AN14559 EdgeLock A30 Secure Authenticator
„
Tehnilised andmed:
- Turvaline autentija: EdgeLock A30
- Toetab: IoT platvorme, elektroonilisi tarvikuid, kulumaterjale
seadmeid - Peamised omadused:
- Kiibil olev ECC võtme genereerimine
- Common Criteria EAL 6+ turvasertifikaat
- Toetab AES, ECDSA, ECDH, SHA, HMAC, HKDF krüptograafiat
funktsionaalsust - Tarnitakse koos VDD-ga
- Pakend: kasutusvalmis lahendus koos tervikliku tootega
toetust
Toote kasutusjuhised:
1. Üleview EdgeLock A30:
EdgeLock A30 on turvalise autentimise IC, mis on mõeldud
mitmesugused rakendused, sealhulgas IoT platvormid, elektroonilised
tarvikud ja kuluseadmed. See tagab privaatvõtmete olemasolu
kaitstud IC-s ja toetab krüptograafilisi toiminguid
turvaline suhtlus.
2. Põhifunktsioonid:
- Kiibisisene ECC-võtmete genereerimine turvalise võtmehalduse jaoks
- Common Criteria EAL 6+ turvalisuse sertifikaat AVA_VAN.5
- Toetab AES, ECDSA, ECDH, SHA, HMAC ja HKDF krüptograafiat
funktsioonid
3. Alustamine:
EdgeLock A30 kasutamise alustamiseks vaadake dokumenti AN14238
"Alustage EdgeLock A30 turvalise autentimise toega
pakett” üksikasjalike seadistusjuhiste jaoks.
Korduma kippuvad küsimused (KKK):
K: Mis on peamine erinevus EdgeLock A5000 ja
EdgeLock A30?
V: Peamised erinevused hõlmavad täiustatud krüptograafilisi funktsioone,
turvasertifikaadid ja tugi laiemale valikule
krüptoalgoritme EdgeLock A30 võrreldes
A5000.
K: Kuidas tagada turvaline side EdgeLock A30-ga?
V: Kasutage toetatud krüptograafilisi funktsioone, nagu AES,
ECDSA ja HMAC turvaliste kanalite loomiseks ja autentimiseks
suhtlusseansid.
"`
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
Rev. 1.1 – 23. jaanuar 2025
Rakenduse märkus
Dokumendi teave
Teave
Sisu
Märksõnad
EdgeLock A30 turvaline autentija, NX vahevara
Abstraktne
See dokument kirjeldab kaalutlusi EdgeLock A5000-l põhineva olemasoleva kujunduse üleviimisel EdgeLock A30-le.
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
1 Teave EdgeLock A30 turvalise autentimise kohta
EdgeLock A30 on turvaline autentimise IC asjade Interneti platvormidele, elektroonilistele tarvikutele ja kuluseadmetele, nagu koduelektroonikaseadmed, mobiilitarvikud ja meditsiinitarbed.
EdgeLock A30 toetab kiibil asuvat ECC-võtmete genereerimist, et tagada, et privaatvõtmed pole kunagi väljaspool IC-d eksponeeritud. See teostab turvakriitiliste side- ja juhtimisfunktsioonide jaoks krüptograafilisi toiminguid. EdgeLock A30 on Common Criteria EAL 6+ turbesertifikaat, millel on tootetasemel AVA_VAN.5 sertifikaat ja mis toetab üldist Crypto API-t, mis pakub AES-i, ECDSA-, ECDH-, SHA-, HMAC- ja HKDF-i krüptograafilisi funktsioone.
· Asümmeetrilised krüptograafiafunktsioonid toetavad 256-bitist ECC-d üle NIST P-256 ja brainpooli P256r1 kõverate. · Sümmeetrilised krüptograafia funktsioonid toetavad nii AES-128 kui ka AES-256. · Sigma-I protokollil põhinev PKI-põhine vastastikune autentimine. · Sümmeetriline kolmekäiguline vastastikuse autentimise protokoll, mis ühildub N-gaTAG42x ja MIFARE DesFire EV2,
DesFire EV3 ja DesFire Light. · Turvaline sõnumsidekanal, kasutades kas AES-128 või AES-256 seansi krüptimist/dekrüpteerimist ja MAC-i.
Common Criteria turbesertifikaat tagab, et IC turvameetmeid ja kaitsemehhanisme on hinnatud keerukate mitteinvasiivsete ja invasiivsete rünnakustsenaariumide suhtes. · A30 toetab I2C kontaktiliidest ja sellel on kaks täiendavat GPIO-d. · A30 toetab vähese energiatarbega disaini ja tarbib ainult 5 A sügavtoiterežiimis, kui väline
VDD on kaasas.
Joonis 1. EdgeLock A30 tugipakett üleview
Kasutusvalmis lahendusena tarnitud EdgeLock A30 sisaldab täielikku tootetoe paketti, mis lihtsustab projekteerimist ja vähendab valmistamise aega. Lisateavet leiate jaotisest AN14238 EdgeLock A30 turvalise autentimise tugipaketiga alustamine.
