Secure Element — Hardware Root of Trust pre embedded systémy
Secure Element (SE) je dedikovaný mikrocip odolný voci manipulácii, navrhnutý na ukladanie kryptografických kľúčov a vykonávanie bezpecnostňach operšci� v izolovanom prostred�. Poskytuje Hardware Root of Trust — fyzicky zakotvený bezpecnostňa základ, ktorý samotňa softvér nedokže replikovat.
Co robí Secure Element?
| Funkcia | Bez SE | So SE |
|---|---|---|
| Ukladanie kľúčov | V flash pamäti (extrahovatelňa) | V odolnom kremíku (neextrahovateľný) |
| Kryptografick� operácie | Na CPU (zraniteľný voci postranňam kaňalom) | Izolovaňa procesor (chršneňa) |
| Identita zariadenia | Softvérová certifikát (klonovatelňa) | Hardvýrovo zakotvený identita (unikštna) |
| Overenie secure boot | Softvérová kontrola (obšditelňa) | Hardvérová kontrola (nemenný) |
Popredňa Secure Elementy (2026)
| Produkt | Výrobca | Certifikácia | Kľúčová vlastnosti |
|---|---|---|---|
| STSAFE-A110 | STMicroelectronics | CC EAL5+ | TLS 1.3 offload, STSAFE-V pre automotive |
| OPTIGA Trust M | Infineon | CC EAL6+ | Chršneňa pripojenie, integrita platformy |
| EdgeLock SE050 | NXP | CC EAL6+ | IoT-to-cloud, podpora viaceršch root certifikátov |
| ATECC608B | Microchip | FIPS 140-2 | Nízka cena, CryptoAuth |
Vžetky európskych výrobcov (STMicroelectronics, Infineon) — zabezpecenie suverenity dodávateľského retazca pre výrobcov hardvéru v EÚ.
Architektúra Secure Elementu
- Bezpecňa CPU — Izolovaňa procesor s ochranou proti fault injection a postranňam kaňalom.
- Bezpecňa pamäť — šifrovaný NVM na ukladanie kľúčov a certifikátov s aktšvnou detekciou manipulšcie.
- Krypto akcelerátory — Hardvérová enginy pre AES, RSA, ECC a coraz viac PQC algoritmy.
- TRNG — Hardvérová zdroj entropie pre generovanie kľúčov.
SE vs. TPM vs. TEE
| Vlastnost | Secure Element | TPM | TEE |
|---|---|---|---|
| Forma | Diskrétny cip na PCB | Diskrétny cip alebo firmvér | Zšna v hlavnom procesore |
| Izolácia | Fyzicky oddeleňa | Fyzicky oddeleňa | Iba logick� oddelenie |
| Certifikácia | CC EAL5šEAL6+ | FIPS 140-2/3 | PSA Certified |
| Cena | $0,30�$2,00 za kus | $1�$5 za kus | Zahrnut� v SoC |
| Najlepšie pre | IoT zariadenia, smart karty | PC, servery | Mobilňa telefšny |
Pršpady použitia v IoT
1. Identita a autentifikšcia IoT zariadení
Každý zariadenie dostane unikštnu hardvérovo zakotvený identitu pocas výroby. SE ukladá privýtny klšc a X.509 certifikát. Klšc nikdy neopust� cip.
2. Retazec dôvery Secure Boot
SE overuje autentickost bootloadera pred tím, ne� hlavný MCU ho spustí.
3. Bezpecňa OTA aktualizácie firmvéru
SE overuje podpis prichšdzajšcich firmvérových balíkov pomocou uložeňaho korenovýho verejného kľúča.
Regulacňa kontext EÚ
EU Cyber Resilience Act (CRA) klasifikuje secure elementy ako produkty �Dôležitá triedy II” — vyžadujúce povinná posúdenie zhody tretou stranou.
Súvisiace pojmy
- HSM — Všc�ie hardvérová bezpecnostňa moduly; SE sú v podstate miniaturizovaňa HSM.
- Secure Boot — Retazec dôvery založeňa na klšcoch uložeňach v SE.
- IoT — Pripojené zariadenia, kde SE poskytujú hardvérová ochranu.
- Hardware Root of Trust — �ir— bezpecnostňa koncept, ktorý SE implementuj� na úrovni cipu.
Naža prax embedded bezpecnosti integruje secure elementy európskych výrobcov do IoT a priemyselnáho hardvéru — s provisionovaňam identity zariadení, retazcami secure boot a injekciou produkcňach kľúčov, navrhnutými pre súlad s CRA priamo z výrobnej linky.