1、STM32硬件安全功能概述
STM32 MCU基本硬件具有安全功能,可满足存储访问保护、代码/系统隔离、启动门户限制、防篡改检测、加密算法加速、识别等多种安全要求。例如:
Id: UID、OTP存储访问保护/软件IP保护:读保护(RDP)、写保护(WRP)、专用代码保护(PCROP)、OTF dec(On-The-Fly decryc)
1.1身份确认
Unique ID芯片唯一标识:STM32整个系列都包含UID,出厂时刻录在STM32芯片的系统闪存区域,UID长度为96位,用作芯片的唯一标识号。
UID的一般用途:
通过基于UID的算法生成装有此芯片的产品的唯一序列号根据UID进行密钥派生。芯片的参考手册有专门的章节说明。OTP一次性写入区域(STM32 MCU的大多数系列都有OTP区域,如F2、F4、L4和F7)。OTP的一般用途:
产品识别信息一次写入,写入后不能更改。Embedded Flash memory (FLASH)一章中介绍了一次性写入不可更改数据的方法,例如安全启动OTP,以验证应用程序的合法性。
1.2存储保护/软件IP保护
WRP内部闪存写入保护
WRP可以保护片内闪存指定区域的内容不被意外或恶意修改或删除,STM32整个系列都有写保护。
根据产品系列的不同,WRP的配置方式略有不同。L4、G0、G4、WB和L5系列可以设置受保护的开始和结束页,其他系列可以独立设置需要保护的页/sector。
如果将RDP2和WRP组合在一起,Flash将成为ROM等区域,此区域代码或数据具有不变的特性。
RDP读保护
受RDP读保护的对象包括内部闪存、可选字节、内部SRAM(例如SRAM2)、OTP区域、备份域RAM和寄存器。除F1以外,所有STM32系列产品都具有RDP功能。
RDP有0、1、2三个级别,L5还增加了0.5个级别。出厂时,芯片的RDP水平默认为0。换句话说,完全开放不受保护。如果RDP设置为级别1,则调试端口可以连接,但在受保护的区域(Flash、RAM、Backup RAM/register)等情况下,在系统引导加载程序中启动或在RAM中运行的代码也不能通过调试端口访问。RDP2状态无法完全关闭调试端口并回滚到RDP1或RDP0。
L5是CM33内核中包含TrustZone的产品系列,还添加了RDP0.5级别,RDP0.5状态可以锁定对Secure区域的访问,但仍然允许对Non-Secure区域进行存储访问和调试,从而为开发TrustZone环境提供了更大的灵活性。
RDP1/2提供本机代码和IP保护,防止设备从出厂调试端口非法获取。
PCROP个人代码保护
PCROP提供了额外级别的代码保护,使您能够将内部Flash中的指定区域设置为可执行代码区域。不能读取(作为数据)、修改或清除此区域。也就是说,通过调试器或芯片运行的代码(包括在PCROP区域内运行的代码本身)无法读取PCROP保护区域的指令。
PCROP的一般用途是保护软件IP的一部分的协同开发,受保护部分的代码不能由二级开发用户读取或修改,但函数API可以调用。PCROP也可以在一定程度上保护数据,此时必须将受保护的数据转换为一条命令
,只有执行该段指令之后,数据才会被恢复到寄存器或者RAM当中。PCROP相关资源:
DB2641:STM32Cube的专有代码读保护(PCROP)软件扩展
AN4701:STM32F4系列微控制器的专有代码读取保护
AN4758:STM32L4系列微控制器的专有代码读取保护
AN4968:STM32F72xxx和STM32F73xxx微控制器的专有代码读出保护(PCROP)
AN4246:STM32L1 微控制器的专有代码读取保护
专有代码保护 (PCROP) STM32Cube软件扩展包 X-CUBE-PCROP
WRP,RDP,PCROP的操作方式请参考芯片的参考手册 FLASH memory protection 章节的相关描述。
WRP,RDP,PCROP能够对代码、数据等提供基本的保护,如果希望这种保护具有更多的灵活性,包括考虑芯片内运行的软件本身对敏感数据、代码的访问控制等,则可以进一步使用代码和系统隔离机制,参见代码/系统隔离部分的介绍
OTFDEC(On-The-Fly Decryption)实时解密