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 2 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
2 Migreerimine EdgeLock EdgeLock A5000-st EdgeLock A30-le
Selles dokumendis kirjeldatakse EdgeLock A5000-l põhineva olemasoleva disainilahenduse EdgeLock A30 lahendusele üleviimise kaalutlusi. See on jaotatud järgmistesse jaotistesse: · Jaotis 2.1 Riistvara integreerimise kaalutlused · Jaotis 2.2 I2C liidese ja sideprotokollide kaalutlused · Jaotis 2.3 Autentimisrakenduse kaalutlused · Jaotis 2.4 Vahevara kaalutlused
Joonis 2 näitab EdgeLock A5000 ja EdgeLock A30 kõrgetasemelist võrdlust
Autentimisrakendus
ECC krüptoskeemide toetatud elliptilised kõverad sümmeetrilise krüptoalgoritmi AES režiimid
MAC-i räsifunktsiooni võtme tuletamise (KDF) vastastikuse autentimise turvalise kanali rakenduse seansid
Rakenduse tugi
Suhtlemine
ECDSA ECDH/ECDHE1 NIST Brainpool
AES (128, 192, 256)
CBC, ECB, CTR CCM, GCM HMAC, CMAC GMAC SHA HKDF (RFC5869) Asümmeetriline vastastikune autentimine Sümmeetriline vastastikune autentimine Secure Channel Host -SE Samaaegsete autentitud seansside arv ECC-võtmepõhine pilveühenduvus (TLS 1.2)1.3, XNUMX.
T=1 I2C protokolli kaudu
I2C aadress TRNG DRBG vaba kasutaja mäluliides MCU/MPU GPIO-de toiteallikaletage Vahemik
Energiasäästurežiimid
Temperatuurivahemik Pakett
I2C sihtmärk
sisend, väljund, teade eduka autentimise kohta
Väljalülitamine (oleku säilitamisega) Sügav väljalülitamine (oleku säilitamine puudub) ENA Pin (HW lähtestamine ja sügava väljalülitamise lubamine
A5000 P256/P384
X P256/P384
–
X
XXXX SHA 256/384 X EC-Key autentimise AESKey seanss (SCP03 kasutades AES128) Platvorm SCP03
2
X
T=1` üle I2C vastavalt globaalsele platvormile või NXP UM11225-le
Määratletud tootmise ajal (vaikimisi: 0x48)
NIST SP800 -90B, AIS31 NIST SP800 -90A, AIS20
8 KB
X (kuni 1 Mbit/s)
–
1.62 V kuni 3.6 V 460 A (aktiveeritud läbi T=1 üle I2C )[2] <5 A (aktiveeritud ENA kontakti kaudu)
X
-40 kuni +105 °C HX2QFN20
A30 P256 või P256r1
X P256 P256r1
AES (128 ja 256)
XXX SHA 256/384 X Sigma-I AES-põhine autentimine (AES128/256) [1] EV2 turvaline sõnumside [1] 1
X
T=1` üle I2C vastavalt globaalsele platvormile
Kasutaja konfigureeritav I2C-aadress (vaikimisi: 0x20)
NIST SP800 -90B, AIS31 NIST SP800 -90A, AIS20
16 KB
X (kuni 1 Mbit/s)
2 GPIO-d
1.0 kuni 2.0 V –
max. 5 A (aktiveeritud T=1` kaudu I2C kaudu)
–
-40 kuni +105 ºC WLCSP16 või HVQFN20
HW funktsioonid
Joonis 2. EdgeLock A5000 ja EdgeLock A30 kõrgetasemeline võrdlus
2.1 Riistvara integreerimise kaalutlused
EdgeLock A30 turvaline autentija on mõeldud akutoitega rakenduste ja toiteallikaga MCU/MPU jaokstage 1.8 V. Seetõttu ei ole EdgeLock A30 riistvaralisest vaatenurgast pin-to-pin ega ka paketti EdgeLock A5000-ga ühilduv. See tähendab, et olemasolevalt EdgeLock A5000 riistvarakujunduselt EdgeLock A30-le üleminekul on vaja uut PCB-disaini. Järgmistes tabelites võrreldakse HW disaini tüüpe.
Tabel 1.Pakendite võrdlus Pakk
A5000 HX2QFN20
A30 WLCSP16 või HVQFN20
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 3 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
Tabel 2. Pin-võrdlus Pin-funktsioon Toiteallika I2C sisselülitamise lähtestamine, GPIO sügav väljalülitamine
A5000 VCC, GND SDA, SCL ENA, VIN, VOUT –
A30 VCC, GND
SDA, SCL -[1] [2] GPIO1, GPIO2[3] [1] EdgeLock A30 toetab sisselülitamise lähtestamist T=1` kaudu I2C protokolli kaudu. [2] EdgeLock A30 võimaldab sügavat väljalülitamist T=1` kaudu I2C protokolli kaudu. [3] EdgeLock A30-l on kaks konfigureeritavat GPIO-d. GPIO-sid saab konfigureerida sisendiks, väljundiks ja eduka autentimise teatamiseks.
Tabel 3. Supply Voltage võrdlus Power Supply Voltage
A5000 1.62 V kuni 3.6 V
A30 1 V kuni 2 V [1] [1] Kui MCU/MPU plaadid on ette nähtud toiteallika jaokstage 3.3 V/5 V.
