複雜,也會不斷衍生多樣性的產品,而SESIP提供更有效率界定物聯網安全要求的評估方法。(攝影/羅正漢)

隨著物聯網的普及,其資安議題也受到積極探討與重視,近兩三年來,越來越多的第三方非營利組織,釋出相關的標準或認證/標章計畫,這也突顯物聯網設備符合資安標準的要求,正成為市場看重的新潮流。除了20年前提出的共同準則(Common Criteria,ISO/IEC 15408),已被多國認可與遵循,成為資通安全產品評估及驗證的共同標準,如今的物聯網安全議題,更是橫跨法規遵循、標準與認證這三大面向,並且從產業到國家等層級都有諸多發展,協助與促成製造商保護其設備。

事實上,這兩年最受矚目的國際產品資訊安全議題焦點,除了Common Criteria與既有國際工控資安標準IEC 62443,就是歐洲主導發展的消費型物聯網資安標準ETSI EN 303 645,以及美國NIST發布的物聯網設備廠商網路安全指南8259A。

特別的是,今年11月底,有國際產業組織在臺推動另一個新興的物聯網平臺安全評估標準SESIP,是更聚焦於系統與供應鏈的層面,國內的資策會也與該標準推動者Global Platform,簽署了合作備忘錄(MOU),希望能共同促進在晶片與IoT安全方面的合作。

SESIP從CC標準優化而來,聚焦物聯網平臺與元件

關於SESIP,全名是Security Evaluation Standard for IoT Platforms,主要基於Common Criteria的方法論而發展,專門針對IoT產品所基於的平臺與元件而設計,提供通用的評估方法,以滿足資安、合規與隱私。因此,這項評估標準聚焦IoT底層晶片與平臺的供應鏈層面,甚至也可對應自駕車領域。

多位Global Platform成員表示,SESIP可簡化CC驗證相關流程,還提供彈性且有效率的評估方法,將能高度與其他資安標準對應,尤其是ETSI EN 303645。

甚至,從現場演說者公布的資料來看,SESIP計畫將對應的國際標準相當多,像是:IEC 62443、UL2900、ICA(IoT Connectivity Alliance),以及NIST8259A、RISC-V、ISO 21434,以及SP800-213、UNECE WP.29等。

為何SESIP是更有效率的評估方法?臺灣產業為何需要關注?資策會資安所副主任高傳凱指出,過往Common Criteria的認證週期約2年,所需時間多半超過產品在市場販售的有效期間,而SESIP期望解決這個問題,因此才從CC蛻變而出。而且,重要的是,SESIP幾乎沒有降低安全性評估要求,主要減少了一些冗餘的評估流
程,將流程最佳化。

再者,臺灣在Common Criteria的認證上,因國際政治地位的問題而無法參與,而SESIP方案較無這方面的參與門檻,我們以經濟體的身分即可加入。

另一方面,從SESIP可對應其他資安標準的特性來看,基本上,這是供應鏈的資安標準,也就是說,一旦滿足這項基礎資安認證,終端產品將可採用經SESIP認證的組件,來組合成一個終端產品。而由於SESIP可連結其他國際標準,一旦建立相互承諾報告的機制,這意味著,取得SESIP認證後,該終端產品只要再針對SESIP未涵蓋到的範圍去取得認證,將有助於加快終端產品認證速度。因此,從SESIP的發展來看,應該也是期望能夠變成一個認證上的基礎,進而能夠更方便去對應全球各種標準規範。

在SESIP的標準文件當中,也說明了本身的發展歷程。簡單來說,這個標準在兩年前提出,自2020年3月釋出1.0版,並在2021年6月發布1.1版,檢視的內容,其安全功能需求有6大層面,包括:平臺與應用程式的識別與證明、產品生命週期、通訊安全、額外攻擊抗性、加密功能與合規功能。其中,採用Root of Trust的硬體安全是重點之一,在額外攻擊抗性這一項聚焦硬體安全及安全隔離,加密功能則涵蓋到加解密演算法、金鑰產生演算法、金鑰儲存方法、亂數產生器等。

