Embedded
Seguridad

símbolo-Seguridad.svg

Basándonos en muchos años de experiencia de varios proyectos de clientes, hemos desarrollado una oferta de seguridad para usted que incluye los puntos más importantes para su producto:

  • Know-how y protección de la imagen
  • Garantizar la disponibilidad de sus dispositivos y servicios
  • Redes y comunicaciones seguras de sus dispositivos
  • Acceso remoto seguro para mantenimiento y servicio
  • Mantener y ampliar el nivel de seguridad.
  • Tiempos de respuesta cortos para eventos críticos
PHYTEC_Security_packages_2023.jpg
Servicios de seguridad@2x.png

   El jefe de producto Yves Astein presenta los nuevos paquetes de seguridad.

Medidas de seguridad _ para una protección personalizada

Nuestras ofertas de software son de libre acceso y utilizan soluciones de código abierto. Para la firma de cargadores de arranque, a veces es necesario utilizar soluciones específicas del fabricante del controlador.

xs-simbolo-Beratung.svg
xs-symbol-Schulungen-Entrenamientos.svg
xs-symbol-Software-Lifecycle-Management.svg
  • Entrenamiento de seguridad y asesoramiento de proyectos individuales
     
  • Características de seguridad en nuestro estándarBSPy soluciones personalizadas
     
  • Inicialización segura (Aprovisionamiento) en nuestro sitio de producción en Mainz (Alemania)
     
  • Gestión del ciclo de vida del software

Preferimos un enfoque holístico y trabajamos de acuerdo con las recomendaciones de mejores prácticas, así como la serie internacional de estándares establecidos en la industria para "Redes de comunicaciones industriales - Seguridad de TI para redes y sistemas" (IEC 62443). 

Para que este proceso sea lo más rentable posible para usted, trabajamos con una selección de métodos básicos con los que se pueden implementar los más diversos requisitos de seguridad. En la práctica, solo alcanzar el primer nivel de seguridad es una mejora significativa en la protección de su producto.

Nivel de seguridad
(SL) 		Medios tecnicos
del atacante 		Recursos (tiempo / dinero)
del atacante 		habilidades
del atacante 		Motivación
del atacante 		Daño a la confidencialidad
(según IoTSF) 		Daño a la integridad
(según IoTSF) 		Daño de disponibilidad
(según IoTSF) 		Significado
1 no gering no Error de usuario liberación
informacion delicada 		limitado mínimo • Prevención de
errores accidentales del usuario
• Tiene pérdida de datos
consecuencias mínimas
2 conocimiento general de TI gering general bajo,
deliberadamente dirigido 		Pérdida
informacion delicada 		limitado limitado • Guión para niños
• La pérdida de datos ha sido limitada
Influencia en la persona / organización
3 altamente desarrollado moderar específico del sistema moderar,
deliberadamente dirigido 		Pérdida mucho
informacion delicada 		limitado alto, catastrófico • Prevención de
ataques medianos (piratas informáticos)
• Tiene pérdida de datos
Impacto significativo
4 altamente desarrollado extendido específico del sistema elevado,
deliberadamente dirigido 		Pérdida mucho
informacion delicada 		alto, catastrófico alto, catastrófico • Prevención de
grandes ataques (piratas informáticos)
(Estados / organizaciones)

El ciberdelito es real y los requisitos de la legislatura son variados y dependen del uso de su producto final.

Junto con usted, determinamos los requisitos legales relevantes para su proyecto y decidimos la solución.

Se deben observar las siguientes leyes al lanzar productos de TI:

  • Ley de seguridad cibernética - Todos los productos se clasifican en clases según el nivel de seguridad.
  • Leyes de responsabilidad por productos y el estado del arte
  • Ley federal de protección de datos (BDSG)
  • Ley de seguridad informática para infraestructuras críticas (CRITIS)

Para una mejor introducción al tema, ofrecemos regularmente cursos de formación sobre seguridad. Esto le brinda una descripción completa. Las áreas temáticas de nuestros cursos de formación incluyen:

  • aspectos legales - Estándares y pautas
    - ¿Qué prescribe el legislador?
     
  • Conceptos básicos (Pirámide de seguridad): desde el módulo hasta el tiempo de ejecución
    - ¿Qué medidas de protección existen?
     
  • Seguridad por diseño - Desarrollar productos seguros
    - ¿Cómo se tiene en cuenta la seguridad en el proceso de desarrollo?
     
  • Inicialización segura - Funciones de seguridad en producción
    - ¿Cómo consigues tu clave en el módulo?
     