2.1.1 Rakenduse skeem koos depp-i väljalülitamise toega
Selles peatükis võrreldakse rakenduse skeeme EdgeLock A5000 ja EdgeLock A30 sügava väljalülitamise toega.
2.1.1.1 A5000 rakenduse elektriskeem
Joonis 3. EdgeLock A5000 rakenduse lülitusskeem koos sügava väljalülitamise toega
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 4 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
A5000 HW Lähtestamise järjestus: · Seadke ENA viik loogika nulltasemele · Oodake 2 ms · Seadke ENA viik loogika kõrgele tasemele A5000 sügav väljalülitusrežiim: · ENA viigu loogika nulltase .. Deep Power Down lubatud · ENA viigu loogika kõrge tase .. Sügav väljalülitamine keelatud
2.1.1.2 A30 rakenduse elektriskeem
Vcc 1 kuni 0 V
Host-osa
Host
SCL SDA
I2C-bussi tõmmised[1]
100 nF/ 50 V
VCC
SCL SDA
A30
GND
GPIO1 GPIO2
A30 osa
Joonis 4. EdgeLock A30 rakenduse lülitusskeem koos sügava väljalülitamise toega
Sisselülitamise lähtestamine: · Soovitatav on, et hostkontroller saaks VCC juhtimisega sisselülitamise lähtestamise teha. · A30 on võimalik varustada MCU/MPU GPIO kaudu. GPIO suudab edastada voolu kuni 15 mA.
A30 käivitab lähtestamise T=1` kaudu I2C protokolli kaudu: · Patenditud NXP S-Blocks SE kiibi lähtestamise taotlus/vastus
A30 võimaldab sügavat väljalülitamist T=1` kaudu I2C protokolli kaudu: · Patenditud NXP S-Blocki sügava väljalülituse taotlus/vastus
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 5 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
2.2 I2C liidese ja sideprotokolli kaalutlused
Tabelis 4 võrreldakse üksikasjalikult I2C sihtliidese erinevusi EdgeLock A5000 ja EdgeLock A30 vahel.
Tabel 4.I2C sihtliidese võrdlus
I2C sihtmärk
A5000
Konfigureeritav I2C aadress
Määratletakse tootmise käigus
Vaikimisi I2C aadress
0x48
Suhtluskiirus
kuni 1 Mbit/s
A30 Kasutaja seadistatav [1] 0x20 kuni 1 Mbit/s
[1] Seadistatud käsuga SetConfiguration.Tabelis 5 on loetletud erinevused seoses toetatud andmesidekihi protokolliga.
Tabel 5.Sideprotokolli võrdlus
A5000
Andmesidekihi protokoll
T=1` üle I2C vastavalt NXP UM11225 [1] ja T = 1` üle I2C vastavalt globaalsele platvormile [2]
NXP patenteeritud S-plokid
Kiibi lähtestamine
A30 T=1` üle I2C vastavalt globaalsele platvormile
Kiibi lähtestamine ja sügav väljalülitamine
2.3 Autentimise rakenduse kaalutlused
2.3.1 EdgeLock A30 autentimine on lõppenudview
A30 toetab turvalise sõnumikanali loomiseks kahte protokolli:
· PKI-põhine asümmeetriline vastastikune autentimine See põhineb Sigma-I 256-bitisel ECC-l (NIST P-256 või brainpoolP256r1). Genereerib AES-128 või 256 seansivõtmed Sigma-I vastastikuse autentimise sõnumivahetuse jaoks. Loob AES-128 või 256 seansivõtmeid, mida kasutatakse EV2 turvalise sõnumikanali jaoks.
· AES-põhine sümmeetriline vastastikune autentimine Sama protokoll, mis on kasutusele võetud MIFARE DESFire EV2 toodetes. AES-128 või AES-256 alusel. Loob AES-128 või 256 seansi võtmed EV2 turvalise sõnumikanali jaoks.
· Mõlemad vastastikused autentimismeetodid käivitavad MIFARE DESFire ja NTAG42x ühilduv EV2 turvaline sõnumikanal (autentitud seanss). AES-128 või AES-256 seansi krüpteerimine/dekrüpteerimine ja MAC-võtmed. Juurdepääsuõigused järgnevatele käskudele ja files antakse pärast edukat vastastikust autentimist sõltuvalt konfiguratsioonist. A30 toetab korraga ühte avatud turvalist sõnumikanalit (autentitud seanss).
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 6 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
2.3.2 Krüptoalgoritmid ja -protokollid
Rakenduskohast alates view enne EdgeLock A5000-lt EdgeLock A30-le üleminekut tuleb arvesse võtta järgmisi erinevusi:
· EdgeLock A30 toetab peaaegu samu krüptoalgoritme ja -skeeme nagu A5000. · EdgeLock A30 toetab erinevaid autentimis- ja turvalisi sõnumsideprotokolle.
EdgeLock A30 ei toeta rohkem kui ühte rakenduseseanssi, näiteks A5000. EdgeLock A30 annab juurdepääsuõigused järgmistele käskudele ja files pärast edukat sümmeetrilist või
asümmeetriline vastastikune autentimine. · EdgeLock A30 toetab erinevaid objektipoliitikaid. · EdgeLock A30 ei toeta turvalist atesteerimist ja platvormi konfiguratsiooniregistrit (PCR), nagu A5000.
