Secure Element — Hardvérový koreň dôvery pre embedded systémy
Secure Element (SE) je dedikovaný mikročip odolný voči manipulácii, navrhnutý na ukladanie kryptografických kľúčov a vykonávanie bezpečnostných operácií v izolovanom prostredí. Poskytuje hardvérový koreň dôvery — fyzicky zakotvený bezpečnostný základ, ktorý samotný softvér nedokáže replikovať.
Čo robí Secure Element?
| Funkcia | Bez SE | So SE |
|---|---|---|
| Ukladanie kľúčov | V flash pamäti (extrahovateľné) | V odolnom kremíku (neextrahovateľné) |
| Kryptografické operácie | Na CPU (zraniteľné voči postranným kanálom) | Izolovaný procesor (chránený) |
| Identita zariadenia | Softvérový certifikát (klonovateľný) | Hardvérovo zakotvená identita (unikátna) |
| Overenie secure boot | Softvérová kontrola (obíditeľná) | Hardvérová kontrola (nemenná) |
Popredné Secure Elementy (2026)
| Produkt | Výrobca | Certifikácia | Kľúčové vlastnosti |
|---|---|---|---|
| STSAFE-A110 | STMicroelectronics | CC EAL5+ | TLS 1.3 offload, STSAFE-V pre automotive |
| OPTIGA Trust M | Infineon | CC EAL6+ | Chránené pripojenie, integrita platformy |
| EdgeLock SE050 | NXP | CC EAL6+ | IoT-to-cloud, podpora viacerých root certifikátov |
| ATECC608B | Microchip | FIPS 140-2 | Nízka cena, CryptoAuth |
Všetky európskych výrobcov (STMicroelectronics, Infineon) — zabezpečenie suverenity dodávateľského reťazca pre výrobcov hardvéru v EÚ.
Architektúra Secure Elementu
- Bezpečný CPU — Izolovaný procesor s ochranou proti fault injection a postranným kanálom.
- Bezpečná pamäť — Šifrovaná NVM na ukladanie kľúčov a certifikátov s aktívnou detekciou manipulácie.
- Krypto akcelerátory — Hardvérové enginy pre AES, RSA, ECC a čoraz viac PQC algoritmy.
- TRNG — Hardvérový zdroj entropie pre generovanie kľúčov.
SE vs. TPM vs. TEE
| Vlastnosť | Secure Element | TPM | TEE |
|---|---|---|---|
| Forma | Diskrétny čip na PCB | Diskrétny čip alebo firmvér | Zóna v hlavnom procesore |
| Izolácia | Fyzicky oddelený | Fyzicky oddelený | Iba logické oddelenie |
| Certifikácia | CC EAL5–EAL6+ | FIPS 140-2/3 | PSA Certified |
| Cena | $0,30–$2,00 za kus | $1–$5 za kus | Zahrnutý v SoC |
| Najlepšie pre | IoT zariadenia, smart karty | PC, servery | Mobilné telefóny |
Prípady použitia v IoT
1. Identita a autentifikácia IoT zariadení
Každé zariadenie dostane unikátnu hardvérovo zakotvenú identitu počas výroby. SE ukladá privátny kľúč a X.509 certifikát. Kľúč nikdy neopustí čip.
2. Reťazec dôvery Secure Boot
SE overuje autentickosť bootloadera pred tým, než hlavný MCU ho spustí.
3. Bezpečné OTA aktualizácie firmvéru
SE overuje podpis prichádzajúcich firmvérových balíkov pomocou uloženého koreňového verejného kľúča.
Regulačný kontext EÚ
EU Cyber Resilience Act (CRA) klasifikuje secure elementy ako produkty „Dôležité triedy II” — vyžadujúce povinné posúdenie zhody treťou stranou.
Súvisiace pojmy
- HSM — Väčšie hardvérové bezpečnostné moduly; SE sú v podstate miniaturizované HSM.
- Secure Boot — Reťazec dôvery založený na kľúčoch uložených v SE.
- IoT — Pripojené zariadenia, kde SE poskytujú hardvérovú ochranu.