  • Gestión de ciclo de software - Mantenimiento de software sostenible
    - ¿Cómo proporciona actualizaciones a su producto?

Cuéntenos brevemente los requisitos de su proyecto y los riesgos de los que desea protegerse y le ofreceremos el correspondiente taller interno o consulta del proyecto.

Precio desde 1800 € / día más gastos
 

grafik-Seguridad-Pyramide@2x.png

En nuestro phyBSP Funciones de seguridad ya incluidas:

  • Arranque seguro para Barebox (NXP-i.MX 6)
  • Arranque seguro para u-boot (NXP-i.MX 7, NXP-i.MX 8)
  • Kernel de Linux firmado como imagen FIT
  • Módulo CAAM para cifrar el sistema de archivos

Las siguientes características adicionales que no forman parte del estándarBSPs son pueden en forma de un individuo BSPse crean para su producto:

  • Endurecimiento del grano
  • Integración de módulos de seguridad adicionales
  • Entorno de ejecución confiable (optee)
  • Autenticación y conexión segura (TLS)
Seguridad-Siegel@2x.png

Nuestro servicio ofrece:

  • Activación de arranque seguro
  • Certificados X509 específicos del dispositivo para la autenticación para todos los proveedores de la nube (por ejemplo, Microsoft Azure, AWS, Google IOT), servidores de actualización (por ejemplo, MenderIO, FoundriesIO, etc.) o su propio servidor
  • Instalación de un sistema mínimo Linux para una configuración final simplificada e instalación de software en sus productos
  • Registro de dispositivos en la nube (Microsoft Azure, AWS, Google IOT)
  • Activación / desactivación de funciones del controlador, p. Ej., JTAG
  • Cifrado de directorios o particiones en su dispositivo

Somos su socio confiable para estas tareas, ya que podemos asumir la seguridad de sus claves privadas y otros secretos durante la producción y la importación de software con nuestro servicio de aprovisionamiento en Mainz (Alemania).

Garantizamos la máxima seguridad:

  • Producción propia en la ubicación de Mainz
    La inspección y la auditoría son posibles y deseables
  • Procesos y roles definidos
  • Área protegida con acceso restringido
  • Contacto directo con los empleados responsables relevantes (fomento de la confianza)
  • La soberanía clave permanece contigo
    Uso de módulos seguros de hardware
  • Sin inicialización de productos para uso militar o de servicio secreto
    Minimización de riesgos para usted y PHYTEC

Permítanos hacerle una oferta sin compromiso.

Utilice nuestra gestión del ciclo de vida del software para el mantenimiento sostenible y vinculante de los paquetes de soporte de la placa para el hardware específico de su cliente. Probamos su hardware con los últimos parches y actualizaciones durante todo el ciclo de vida del producto.

xxl-symbol-embedded-service.svg

Tiene preguntas sobre la seguridad integrada
o necesitas apoyo para tu proyecto? 

 

Nuestro equipo de seguridad estará encantado de ayudarte.

El controlador correcto _ Lo apoyamos para tomar la decisión correcta

table-Security-Features@2x.jpg

Pirámide de seguridad _ Todas las medidas posibles para defenderse de los ataques se pueden dividir aproximadamente en tres áreas.

El siguiente Requisitos de seguridad básicos son la piedra angular de un sistema Linux integrado seguro:

Comienza segura

El uso de Secure Boot garantiza que solo se pueda ejecutar software firmado y confiable en el módulo de hardware. Secure Boot es el núcleo de la cadena de confianza. Con la ayuda de esta cadena de confianza, se puede garantizar que solo se utilice software verificado hasta la aplicación final.

Entorno de ejecución confiable (op-tee)

ARM TrustZone es una función para SoC y procesadores de las familias de procesadores ARM Cortex-A y Cortex-M. TrustZone tiene dos dominios separados (mundo normal y mundo seguro). Las claves se almacenan en el mundo seguro, al que se puede acceder a través de una API desde el mundo normal de Linux. TrustZone es la base del Trusted Execution Environment, del cual op-tee es una implementación OpenSource.

eMMC con bloque de memoria protegido de reproducción

Los datos secretos se pueden almacenar en la partición RPMB, que está protegida contra el acceso no autorizado.

Identificación del dispositivo

La identificación segura de dispositivos es un requisito fundamental para la comunicación con sus dispositivos en redes. Con este fin, estamos trabajando en un proceso para la inicialización segura del chip criptográfico, entre otras cosas.