Krüptoalgoritmide ja autentimisprotokolli punkti võrdlus view EdgeLock A5000 ja EdgeLock A30 vahel leiate jooniselt 5.
Joonis 5. EdgeLock A5000 ja EdgeLock A30 krüptoalgoritmide ja autentimisprotokolli võrdlus
2.3.3 Kindlustage objekte
EdgeLock A5000 ja EdgeLock A30 vahel võetakse arvesse järgmisi erinevusi.
Tabel 6. Võtme ja sertifitseerimisobjekti võrdlus EdgeLock A5000 ja EdgeLock A30 vahel
A5000
A30
Vaba kasutaja mälu kokku
8 KB
16 KB
Võtmega lukustus (sümmeetriline ja asümmeetriline)
Poliitikapõhine lukustamine.
Püsivate võtmete kustutamist ei toetata.
Võtme värskendamise poliitika määrab, kas võtme väärtust on võimalik värskendada.
Võtmehoidla AES Võtmehoidla EC
Võtmete arv ei ole fikseeritud. Tarbib kasutaja mälu.
Võtmete arv ei ole fikseeritud. Tarbib kasutaja mälu.
Kuni viis püsivat AES-võtme sisestust. Ei tarbi kasutaja mälu.
Kuni viis püsivat EC-võtme[1] sisestust. Tarbib kasutaja mälu.
EÜ avaliku võtme osa käsitlemine võtmepaaril Salvestatud pärast võtme genereerimist võtme sees Avaliku võtme väärtus tagastatakse, kuid
põlvkond.
objektiks.
ei salvestata A30 võtmeobjekti sisse (to
optimeerida mälutarbimist).
EÜ avaliku võtme salvestamine
Salvestatud mällu avaliku võtmena ja ainult X509 sertifikaadi osana
osa X509 sertifikaadist.
(FileType.StandardData).
Kustutamine files ei ole toetatud.
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 7 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
Tabel 6. Võtme ja sertifitseerimisobjekti võrdlus EdgeLock A5000 ja EdgeLock A30 vahel …jätkub
A5000
A30
Sigma-I sertifikaatide hoidla
Ei toetata, kuna A5000 ei toeta Sigma-I asümmeetrilist autentimisprotokolli.
Spetsiaalne sertifikaatide hoidla Sigma-I sertifikaatidele.
[1] A30 toetab kuni viit püsivat EC-võtit erinevate krüptotoimingute jaoks, sh. SIGMA-I vastastikune autentimine.Tabel 7.Andmed files
Kasutaja vaba vaba mälu kokku Salvestage töötlemata andmed Monotoonne loendur
File lukustamine File Juurdepääsuõigused
A5000 8 KB binaarfail File 1 baiti pikkus
Poliitikapõhine lukustamine Poliitika objektide loomise õigustega
A30
16 KB
FileType.StandardData
4 baiti pikkust FileTüüp.Loendur
Kustutamine files ei ole toetatud.
Juurdepääsuõigused: FileAR.Loe,File AR. Kirjutage, FileAR.ReadWrite FileAR. Muuda
2.3.4 Käsud
EdgeLock A30 toetab erinevaid autentimiskäske (APDU-sid) nagu EdgeLock A5000. Märkus. NX MW sss (Secure Sub System) API-liidesed, OpenSSL-i, PKSC11# ja Mbed TLS-i teegid võtavad APDU kihi abstraktseks. Joonis 6 annab lühiülevaateview EdgeLock A30 APDU käskudest.
Joonis 6. EdgeLock A30 APDU käsk üleview
2.4 Vahevara kaalutlused
Selles peatükis võrreldakse EdgeLock A5000 Plug & Trust Middleware ja EdgeLock A30 Plug & Trust vahevara ning hinnangulist vahevara migratsioonitööd.
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 8 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
2.4.1 EdgeLock A5000 Plug & Trust vahevara Joonis 7 näitab EdgeLock A5000 Plug & Trust vahevara komponentide lihtsustatud esitust.
Joonis 7.Plug & Trust Middleware plokkskeem
· EdgeLock Plug & Trust Middleware levitatakse erinevate pakettide kaudu: Full Multiplatform Plug & Trust vahevarapakett (www.nxp.com/A5000). Plug & Trust Mini Package (GitHub) on Linuxi kasutamiseks mõeldud Plug & Trust vahevara alamhulk. Plug & Trust Nano Package (GitHub) on Plug & Trust vahevara minimalistlik versioon, mis on optimeeritud piiratud seadmete jaoks. See pakub ka integratsiooni Zephyr OS-i ja endise versioonigaampQi 1.3 autentimise le.
