Riešenia Vstavanej Bezpečnosti a IoT
Vstavaná bezpečnosť (Embedded security) je prax budovania kryptografickej ochrany priamo do hardvéru — s využitím bezpečnostných prvkov (Secure Elements) odolných voči neoprávnenej manipulácii, hardvérových bezpečnostných modulov (HSM) a šifrovaných bootovacích reťazcov na vytvorenie hardvérového koreňa dôvery (Root of Trust). Na rozdiel od čisto softvérovej bezpečnosti, ochranu zakotvenú v hardvéri nemožno obísť malvérom, exploitmi pamäte ani útokmi prostredníctvom vzdialeného spustenia kódu.
Inovasense navrhuje IoT zariadenia, ktoré sú bezpečné už od návrhu (secure by design) — v súlade so zákonom EÚ o kybernetickej odolnosti (EÚ 2024/2847), smernicou NIS2 (EÚ 2022/2555), IEC 62443 pre priemyselnú bezpečnosť a ETSI EN 303 645 pre spotrebiteľské IoT.
Prečo záleží na hardvérovej bezpečnosti v roku 2026
Zákon o kybernetickej odolnosti EÚ nadobúda povinnú účinnosť v roku 2027 a vyžaduje od všetkých produktov s digitálnymi prvkami predávaných v EÚ implementáciu riešenia zraniteľností, softvérového kusovníka (SBOM) a záväzkov na 5-ročné bezpečnostné aktualizácie. Produkty klasifikované ako “kritické” (sieťové zariadenia, priemyselné riadiace systémy, inteligentné merače) čelia posúdeniu zhody treťou stranou.
Bezpečnosť zakotvená v hardvéri už nie je prémiovou funkciou — je to regulačná požiadavka.
- Uloženie kľúčov odolné voči manipulácii — Kryptografické kľúče nikdy neopustia bezpečný prvok; ich extrakcia vyžaduje deštruktívnu fyzickú analýzu
- Measured boot — Každá fáza firmvéru je kryptograficky overená pred spustením, čo zabraňuje perzistencii rootkitov
- Odolnosť voči fyzickým útokom — Aktívne tieniace siete, detektory napäťových glitchov a svetelné senzory detegujú a reagujú na pokusy o fyzické vniknutie
- Bezpečnosť životného cyklu — Bezpečný provisioning, rotácia kľúčov, správa certifikátov a vyradenie z prevádzky na konci životnosti riadené hardvérom
- Post-kvantová pripravenosť — Hybridná výmena kľúčov (ML-KEM + X25519) a digitálne podpisy (ML-DSA) chrániace pred budúcimi kvantovými hrozbami
Náš Architektonický Stack Bezpečnosti
Hardvérový Root of Trust
Integrujeme certifikované bezpečnostné IO od popredných európskych výrobcov (STMicroelectronics, Infineon, NXP) na zabezpečenie hardvérovej suverenity:
| Komponent | Produkty | Certifikácia | PQC Ready |
|---|---|---|---|
| Secure Elements | STMicroelectronics STSAFE-A110, Infineon OPTIGA Trust M, NXP EdgeLock SE050 | CC EAL6+ | Cesta aktualizácie firmvéru |
| TPM Moduly | STMicroelectronics ST33 (TPM 2.0), Infineon SLB 9672 | TCG 2.0, FIPS 140-3 | Áno |
| Java Card | STMicroelectronics ST31 / STPay, NXP JCOP4 | CC EAL6+, EMVCo | Na úrovni apletu |
| Bezpečné MCU | STM32H5 / STM32U5 (TrustZone + ST-ONE), NXP LPC55S | PSA Certified L3 | Podpora knižníc |
| Bezpečné Enklávy | STM32MP2 (Hardvérová izolácia), ARM CCA | Izolácia certifikovaná | Hardvérovo asistovaná |
Kryptografická Implementácia
- Symetrická: AES-128/256-GCM (hardvérovo akcelerovaná), ChaCha20-Poly1305
- Asymetrická: ECC P-256/P-384, Ed25519/Ed448, RSA-3072/4096
- Post-Kvantová (štandardy NIST): ML-KEM-768/1024 (zapuzdrenie kľúča), ML-DSA-65/87 (digitálne podpisy), SLH-DSA (bezstavové podpisy založené na hashovaní)
- Hybridné schémy: X25519 + ML-KEM pre TLS 1.3, ECDSA + ML-DSA pre podpisovanie firmvéru
- Hashovanie: SHA-256, SHA-3, SHAKE-256, HMAC pre autentifikáciu správ
- Správa kľúčov: Odvodenie HKDF, reťazce certifikátov X.509v3, rozhrania PKCS#11, DICE (Device Identifier Composition Engine)
Secure Boot a Ochrana Firmvéru
Naša implementácia secure boot sa riadi modelom ARM PSA (Platform Security Architecture):
- Nemeniteľný bootloader — Uložený v ROM, kryptograficky overuje ďalšiu fázu pomocou Ed25519 alebo ML-DSA
- Reťazec dôvery — Každá fáza bootovania overuje tú nasledujúcu; koreň dôvery je ukotvený v hardvérových poistkách (fuses)
- Integrita za behu — Jednotky ochrany pamäte (MPU) a TrustZone vynucujú izoláciu procesov
- Bezpečné OTA aktualizácie — Podpísané balíčky firmvéru (manifest SUIT) s atomickým návratom (rollback) pri zlyhaní overenia
