隨著物聯網的普及,其資安議題也受到積極探討與重視,近兩三年來,越來越多的第三方非營利組織,釋出相關的標準或認證/標章計畫,這也突顯物聯網設備符合資安標準的要求,正成為市場看重的新潮流。除了20年前提出的共同準則(Common Criteria,ISO/IEC 15408),已被多國認可與遵循,成為資通安全產品評估及驗證的共同標準,如今的物聯網安全議題,更是橫跨法規遵循、標準與認證這三大面向,並且從產業到國家等層級都有諸多發展,協助與促成製造商保護其設備。
事實上,這兩年最受矚目的國際產品資訊安全議題焦點,除了Common Criteria與既有國際工控資安標準IEC 62443,就是歐洲主導發展的消費型物聯網資安標準ETSI EN 303 645,以及美國NIST發布的物聯網設備廠商網路安全指南8259A。
特別的是,今年11月底,有國際產業組織在臺推動另一個新興的物聯網平臺安全評估標準SESIP,是更聚焦於系統與供應鏈的層面,國內的資策會也與該標準推動者Global Platform,簽署了合作備忘錄(MOU),希望能共同促進在晶片與IoT安全方面的合作。
SESIP從CC標準優化而來,聚焦物聯網平臺與元件
關於SESIP,全名是Security Evaluation Standard for IoT Platforms,主要基於Common Criteria的方法論而發展,專門針對IoT產品所基於的平臺與元件而設計,提供通用的評估方法,以滿足資安、合規與隱私。因此,這項評估標準聚焦IoT底層晶片與平臺的供應鏈層面,甚至也可對應自駕車領域。
多位Global Platform成員表示,SESIP可簡化CC驗證相關流程,還提供彈性且有效率的評估方法,將能高度與其他資安標準對應,尤其是ETSI EN 303645。
甚至,從現場演說者公布的資料來看,SESIP計畫將對應的國際標準相當多,像是:IEC 62443、UL2900、ICA(IoT Connectivity Alliance),以及NIST8259A、RISC-V、ISO 21434,以及SP800-213、UNECE WP.29等。
為何SESIP是更有效率的評估方法?臺灣產業為何需要關注?資策會資安所副主任高傳凱指出,過往Common Criteria的認證週期約2年,所需時間多半超過產品在市場販售的有效期間,而SESIP期望解決這個問題,因此才從CC蛻變而出。而且,重要的是,SESIP幾乎沒有降低安全性評估要求,主要減少了一些冗餘的評估流
程,將流程最佳化。
再者,臺灣在Common Criteria的認證上,因國際政治地位的問題而無法參與,而SESIP方案較無這方面的參與門檻,我們以經濟體的身分即可加入。
另一方面,從SESIP可對應其他資安標準的特性來看,基本上,這是供應鏈的資安標準,也就是說,一旦滿足這項基礎資安認證,終端產品將可採用經SESIP認證的組件,來組合成一個終端產品。而由於SESIP可連結其他國際標準,一旦建立相互承諾報告的機制,這意味著,取得SESIP認證後,該終端產品只要再針對SESIP未涵蓋到的範圍去取得認證,將有助於加快終端產品認證速度。因此,從SESIP的發展來看,應該也是期望能夠變成一個認證上的基礎,進而能夠更方便去對應全球各種標準規範。
在SESIP的標準文件當中,也說明了本身的發展歷程。簡單來說,這個標準在兩年前提出,自2020年3月釋出1.0版,並在2021年6月發布1.1版,檢視SESIP標準的內容,其安全功能需求有6大層面,包括:平臺與應用程式的識別與證明、產品生命週期、通訊安全、額外攻擊抗性、加密功能與合規功能。其中,採用Root of Trust的硬體安全是重點之一,在額外攻擊抗性這一項聚焦硬體安全及安全隔離,加密功能則涵蓋到加解密演算法、金鑰產生演算法、金鑰儲存方法、亂數產生器等。
而其安全保證級別上,分為五級,最低是SESIP 1,最高則是SESIP 5。
SESIP生態系成形,國內已有華邦電子積極推動
SESIP後市可期,積極推動此標準的Global Platform是關鍵。他們是在1999年成立的非營利組織,聚焦於安全晶片(SE、TEE與TPS)、IoT技術,以及SESIP認證等推動,至今已有蘋果、Arm、高通等100多個會員參與。