· Toetatud MCU/MPU platvormid: MCU-d: MIMXRT1170-EVK, MIMXRT1060-EVK, FRDM-64F ja LPC55S69-EVK MPU-d: Raspberry Pi ja MCIMX8M-EVK
· Käsurea ettevalmistamise tööriist: ssscli
2.4.2 EdgeLock A30 Plug & Trust vahevara
Joonis 8 annab lühiülevaateview EdgeLock A30 NX vahevara komponentidest:
Eelintegratsioon
peamiseks
OS ja MCU/MPU
Linux®, FreeRTOSTM, Bare-Metal
Arenduskeskkonnad: Linux, Windows®
Kasutage juhtumipõhist ntample Kood
ARM® mbedTM
TLS
OpenSSL
PKCS nr 11
Asi
Qi 1.3 Auth. Demo
TLS1.3 pilve demo
API
Joonis 8.NX vahevara plokkskeem
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 9 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
· NX vahevara levitatakse GitHubi kaudu. · Spetsiaalset mini- ja nanopaketti pole vaja, kuna see on juba osa NX-i vahevara versioonist. · Toetatud MCU/MPU platvormid karbist väljas:
MCU-d: FRDM-64F ja LPC55S69-EVK MPU: Raspberry Pi · Käsurea ettevalmistamise tööriist: nxclitool
Märkus. Praegu saab GitHubist alla laadida ainult Linuxi platvormi. Windowsi, FRDM-K64F ja LPC55S69-EVK MCU platvormi versioonid on praegu saadaval .zip-paketina ja neid saab alla laadida aadressilt www.nxp.com/A30. Need platvormid lisatakse GitHubi järgmistes versioonides ja asendavad seejärel ZIP-paketi.
2.4.3 Migreerimine EdgeLock A5000 Plug & Trust vahevaralt ja EdgeLock A30 NX vahevaralt
Joonis 9 näitab kõrgetasemelist EdgeLock A30 NX vahevara arhitektuuri ja annab üleview hinnangulisest rakenduse migratsiooni pingutusest. Näiteksample, on rakenduse migreerimise pingutus minimaalne, kui kasutate mõnda kõrgemat kihti, näiteks pistikprogrammi mooduleid. See on vastupidine, kui rakendus kasutab madala taseme turvalise autentimise APDU kihti. Järgmised kaks alapeatükki kirjeldavad migratsioonitööd MCU platvormidel (paljas metall, freeRTOS jne) ja manustatud Linuxi platvormidel.
Examples, Kasutuskastid ja tööriistad
Seansijuht
SSS API-d
Pistikmoodulid
(OpenSSL-mootor, OpenSSL-i pakkuja, PKSC11)
Host
Krüpto
(bed TLS, OpenSSL)
VCOM
NX APDU-d
Juurdepääsuhaldur
T=1` üle I2C
A30 Secure Authenticator
Rändekoormus Väga madal Madal keskmine kuni kõrge
Joonis 9. NX vahevara arhitektuur – hinnanguline migratsioonipingutus
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 10 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
· Seansihalduri API-d seansi avamiseks. Toetatud on järgmised seansid: Tavaline PKI-põhine asümmeetriline vastastikune autentimine (Sigma-I-Verifier või Sigma-I-Prover) AES-põhine sümmeetriline vastastikune autentimine Märkus. Mõlemad vastastikused autentimismeetodid käivitavad MIFARE DESFire'iga ühilduva EV2 turvalise sõnumikanali (autentitud seanss).
· SSS API-d Pakub abstraktsiooni API-sid EdgeLock A30, OpenSSL-i ja mbedTLS-i hostikrüpto jaoks. SSS API-d toetavad tavalisi krüptooperatsioone.
· NX APDU-d Rakendab EdgeLock A30 autentimiskäske (APDU-d)
· Access Manager Hallake juurdepääsu mitmest Linuxi protsessist EdgeLock A30-le. Kliendiprotsessid ühenduvad JRCPv1 protokolli kaudu Access Manageriga.
T=1` üle I2C sideprotokolli vastavalt globaalsele platvormile.
2.4.3.1 Vahevara MCU platvormidel (paljas metall, freeRTOS jne)
NX-i vahevara pakub turvalisele autentijale EdgeLock A30 juurde pääsemiseks kahte erinevat krüpto-API-kihti, nagu on näidatud joonisel 10. Lisaks on erinev võti ja file juhtimisega tuleb arvestada.
Joonis 10. NX vahevara krüpto API kihid
Sss_API-d on turvalisest autentimise riistvarast sõltumatud ja vähendavad teisaldamiskoormust võrreldes APDU API kihiga. Lisateavet leiate tabelist 8.
Tabel 8. Vahevara migratsioon MCU platvormidel
API
EdgeLock A5000
Plug & Trust vahevara
Secure Authenticatori spetsiifilised Se05x_ API-käsud (APDU-d)
EdgeLock A30 NX vahevara
nx_ API-sid
Turvalisuse alamsüsteemi API-d sss_ API-sid
sss_ API-sid
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
Olenevalt kasutusjuhtumist on teisaldamiskoormus keskmine või kõrge.
Teisaldamine on minimaalne. SSS-i API-d on funktsionaalsed API-d, mis võimaldavad abstraktselt juurdepääsu eri tüüpi krüptograafilistele alamsüsteemidele.