TPM y elementos seguros

Los chips criptográficos y los elementos seguros como el chip TPM permiten almacenar y administrar claves criptográficas. Las claves privadas se almacenan a prueba de manipulaciones independientemente del software utilizado.

CAAM NXP

Cuando se activa el arranque seguro, el módulo CAAM de NXP ofrece una funcionalidad similar a un chip TPM, pero sin la protección física certificada.

Características de la cadena de confianza

  • Trusted ROM Bootloader comprueba la imagen del software antes de que se ejecute
  • Uso de pares de claves RSA-4096 y firmas SHA-256
  • Estos algoritmos cumplen con los requisitos de la BSI (Oficina Federal para la Seguridad de la Información) y el NIST (Instituto Nacional de Estándares y Tecnología) hasta 2030 y más allá.
  • Base para el establecimiento de un entorno de ejecución de confianza (TEE) y ARM TrustZone®
grafik-Cadena-de-Confianza@2x.jpg

Red de Seguridad

Cuando los dispositivos se comunican con un servidor o entre sí, la conexión debe ser segura. TLS es el protocolo más común y el método independiente de la aplicación para implementar una conexión cifrada.

  • Establezca una conexión segura independientemente de la aplicación o el protocolo utilizado
  • TLS (SSL) está reconocido como la mejor práctica y el estándar de la industria para la comunicación cifrada.

Recomendaciones generales
para aumentar el
Seguridad de la aplicación

  • Ejecute solo los servicios que realmente necesita en su dispositivo
  • Cierre todos los puertos y solo abra los puertos necesarios de forma muy selectiva
  • Utilice siempre inicios de sesión protegidos con contraseña (incluidas las interfaces COM y Telnet)
  • Utilice protocolos estándar para la transferencia de datos
  • Utilice implementaciones comunes para el cifrado (sin desarrollo interno)

Linux de línea principal

Linux es nuestra primera opción como sistema operativo para uso en serie industrial. Uno de nuestros objetivos claros es ofrecer a nuestros clientes las ventajas de una línea principalBSPs para proporcionar:

  • Código estable, correcciones rápidas de errores / seguridad, así como mantenimiento y mayor desarrollo de los controladores principales por parte de la comunidad.
  • Mainline es una garantía para el mantenimiento de las versiones actuales del sistema operativo, incluso después de muchos años.
  • A menudo ofrecemos un proveedor y una línea principalBSP al mismo tiempo. De esta manera, puede decidir cuándo subir a bordo con Mainline.
  • Für phyBOARD-BSPs: Se incluye la última versión del kernel con los parches de seguridad actuales.
  • Für phyBOARD-BSPs: Se incluyen los últimos lanzamientos de Yocto-Minor
  • Für phyBOARD-BSPs: Anual BSP-Actualizaciones con todos los parches de seguridad principales
  • Núcleo LTS en el BSPs para los productos PHYTEC
  • Pruebas personalizadas con integración continua

Interfaces

Todas las interfaces accesibles en el producto final son un riesgo potencial de seguridad para los sistemas integrados.

  • Utilice solo las interfaces necesarias
  • Acceso a interfaces dependiente del usuario
  • Uso de conexión encriptada

Además de los ataques a través de interfaces o conexiones de red, la manipulación directa del hardware también representa un riesgo de seguridad. Los siguientes métodos están disponibles para proteger sus dispositivos electrónicos de ataques físicos:

Protección contra manipulación

  • Protege datos sensibles como cifrado o claves privadas
  • Elimina datos de forma permanente si se manipula el dispositivo
  • Es posible una amplia variedad de realizaciones

Encapsulación (fundición de resina)

  • Se evita el acceso físico a componentes individuales
  • Se evita la detección de los componentes y piezas utilizados.
  • La ingeniería inversa utilizando medidas eléctricas no es posible
xxl-expert talks.svg

¡Nuestros expertos integrados están ahí para usted!

 

Asegure su cita de consulta personal de forma rápida, sencilla y gratuita.
¡30 minutos exclusivamente para ti y tu proyecto!

Educación + Formación _ Utilice nuestro know-how para el desarrollo de su producto

Salones, webinars, tous les évènements o para conocer les équipes Phytec en 2023

Con la transferencia de conocimientos de nuestros expertos a sus desarrolladores, ¡alcanzará su objetivo más rápido!

 

Los participantes de nuestros cursos de formación reciben un conocimiento sólido del desarrollo profesional de hardware y software.

vous avez un proyecto sobre la base del procesador del módulo, los equipos de phytec en su caso, se desarrollan en la serie