而在這個組織與其合作夥伴當中,較積極投入推動SESIP的成員,主要包括:義法半導體、恩智浦、AWS FreeRTOS、微軟、瑞薩電子、Slicon Labs、IAR Systems、Secure Thingz、Microchip、Eurosmart,國際電工委員會(IEC),亦包括來自國內的華邦電子(Winbond)。
特別的是,SESIP標準的制定者、TrustCB的執行長Wouter Slegers,也來臺發表演說,他提到整個SESIP生態系,除了上述業者,其實還包括幾個重要組織,例如,Arm建立的PSA認證專案、歐洲標準化委員會(CEN)、歐洲電信標準協會(ETSI)、美國國家標準技術研究院(NIST);以及驗證與測試機構,如TrustCB、SGS Brightsight、Applus與Riscure等。
至於推動這兩年多來的成效,是否已有業者取得SESIP認證?華邦以色列分公司的總經理Ilia Stolov表示,在微控制器MCU方面,有意法半導體、瑞薩電子、XNP、Slicon Labs與Microchip;在記憶體方面,有華邦電子。
促進臺晶片供應鏈安全檢測認驗,與國際關鍵資安標準接軌
最後,綜觀Global Platform與國內產業的合作,雙方都希望能藉由MOU的簽訂,逐步增進彼此間的合作。以Global Platform的目標而言,希望能夠建立安全IoT平臺的生態系,因此他們看重臺灣ICT產業實力,希望能夠共同推動。
對於臺灣而言,近年政府聚焦強化供應鏈資安,希望幫助本土高科技製造業,能夠順利通過國際市場對於物聯網設備的嚴格資安規範,同時國內也正在發展IoT晶片安全和測試標準。例如,在經濟部技術處支持下,資策會資安所成立Chip Security Lab(CSL),而電機電子工業同業公會(TEEMA)也發布了「晶片安全產業標準」。
因此,在多方合作之下,不只是讓臺灣自有晶片安全實驗室,能取得SESIP認可實驗室資格,被國際資安認證認可,使本土廠商可以在地進行檢測,減少送往國外取證的時間與成本,接下來的重點,應是將Global Platform的SESIP標準,與臺灣自行建立的IoT晶片安全與測試標準做到連結。
促進全球物聯網平臺安全生態系,以及推動臺灣晶片安全產業標準,Global Platform主席Stéphanie El Rhomri與資訊工業策進會執行長卓政宏共同簽署合作備忘錄,數位發展部數位產業署署長呂正華(中)也到場支持與見證。
根據Global Platform主席Stéphanie El Rhomri說明,他們的全球成員已有100多個,包含蘋果、Arm、AT&T、Cisco、Oracle、NTT、Verizon、高通,以及NXP、義法半導體、英飛凌,還有HIDGlobal、VISA、萬事達卡等,國內亦有華邦電參與。
關於SESIP生態系,身為SESIP標準制定者也是TrustCB執行長的Wouter Slegers表示,當中包括:義法半導體、NXP、微軟、瑞薩電子等,以及國內的華邦電子,都是主要推動者。不僅如此,生態系中還包含多個重要組織,例如,Arm建立的PSA認證專案、歐洲標準化委員會(CEN)、歐洲電信標準協會(ETSI)、美國國家標準技術研究院(NIST),以及相關驗證與測試機構。
在發展安全快閃記憶體(Secure Flash)上,除了Secure Over-The-Air、Secure Data Storage、Secure Boot等安全機制,最底層的Root of Trust也是關鍵重點之一,華邦電總經理詹東義也闡述了SESIP的重要性,以及Secure Flash上的發展態勢。
另外,在這場研討會上,美國美國國家標準暨技術研究院(NIST)也以視訊方式說明他們在IoT安全方面的相關計畫與發展歷程。
同時,微軟產業解決方案暨客戶創新亞太區總經理葉怡君也在此會議上,說明他們在Zero-trust IoT資安的相關計畫與現況。
熱門新聞
2024-09-29
2024-10-01
2024-10-01
2024-10-01
2024-09-29
2024-09-30
2024-09-30