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 11 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
2.4.3.2 Manustatud Linuxi platvormidele migreerimine
Manustatud Linuxi platvormidel pakub NX Middleware lisaks sss_API ja APDU API-dele OpenSSL-i mootorit, OpenSSL-i pakkujat ja PKSC#11-pistikmoodulit. sss_API ja APDU kihi migratsioonitööd on sarnased MCU-de omaga. Pistikmoodulid nõuavad peamiselt vastavate Linuxi teekide väljavahetamist ja minimaalseid kohandusi rakenduse tasemel. Lisaks erinevad võtme- ja file juhtimisega tuleb arvestada.
Tabel 9. Vahevara migreerimine manustatud Linuxi platvormidel
Pistikmoodulid
EdgeLock A5000
EdgeLock A30
Plug & Trust Middleware NX vahevara
Secure Authenticatori spetsiifilised Se05x_ API-käsud (APDU-d)
nx_ API-sid
Turvalisuse alamsüsteemi API-d sss_ API-sid
sss_ API-sid
OpenSSL-i mootor OpenSSL-i pakkuja PKCS#11 juurdepääsuhaldur[1]
Plug & Trust OpenSSL mootor
Plug & Trust OpenSSL-i pakkuja
Plug & Trust PKCS #11 pistikprogramm
Plug & Trust Access Manager
NX OpenSSL-i mootor NX OpenSSL-i pakkuja NX PKCS #11 pistikprogramm NX Access Manager
Teisaldamise pingutus
Olenevalt kasutusjuhtumist on teisaldamiskoormus keskmine või kõrge.
Teisaldamine on minimaalne. SSS-i API-d on funktsionaalsed API-d, mis võimaldavad abstraktselt juurdepääsu eri tüüpi krüptograafilistele alamsüsteemidele.
Minimaalne pingutus OpenSSL-mootori abil.
Minimaalne pingutus OpenSSL-i pakkuja poolt.
Minimaalne pingutus PKCS nr 11 pistikprogrammi põhjal.
Minimaalne pingutus, nagu Access Manager on kokku võtnud.
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 12 / 17
NXP pooljuhid
3 Redaktsioonide ajalugu
Tabel 10. Läbivaatamise ajalugu
Revisjoni number
Kuupäev
AN14559 v.1.1
23. jaanuar 2025
AN14559 v.1.0
21. jaanuar 2025
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
Kirjeldus Õige tabel 7 Esialgne versioon
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 13 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
Juriidiline teave
Definitsioonid
Mustand – dokumendi mustandi olek näitab, et sisu on endiselt sisemise ümberkorraldamise allview ja see tuleb ametlikult heaks kiita, mis võib kaasa tuua muudatusi või täiendusi. NXP Semiconductors ei anna mingeid kinnitusi ega garantiisid dokumendi mustandi versioonis sisalduva teabe täpsuse või täielikkuse kohta ega vastuta sellise teabe kasutamise tagajärgede eest.
Kohustustest loobumine
Piiratud garantii ja vastutus – selles dokumendis sisalduvat teavet peetakse täpseks ja usaldusväärseks. Siiski ei anna NXP Semiconductors mingeid otseseid ega kaudseid kinnitusi ega garantiisid sellise teabe täpsuse või täielikkuse kohta ega vastuta sellise teabe kasutamise tagajärgede eest. NXP Semiconductors ei vastuta selle dokumendi sisu eest, kui see on pärit NXP Semiconductori-välisest teabeallikast. NXP Semiconductors ei vastuta ühelgi juhul kaudsete, juhuslike, karistuslike, eri- ega kaudsete kahjude eest (sealhulgas – ilma piiranguteta – saamata jäänud kasum, saamata jäänud säästud, ärikatkestused, mis tahes toodete eemaldamise või asendamisega seotud kulud või ümbertöötamise tasud), olenemata sellest, kas või sellised kahjud ei põhine deliktil (sh hooletus), garantiil, lepingu rikkumisel või mõnel muul õiguslikul teoorial. Olenemata kahjudest, mida klient võib mis tahes põhjusel kanda, on NXP Semiconductorsi koond- ja kumulatiivne vastutus kliendi ees siin kirjeldatud toodete eest piiratud vastavalt NXP Semiconductorsi kaubandusliku müügi tingimuste ja tingimustega.
Õigus teha muudatusi — NXP Semiconductors jätab endale õiguse muuta selles dokumendis avaldatud teavet, sealhulgas ilma piiranguteta tehnilisi andmeid ja tootekirjeldusi, igal ajal ja ette teatamata. See dokument asendab ja asendab kogu teabe, mis on esitatud enne selle avaldamist.
Kasutussobivus – NXP Semiconductors tooted ei ole kavandatud, volitatud ega garanteeritud nii, et need sobiksid kasutamiseks elu toetavates, elutähtsates või ohutuskriitilistes süsteemides või seadmetes ega rakendustes, kus võib mõistlikult eeldada NXP Semiconductors toote riket või talitlushäireid. põhjustada kehavigastusi, surma või raskeid vara- või keskkonnakahjustusi. NXP Semiconductors ja selle tarnijad ei vastuta NXP Semiconductorsi toodete lisamise ja/või kasutamise eest sellistesse seadmetesse või rakendustesse ning seetõttu toimub lisamine ja/või kasutamine kliendi enda riisikol.