而其安全保證級別上,分為五級,最低是SESIP 1,最高則是SESIP 5。

SESIP生態系成形,國內已有華邦電子積極推動

SESIP後市可期,積極推動此標準的Global Platform是關鍵。他們是在1999年成立的非營利組織,聚焦於安全晶片(SE、TEE與TPS)、IoT技術,以及SESIP認證等推動,至今已有蘋果、Arm、高通等100多個會員參與。

而在這個組織與其合作夥伴當中,較積極投入推動SESIP的成員,主要包括:義法半導體、恩智浦、AWS FreeRTOS、微軟、瑞薩電子、Slicon Labs、IAR Systems、Secure Thingz、Microchip、Eurosmart,國際電工委員會(IEC),亦包括來自國內的華邦電子(Winbond)。

特別的是,SESIP標準的制定者、TrustCB的執行長Wouter Slegers,也來臺發表演說,他提到整個SESIP生態系,除了上述業者,其實還包括幾個重要組織,例如,Arm建立的PSA認證專案、歐洲標準化委員會(CEN)、歐洲電信標準協會(ETSI)、美國國家標準技術研究院(NIST);以及驗證與測試機構,如TrustCB、SGS Brightsight、Applus與Riscure等。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店:臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗,提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

至於推動這兩年多來的成效,是否已有業者取得SESIP認證?華邦以色列分公司的總經理Ilia Stolov表示,在微控制器MCU方面,有意法半導體、瑞薩電子、XNP、Slicon Labs與Microchip;在記憶體方面,有華邦電子。

促進臺晶片供應鏈安全檢測認驗,與國際關鍵資安標準接軌

最後,綜觀Global Platform與國內產業的合作,雙方都希望能藉由MOU的簽訂,逐步增進彼此間的合作。以Global Platform的目標而言,希望能夠建立安全IoT平臺的生態系,因此他們看重臺灣ICT產業實力,希望能夠共同推動。

對於臺灣而言,近年政府聚焦強化供應鏈資安,希望幫助本土高科技製造業,能夠順利通過國際市場對於物聯網設備的嚴格資安規範,同時國內也正在發展IoT晶片安全和測試標準。例如,在經濟部技術處支持下,資策會資安所成立Chip Security Lab(CSL),而電機電子工業同業公會(TEEMA)也發布了「晶片安全產業標準」。

因此,在多方合作之下,不只是讓臺灣自有晶片安全實驗室,能取得SESIP認可實驗室資格,被國際資安認證認可,使本土廠商可以在地進行檢測,減少送往國外取證的時間與成本,接下來的重點,應是將Global Platform的SESIP標準,與臺灣自行建立的IoT晶片安全與測試標準做到連結。

促進全球物聯網平臺安全生態系,以及推動臺灣晶片安全產業標準,Global Platform主席Stéphanie El Rhomri與資訊工業策進會執行長卓政宏共同簽署合作備忘錄,數位發展部數位產業署署長呂正華(中)也到場支持與見證。

根據Global Platform主席Stéphanie El Rhomri說明,他們的全球成員已有100多個,包含蘋果、Arm、AT&T、Cisco、Oracle、NTT、Verizon、高通,以及NXP、義法半導體、英飛凌,還有HIDGlobal、VISA、萬事達卡等,國內亦有華邦電參與。

關於SESIP生態系,身為SESIP標準制定者也是TrustCB執行長的Wouter Slegers表示,當中包括:義法半導體、NXP、微軟、瑞薩電子等,以及國內的華邦電子,都是主要推動者。不僅如此,生態系中還包含多個重要組織,例如,Arm建立的PSA認證專案、歐洲標準化委員會(CEN)、歐洲電信標準協會(ETSI)、美國國家標準技術研究院(NIST),以及相關驗證與測試機構。

在發展安全記憶體(Secure Flash)上,除了Secure Over-The-Air、Secure Data Storage、Secure Boot等安全機制,最底層的Root of Trust也是關鍵重點之一,華邦電總經理詹東義也闡述了SESIP的重要性,以及Secure Flash上的發展態勢。

 

另外,在這場研討會上,美國美國國家標準暨技術研究院(NIST)也以視訊方式說明他們在IoT安全方面的相關計畫與發展歷程。

同時,微軟產業解決方案暨客戶創新亞太區總經理葉怡君也在此會議上,說明他們在Zero-trust IoT資安的相關計畫與現況。

https://www.ithome.com.tw/news/154900