PUFkeyst 简介

以PUF实现简单可靠的密钥与数据存储

摘要

最广泛使用的嵌入式密钥存储方法是以一次性编程(OTP)为基础的内存(例如fuses或anti-fuses),或基于非挥发性内存(NVM)(例如EEPROM或闪存)进行存储。但是,当前的密钥存储方法面临威胁,如密钥泄漏、修改或破坏。密钥泄漏是指在操作过程中,密钥被显露出来;密钥修改通常涉及对内存进行被膜剥脱或旁道攻击,以更改内存中存储的值;破坏则是用错误注入的方式使整个系统停摆。

 

系统的安全级别在很大程度上取决于其密钥的强度与密钥的机密程度。 PUFkeyst提供了一种新的密钥存储方法,使密钥存储在内存时不被电子显微镜或是能量侦测仪所看见,PUFkeyst会将密钥与嵌入的NeoPUF进行搅乱后再存储。因此尽管不同芯片存储的数据(例如共享密钥)相同,但实际存储在每个芯片OTP的数据都是不同的,这增加了攻击的难度,因为无法从不同芯片撷取出部分信息以拼凑出完整的密钥。此外,PUFkeyst通过与NeoPUF值绑定可以有效地防止密钥被修改,所以可以在不涉及加密引擎的情况下,提高密钥存储的安全级别。

无需安全算法即可达到高阶安全存储: PUFkeyst

 

OTP内存是最常见的密钥存储方式,它使用永久编程的存储单元来实现具有良好安全性的小型存储器。但是,熔丝技术通常会在显微镜下观察到其编写状态的可见线索,使这些存储器无法招架逆向工程的攻击。为了保护存储的密钥,有时会使用密钥加密密钥(KEK)方案,KEK分别与被写入的密钥使用不同的密钥,再以加密引擎对存储的密钥加密。

PUFkeyst为这个难题提供了另一个解决方案。它以NeoPUF值缠绕数据本身,从而无需使用KEK即可达到高安全级别。当将机密注入到设备中时,它将与NeoPUF值进行混成,生成与注入机密不同的唯一存储机密。这将防止许多物理攻击,包括被膜剥脱、显微镜成像、探测等。此外,由于NeoPUF的独特性,PUFkeyst内部存储的信息因芯片而异,这样可以防止攻击者在设备上窃取共享机密,借机入侵整个系统。

产品优势

 

最广泛使用的安全存储方法之一是密钥加密密钥(KEK)方案,但是使KEK将会面对一个问题: 如何保护KEK的密钥,这成为通过​​添加新密钥来保护密钥的无穷循环;另一方面,由于加密引擎处理所需的时间,KEK的速度相当慢,当需要加密时,得先解密密钥,接着才能开始加密过程,这对于需要及时加密的情境而言并不理想。

 

PUFkeyst使用NeoPUF值与数据本身进行混成以达到较高的安全级别,而无需使用加密演算,并具备对不同攻击的抵抗力。它解决了保护额外密钥的问题,无须KEK循环中无休止的密钥,同时仍能获得安全的存储。此外,由于不涉及加密演算,故能为某些应用程序(例如安全启动代码存储)降地功耗和加快速度。

 

PUFkeyst可以防止密钥被盗取或是复制,由于每一颗NeoPUF的固有差异,使得每个芯片内部存储的秘密与其他芯片中存储的秘密完全不同,因此它可以安全的绑定在设备上。在不知道NeoPUF值的情况下,攻击者无法找到正在使用的真实密钥,也无法使用任何其它设备来破坏PUFkeyst,此外,PUFkeyst可以抵抗对存储密钥之内存的重写攻击,即使攻击者重写了与NeoPUF缠绕的数据,真实密钥仍然不同于重写的密钥。

产品特色

  • 可靠的加密方法确保密钥存储的安全性,并且不能透过电子显微镜或能量侦测仪直接读出。

  • 加密值随芯片不同而有所不同,使每个芯片中存储的信息皆不相同。

  • 不能更改或删除PUFkeyst内部存储的值。

  • 抵抗多种物理攻击,包括被膜剥脱、显微镜成像,探针探测,逆向工程等。

 

参考规格

© 2019 PUFsecurity  All Rights Reserved