Rakendused – siin kirjeldatud mis tahes nende toodete rakendused on ainult illustratiivsed. NXP Semiconductors ei kinnita ega garanteeri, et sellised rakendused sobivad kindlaksmääratud kasutuseks ilma täiendava testimise või muutmiseta. Kliendid vastutavad oma NXP Semiconductorsi tooteid kasutavate rakenduste ja toodete disaini ja toimimise eest ning NXP Semiconductors ei vastuta mis tahes abi eest, mis on seotud rakenduste või kliendi tootekujundusega. Klient vastutab ainuisikuliselt selle eest, kas NXP Semiconductors toode sobib ja sobib kliendi rakenduste ja kavandatud toodete jaoks, samuti kliendi kolmandast isikust kliendi(te) kavandatud rakenduseks ja kasutamiseks. Kliendid peaksid oma rakenduste ja toodetega seotud riskide minimeerimiseks pakkuma asjakohaseid projekteerimis- ja töökaitsemeetmeid. NXP Semiconductors ei võta endale vastutust mis tahes vaikete, kahjustuste, kulude või probleemide eest, mis põhinevad kliendi rakenduste või toodete või kliendi kolmandast isikust kliendi(te) rakendusel või kasutusel. Klient vastutab NXP Semiconductorsi tooteid kasutavate kliendi rakenduste ja toodete jaoks kõigi vajalike testimiste tegemise eest, et vältida rakenduste ja toodete või rakenduse või kliendi kolmandast isikust kliendi(te) poolt kasutatavate rakenduste vaikimisi. NXP ei võta sellega seoses mingit vastutust.
Kaubandusmüügi tingimused — NXP Semiconductors tooteid müüakse kommertsmüügi üldtingimuste alusel, mis on avaldatud aadressil https://www.nxp.com/profile/tingimused, kui kehtivas kirjalikus individuaallepingus ei ole kokku lepitud teisiti. Individuaalse lepingu sõlmimisel kehtivad ainult vastava lepingu tingimused. NXP Semiconductors on käesolevaga sõnaselgelt vastu kliendi üldiste tingimuste kohaldamisele seoses NXP Semiconductorsi toodete ostmisega kliendi poolt.
Ekspordikontroll – selle dokumendi ja siin kirjeldatud kauba(de) suhtes võivad kehtida ekspordikontrolli eeskirjad. Eksport võib nõuda pädevate asutuste eelnevat luba.
Sobivus kasutamiseks mittekvalifitseeruvates toodetes – kui selles dokumendis ei ole sõnaselgelt öeldud, et see konkreetne NXP Semiconductors toode on autotööstuse jaoks kvalifitseeritud, ei sobi toode autotööstuses kasutamiseks. See ei ole kvalifitseeritud ega testitud vastavalt autode testimise või rakenduse nõuetele. NXP Semiconductors ei vastuta mootorsõidukitööstusele mittevastavate toodete lisamise ja/või kasutamise eest autotööstuse seadmetesse või rakendustesse. Juhul, kui klient kasutab toodet autotööstuses kasutatavate rakenduste projekteerimiseks ja kasutamiseks autotööstuse spetsifikatsioonide ja standardite kohaselt, peab klient (a) kasutama toodet ilma NXP Semiconductors'i garantiita tootele selliste autotööstuse rakenduste, kasutuse ja spetsifikatsioonide jaoks ning ( b) kui klient kasutab toodet autotööstuses väljaspool NXP Semiconductorsi spetsifikatsioone, toimub selline kasutamine ainult kliendi enda riisikol ja (c) klient hüvitab NXP Semiconductorsile täielikult mis tahes vastutuse, kahjud või ebaõnnestunud tootenõuded, mis tulenevad kliendi disainist ja kasutamisest toode autotööstuses kasutamiseks väljaspool NXP Semiconductorsi standardgarantii ja NXP Semiconductorsi toote spetsifikatsioone.
HTML-väljaanded – selle dokumendi HTML-versioon, kui see on saadaval, on saadaval viisakusena. Lõplik teave sisaldub asjakohases dokumendis PDF-vormingus. Kui HTML-dokumendi ja PDF-dokumendi vahel esineb lahknevusi, on PDF-dokumendil prioriteet.
Tõlked – dokumendi mitteingliskeelne (tõlgitud) versioon, sealhulgas selles dokumendis sisalduv juriidiline teave, on ainult viitamiseks. Ingliskeelne versioon on ülimuslik, kui tõlgitud ja ingliskeelse versiooni vahel esineb lahknevusi.
Turvalisus – klient mõistab, et kõigi NXP toodete puhul võivad esineda tuvastamata haavatavused või need võivad toetada kehtestatud turvastandardeid või spetsifikatsioone teadaolevate piirangutega. Klient vastutab oma rakenduste ja toodete kavandamise ja toimimise eest kogu nende elutsükli jooksul, et vähendada nende haavatavuste mõju kliendi rakendustele ja toodetele. Kliendi vastutus laieneb ka muudele avatud ja/või patenteeritud tehnoloogiatele, mida NXP tooted toetavad kliendi rakendustes kasutamiseks. NXP ei vastuta haavatavuse eest. Klient peaks regulaarselt kontrollima NXP turvavärskendusi ja võtma asjakohaseid järelmeetmeid. Klient valib välja turvafunktsioonidega tooted, mis vastavad kõige paremini kavandatud rakenduse reeglitele, määrustele ja standarditele ning teeb oma toodete osas lõplikud disainiotsused ning vastutab ainuisikuliselt kõigi oma tooteid puudutavate juriidiliste, regulatiivsete ja turvalisusega seotud nõuete täitmise eest, olenemata sellest, et mis tahes teabe või toe kohta, mida NXP võib pakkuda. NXP-l on tooteturbe intsidentidele reageerimise meeskond (PSIRT) (saadaval aadressil PSIRT@nxp.com), mis haldab NXP-toodete turvanõrkuste uurimist, aruandlust ja lahenduste väljalaskmist.
