Secure Element � Hardware Root of Trust pre embedded syst�my
Secure Element (SE) je dedikovan� mikrocip odoln� voci manipul�cii, navrhnut� na ukladanie kryptografick�ch kl�cov a vykon�vanie bezpecnostn�ch oper�ci� v izolovanom prostred�. Poskytuje Hardware Root of Trust � fyzicky zakotven� bezpecnostn� z�klad, ktor� samotn� softv�r nedok�e replikovat.
Co rob� Secure Element?
| Funkcia | Bez SE | So SE |
|---|---|---|
| Ukladanie kl�cov | V flash pam�ti (extrahovateln�) | V odolnom krem�ku (neextrahovateln�) |
| Kryptografick� oper�cie | Na CPU (zraniteln� voci postrann�m kan�lom) | Izolovan� procesor (chr�nen�) |
| Identita zariadenia | Softv�rov� certifik�t (klonovateln�) | Hardv�rovo zakotven� identita (unik�tna) |
| Overenie secure boot | Softv�rov� kontrola (ob�diteln�) | Hardv�rov� kontrola (nemenn�) |
Popredn� Secure Elementy (2026)
| Produkt | V�robca | Certifik�cia | Kl�cov� vlastnosti |
|---|---|---|---|
| STSAFE-A110 | STMicroelectronics | CC EAL5+ | TLS 1.3 offload, STSAFE-V pre automotive |
| OPTIGA Trust M | Infineon | CC EAL6+ | Chr�nen� pripojenie, integrita platformy |
| EdgeLock SE050 | NXP | CC EAL6+ | IoT-to-cloud, podpora viacer�ch root certifik�tov |
| ATECC608B | Microchip | FIPS 140-2 | N�zka cena, CryptoAuth |
V�etky eur�pskych v�robcov (STMicroelectronics, Infineon) � zabezpecenie suverenity dod�vatelsk�ho retazca pre v�robcov hardv�ru v E�.
Architekt�ra Secure Elementu
- Bezpecn� CPU � Izolovan� procesor s ochranou proti fault injection a postrann�m kan�lom.
- Bezpecn� pam�t � �ifrovan� NVM na ukladanie kl�cov a certifik�tov s akt�vnou detekciou manipul�cie.
- Krypto akceler�tory � Hardv�rov� enginy pre AES, RSA, ECC a coraz viac PQC algoritmy.
- TRNG � Hardv�rov� zdroj entropie pre generovanie kl�cov.
SE vs. TPM vs. TEE
| Vlastnost | Secure Element | TPM | TEE |
|---|---|---|---|
| Forma | Diskr�tny cip na PCB | Diskr�tny cip alebo firmv�r | Z�na v hlavnom procesore |
| Izol�cia | Fyzicky oddelen� | Fyzicky oddelen� | Iba logick� oddelenie |
| Certifik�cia | CC EAL5�EAL6+ | FIPS 140-2/3 | PSA Certified |
| Cena | $0,30�$2,00 za kus | $1�$5 za kus | Zahrnut� v SoC |
| Najlep�ie pre | IoT zariadenia, smart karty | PC, servery | Mobiln� telef�ny |
Pr�pady pou�itia v IoT
1. Identita a autentifik�cia IoT zariaden�
Ka�d� zariadenie dostane unik�tnu hardv�rovo zakotven� identitu pocas v�roby. SE uklad� priv�tny kl�c a X.509 certifik�t. Kl�c nikdy neopust� cip.
2. Retazec d�very Secure Boot
SE overuje autentickost bootloadera pred t�m, ne� hlavn� MCU ho spust�.
3. Bezpecn� OTA aktualiz�cie firmv�ru
SE overuje podpis prich�dzaj�cich firmv�rov�ch bal�kov pomocou ulo�en�ho korenov�ho verejn�ho kl�ca.
Regulacn� kontext E�
EU Cyber Resilience Act (CRA) klasifikuje secure elementy ako produkty �D�le�it� triedy II” � vy�aduj�ce povinn� pos�denie zhody tretou stranou.
S�visiace pojmy
- HSM � V�c�ie hardv�rov� bezpecnostn� moduly; SE s� v podstate miniaturizovan� HSM.
- Secure Boot � Retazec d�very zalo�en� na kl�coch ulo�en�ch v SE.
- IoT � Pripojen� zariadenia, kde SE poskytuj� hardv�rov� ochranu.
- Hardware Root of Trust � �ir�� bezpecnostn� koncept, ktor� SE implementuj� na �rovni cipu.
Na�a prax embedded bezpecnosti integruje secure elementy eur�pskych v�robcov do IoT a priemyseln�ho hardv�ru � s provisionovan�m identity zariaden�, retazcami secure boot a injekciou produkcn�ch kl�cov, navrhnut�mi pre s�lad s CRA priamo z v�robnej linky.