- Integrácia SBOM — Automatizované generovanie softvérového kusovníka pre súlad s CRA
Bezdrôtová Konektivita pre IoT
Navrhujeme riešenia konektivity prispôsobené požiadavkám každej aplikácie na napájanie, dosah a šírku pásma:
| Protokol | Dosah | Dátový tok | Spotreba | Najlepšie pre |
|---|---|---|---|---|
| BLE 5.4 | 100m | 2 Mbps | Ultra-nízka | Nositeľná elektronika, asset tagy, PAwR |
| LoRaWAN 1.0.4 | 15km | 50 kbps | Veľmi nízka | Environmentálne monitorovanie, meranie |
| NB-IoT (Rel-17) | Mobilné | 250 kbps | Nízka | Sledovanie majetku na veľké vzdialenosti |
| Wi-Fi 7 (802.11be) | 50m | 5,8 Gbps | Stredná | Video v reálnom čase, brány (gateways) |
| Thread 1.3/Matter | 30m | 250 kbps | Nízka | Smart home/building, interoperabilita |
| 5G RedCap (Rel-17) | Mobilné | 150 Mbps | Stredná | Priemyselné IoT, autonómne systémy |
| DECT NR+ (2024) | 1km | 3 Mbps | Nízka | Privátne priemyselné mesh siete, nemobilné |
Dizajn s Ultra-Nízkou Spotrebou
Naše zariadenia dosahujú viacročnú výdrž batérie vďaka:
- Optimalizácii režimu spánku — Odber prúdu <500 nA v hlbokom spánku s budením cez RTC
- Pracovnému cyklu (Duty cycling) — Inteligentné algoritmy plánovania znižujú aktívny čas pod 0,1%
- Zberu energie (Energy harvesting) — Solárne (interiér/exteriér), termoelektrické a vibračné zberacie obvody
- Profilovaniu spotreby — Meriame skutočný odber prúdu v každej fáze návrhu pomocou analyzátorov Otii Arc a PPK2
- Optimalizácii chémie batérií — LiFePO4 pre extrémne teploty, solid-state články pre dlhú životnosť, hybridné topológie so superkondenzátormi
Súlad a Certifikácia (2026)
| Nariadenie | Účinnosť | Požiadavka | Náš Prístup |
|---|---|---|---|
| Zákon o kybernetickej odolnosti EÚ (EÚ 2024/2847) | 2027 povinné | Riešenie zraniteľností, SBOM, 5-ročné aktualizácie | Architektúra Secure-by-design, automatizovaný SBOM, technická dokumentácia CRA |
| Smernica NIS2 (EÚ 2022/2555) | Okt 2024 | Bezpečnosť dodávateľského reťazca pre kľúčové subjekty | Bezpečný životný cyklus vývoja, plán reakcie na incidenty |
| IEC 62443 | Prebieha | Bezpečnosť priemyselnej automatizácie | Model zón a kanálov, hodnotenie SL-T, SDL |
| ETSI EN 303 645 | Prebieha | Základná bezpečnosť spotrebiteľského IoT | Všetkých 13 ustanovení: žiadne predvolené heslá, bezpečné úložisko, minimálny útočný povrch |
| Delegovaný akt RED (2022/30) | Aug 2025 | Kybernetická bezpečnosť pre rádiové zariadenia | Secure boot, overené aktualizácie, ochrana siete |
| GDPR Čl. 25 | Prebieha | Ochrana údajov už pri návrhu | Architektúra chrániaca súkromie, lokálne spracovanie, minimálny zber údajov |
| Zákon o umelej inteligencii (AI Act) (2024/1689) | 2025–2027 | Klasifikácia rizika systému AI | Podpora posudzovania zhody pre IoT s podporou Edge AI |
Všetky bezpečnostné architektúry sú navrhnuté a zdokumentované v rámci Európskej únie. Ako štandardné výstupy poskytujeme kompletnú dokumentáciu modelu hrozieb (STRIDE/DREAD), správy o bezpečnostných testoch, výstupy SBOM a analýzy medzier v súlade s predpismi.
Často kladené otázky
Čo je vstavaná bezpečnosť v IoT?
Vstavaná bezpečnosť v IoT označuje bezpečnostné opatrenia zakotvené v hardvéri priamo v zariadeniach — vrátane bezpečných prvkov (Secure Elements), apletov Java Card, modulov TPM a šifrovaného bootovania. Inovasense navrhuje bezpečný IoT hardvér v súlade so zákonom o kybernetickej odolnosti EÚ (CRA).
Prečo je hardvérová bezpečnosť dôležitá pre IoT?
Čisto softvérovú bezpečnosť možno obísť. Hardvérová bezpečnosť poskytuje koreň dôvery odolný voči manipulácii, chráni kryptografické kľúče, zabezpečuje secure boot a zabraňuje neoprávneným aktualizáciám firmvéru — čo je nevyhnutné pre kritickú infraštruktúru a pripojené zariadenia.
Čo je zákon o kybernetickej odolnosti EÚ?
Zákon o kybernetickej odolnosti EÚ (CRA) je legislatíva EÚ vyžadujúca, aby všetky produkty s digitálnymi prvkami spĺňali požiadavky na kybernetickú bezpečnosť počas celého ich životného cyklu. Inovasense navrhuje hardvér, ktorý je v súlade s CRA už od fázy architektúry.