NXP BV — NXP BV ei ole tegutsev ettevõte ning ta ei levita ega müü tooteid.
Kaubamärgid
Märkus. Kõik viidatud kaubamärgid, tootenimed, teenuste nimed ja kaubamärgid on nende vastavate omanike omand.
NXP — sõnamärk ja logo on NXP BV kaubamärgid
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 14 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
Tabelid
Tab. 1. Vahekaart. 2. Vahekaart. 3. Vahekaart. 4. Vahekaart. 5. Vahekaart. 6.
Pakkide võrdlus …………………………………..3 Pin võrdlus ……………………………………………. 4 Supply VoltagVõrdlus ………………………….4 I2C sihtliidese võrdlus ……………………… 6 Sideprotokolli võrdlus ……………. 6 Võtme ja sertifitseerimisobjekti võrdlus EdgeLock A5000 ja EdgeLock A30 vahel ……………………………………………………………….. 7
Tab. 7. Vahekaart. 8. Vahekaart. 9.
Tab. 10.
Andmed files …………………………………………………….. 8 Vahevara migratsioon MCU platvormidel …….. 11 Vahevara migreerimine manustatud Linuxi platvormidel …………………………………………………….12 Redaktsiooni ajalugu ………………………………………..13
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 15 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
Arvud
Joon. 1. Joon. 2.
Joonis 3.
Joonis 4.
EdgeLock A30 tugipakett läbiview ...... 2
Joonis 5.
Joon 6. Joon. 7. Joon. 8. Joon. 9.
Joonis 10.
EdgeLock A5000 ja EdgeLock A30 krüptoalgoritmide ja autentimisprotokolli võrdlus …………………………….. 7 EdgeLock A30 APDU käsk üleview …….. 8 Plug & Trust vahevara plokkskeem ………… 9 NX vahevara plokkskeem …………………….. 9 NX vahevara arhitektuur – hinnanguline migratsioonipingutus ………………………………………… 10 NX vahevara krüpto API kihid ………………..11
AN14559
Rakenduse märkus
Kogu selles dokumendis esitatud teabe suhtes kehtivad juriidilised lahtiütlused.
Rev. 1.1 – 23. jaanuar 2025
© 2025 NXP BV Kõik õigused kaitstud.
Dokumendi tagasiside 16 / 17
NXP pooljuhid
AN14559
Migratsioonijuhend EdgeLock A5000-st EdgeLock A30-le
Sisu
1
2
2.1 2.1.1
2.1.1.1 2.1.1.2 2.2
2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.4 2.4.1 2.4.2 2.4.3
2.4.3.1
2.4.3.2 3
Teave EdgeLock A30 turvalise autentimise kohta ………………………………………………. 2 EdgeLocki EdgeLock A5000-lt üleminek EdgeLock A30-le ……………………………….3 Riistvara integreerimise kaalutlused ……………….. 3 Rakenduse skeem koos depp-i väljalülitamise toega ………………………………………………….. 4 A5000 rakenduse skeem…………………………………………… ……………………..4 I30C liidese ja sideprotokolli kaalutlused …………………………………………….5 Autentimisrakenduse kaalutlused ………. 2 EdgeLock A6 autentimine läbiview ………….6 Krüptoalgoritmid ja -protokollid ……………………… 7 Turvalised objektid …………………………………………7 käsud ……………………………………………………8 Vahevara kaalutlused ……………………………….. 8 EdgeLock A & Lock. A5000 Plug & Trust vahevara ……….. 9 Migreerimine EdgeLock A30 Plug & Trust vahevarast ja EdgeLock A9 NX vahevarast ……………………………………………….5000 vahevara MCU platvormidel (paljas metall, vaba RTOS platvorm, ...) …………………………………………………… ……….30 Läbivaatamise ajalugu …………………………………………10 Juriidiline teave ……………………………………….11
Pidage meeles, et olulised märkused selle dokumendi ja siin kirjeldatud toote(de) kohta on lisatud jaotisesse „Juriidiline teave”.
© 2025 NXP BV
Kõik õigused kaitstud.
Lisateabe saamiseks külastage: https://www.nxp.com
Dokumenteerige tagasiside
Avaldamise kuupäev: 23. jaanuar 2025 Dokumendi identifikaator: AN14559
Dokumendid / Ressursid
 |
NXP AN14559 EdgeLock A30 Secure Authenticator [pdfKasutusjuhend A30, AN14559 EdgeLock A30 Secure Authenticator, AN14559, EdgeLock A30 Secure Authenticator, Secure Authenticator, Authenticator |
