前のページ   次のページ

セキュリティ機能の概要

Armadillo-IoT ゲートウェイ G4/Armadillo-X2 には用途の異なる 2 つの暗号処理アクセラレータを 搭載します。Armadillo Base OS と組み合わせることで、 豊富なセキュリティ機能を素早く簡単に実現することが可能です。

NXP Semiconductors (以下、NXP) EdgeLock SE050

  • クラウドサービスの接続認証にも利用可能な事前書き込みされたチップ固有鍵や証明書
  • 外部に秘密鍵が露出しないキーストレージ
  • OpenSSL からの利用に対応 (OpenSSL engine) [1]
  • EdgeLock SE05x Plug & Trust Middleware のビルド済みパッケージの提供 [2]
  • 鍵の読み書きコマンドのビルド済みパッケージの提供 [3]

NXP i.MX 8M plus 内蔵の暗号処理アクセラレータ CAAM

  • Cryptographic Acceleration and Assurance Module (以下、CAAM) による高速暗号処理
  • セキュアブート (High Assurance Boot, 以下、HAB)
  • ブートローダーの暗号化
  • ストレージの暗号化
  • セキュアブート、ブートローダーの暗号化、ストレージの暗号化に対応したビルドスクリプトの提供
  • ファイルの暗号化・復号コマンドのビルド済みパッケージの提供 [4]

Arm TrustZone

  • ソフトウェア実行環境の隔離 (OP-TEE) [5]

[1] RSA, EC, RNG のみ。OpenSSL 1.1 に対応。3.0 は非対応となります

[2] NXP からリリースされるライブラリのビルド済みパッケージを Alpine Linux と Debian Linux 向けにリリースしています

[3] アットマークテクノが開発したコマンドを Alpine Linux と Debian Linux 向けにリリースしています

[4] Black key blob を利用した暗号処理を Alpine Linux 向けにリリースしています

[5] 工場出荷状態や製品アップデートに含まれる Armadillo Base OS では OP-TEE は機能しません。詳しくは 「OP-TEE を利用する前に」 を参照してください


前のページ   次のページ
Armadillo-IoT ゲートウェイ G4/Armadillo-X2 セキュリティガイド ホーム
PDF version		 第2章 本書について
セキュリティ機能の概要
本書について
本書の目的
本書の構成
表記について
フォント
コマンド入力例
アイコン
セキュリティの考え方
セキュリティの費用対効果
Armadiilo-IoT ゲートウェイ G4/Armadillo-X2 のセキュリティ領域
Armadillo-IoT ゲートウェイ G4/Armadillo-X2 で実現できるセキュリティ機能と効果
モデルユースケース
ネットワーク機器
クラウドサービスへの接続機器
決済処理が可能な機器
鍵の保護
EdgeLock SE050 を利用したキーストレージ
EdgeLock SE05x Plug & Trust Middleware
EdgeLock SE050 を有効にする
Plug & Trust Middleware のインストール
Plug & Trust Middleware を活用する
補足説明
セキュアブート
セキュアブートとチェーンオブトラスト
HAB とは
署名環境を構築する
署名環境について
ATDE を準備する
署名ツール (CST) を準備する
アップデートファイル作成ツール (mkswu) を準備する
Armadillo Base OS イメージの取得
署名環境のディレクトリツリー構成
署名鍵を生成する
セキュアブート機能の選択
セキュアブートのセットアップ
uboot-imx のセキュアブートの実装仕様
セットアップの流れ
署名済みブートローダーの作成
署名済み Linux カーネルイメージの作成
ルートファイルシステムのビルド
セキュアブートセットアップ用 SD boot ディスクの作成
ブートローダーの暗号化に対応したセキュアブートのセットアップ
uboot-imx の暗号化セキュアブートの実装仕様
セットアップの流れ
署名済みの暗号化ブートローダーの作成
署名済み Linux カーネルイメージの生成
暗号化セキュアブート対応 swu の作成
ルートファイルシステムのビルド
暗号化セキュアブートセットアップ用 SD boot ディスクの作成
ストレージの暗号化のセットアップ
実装仕様の概要
セットアップの流れ
署名済みの暗号化ブートローダーの作成
ストレージ暗号化対応の署名済み Linux カーネルイメージの作成
ストレージ暗号化および暗号化セキュアブート対応 swu の作成
ストレージ暗号化対応のルートファイルシステムのビルド
ストレージ暗号化対応の暗号化セキュアブートセットアップ用 SD boot ディスクの作成
Armadillo-IoT ゲートウェイ G4/Armadillo-X2 上の作業
Armadillo-IoT ゲートウェイ G4/Armadillo-X2 の準備
SRK ハッシュの書き込み
close 処理
ファームウェアの書き込みをはじめる
作業が中断した場合
動作確認
ストレージ暗号化の確認
セキュアブートの確認
セットアップ完了後のアップデートの運用について
補足情報
secureboot.conf の設定方法
署名済みイメージと展開先
セキュアブートのフロー
ビルドのプロセスフロー
ファームウェアアップデートのフロー
SRK の無効化と切り替え
ソフトウェア実行環境の保護
OP-TEE
Arm TrustZone と TEE の活用
OP-TEE とは
OP-TEE の構成
Armadillo Base OS への組み込み
OP-TEE を利用する前に
鍵の更新
CAAM を活用した TEE を構築する
ビルドの流れ
ビルド環境を構築する
ブートローダーを再ビルドする
imx-optee-client をビルドする
アプリケーションをビルドする
imx-optee-test をビルドする
ビルド結果の確認と結果の収集
OP-TEE を組み込む
パフォーマンスを測定する
Edgelock SE050 を活用した TEE を構築する
OP-TEE 向け plug-and-trust ライブラリ
ビルドの流れ
ビルド環境を構築する
OP-TEE 向け plug-and-trust をビルドする
imx-optee-os のコンフィグの修正
uboot-imx の修正
imx-optee-os の imx-i2c ドライバの修正
ビルドとターゲットボードへの組み込み
xtest の制限
imx-optee-os 技術情報
ソフトウェア全体像
フロー
メモリマップ
量産に向けてデバッグ機能を閉じる
JTAG と SD boot を無効化する
u-boot の環境変数の変更を制限する
u-boot プロンプトを無効にする
悪意のある攻撃者への対策
KASLR
KASLRの有効化
KASLRの有効化確認