OTFDEC功能是STM32L5具有的新功能,用于保护放置于外部SPI Flash上的代码和数据,代码和数据都可以首先经过AES加密后以密文的形式存储于外部SPI Flash,从而防止由于数据代码明文存放于外部Flash而带来的安全风险。系统运行时可以通过OTFDEC模块对存储于外部SPI FLASH上的代码和数据进行实时解密,该解密过程对CPU透明。
详细的使用方法详见芯片参考手册OTFDEC章节的相关描述。
1.3 代码/系统隔离
MPU存储器保护单元
MPU是Cortex-M内核具备的功能,可以通过定义不同的Region(区域)设置不同地址范围的属性和CPU访问权限,例如某个地址范围是否允许执行,是否允许读或写,是否允许特权模式访问以及用户模式访问。通过合理配置和使用MPU可以实现对系统资源和代码的隔离,例如可以将Flash的某个区域的访问权限设置为只允许特权模式读访问,但不能执行,配合代码的特权和用户模式转换,达到部分代码能够访问该资源,其余代码无直接法访问该资源的目的。
除F0系列外,其它STM32系列都带有MPU单元。更详细的内容可以参考 AN4838。
AN4838:STM32 MCU 的存储器保护单元 (MPU)
Firewall防火墙
使用Firewall防火墙硬件IP,可以在片上Flash和RAM中隔离出一块隔离区,该隔离区具有唯一的入口,只有从该入口进入后防火墙隔离区域内的代码和数据才能够被执行和访问,从防火墙保护区域跳转出去之前也必须进行关闭操作才能够允许跳转,也就是说函数只能从设计允许的出口退出,除此之外的任意的调用、访问和跳转都会引发系统复位。通过防火墙提供的隔离功能,部分关键的软件功能和数据可以放置于防火墙隔离区内,防火墙外的应用程序只能够通过防火墙提供的唯一入口函数调用防火墙内部的功能,而无法直接看到其中的代码或者数据,起到将关键操作与系统其它部分的软件隔离开的作用。
防火墙的功能是系统运行后动态开启的,而不是来自OptionByte的静态设置,但是防火墙一旦使能,则在当前的Power Cycle始终有效,且不能被禁止,直到下一次复位。
具有防火墙功能的STM32系列包括STM32L0和STM32L4。
TrustZone
STM32L5是第一个基于CM33内核带有TrustZone的STM32MCU产品系列,V8-M TrustZone及其在STM32L5上的系统级的实现提供了更加完整和灵活隔离功能。CPU的运行区分安全和非安全状态,存放在Flash, RAM上的代码和数据被分配到安全和非安全区,允许CPU安全或者非安全状态下的访问,除此之外,系统的各个外设以及CPU之外的Bus Master也都能够被分配到安全和非安全区,这样就意味着安全区所管理的不仅仅只有代码和数据,还可以包含关键外设及其对应的中断等等。基于TrustZone提供的隔离功能,可以在MCU上实现可信执行环境,关键代码与操作置于可信执行环境内,避免系统的关键资源因为应用软件可能带有的脆弱性而受到攻击。
关于V8M-TZ的具体细节,可以参考ARM相关的文档;STM32L5的TZ系统架构等可以参考STM32L5的参考手册,以及相关应用笔记。
AN5421:STM32L5系列微控制器和TrustZone®开发入门
AN5347:STM32L5 系列 TrustZone® 功能
Secure User Memory安全用户存储区
安全用户存储区是STM32 MCU内部Flash上的一块特殊存储区域,该区域在上电复位后可以访问,软件可以通设置寄存器打开对该区域的保护功能,一旦保护打开,该区域则变得完全不可访问,这种保护在整个Power Cycle都有效,直到下一次复位。受保护的安全存储区的大小位置可以通过芯片的Option Byte进行设置,属于静态设置,上电自动生效,不需要软件进行配置;保护的打开可以通过软件动态使能。安全存储区域的一个典型用法是将每次上电只运行一次的代码和数据放在该区域,例如安全启动的代码,一但跳转到应用程序区域,则安全启动代码以及该阶段使用的Flash上的数据(例如密钥)变得完全不可见,可以使得启动代码与应用程序完全隔离开,避免应用程序访问任何启动阶段使用的敏感代码与数据。这个功能可以用于实现DICE机制。
目前支持安全存储区功能的STM32产品系列包括G0,G4,H7,L5。
安全用户存储区的使用请参考芯片参考手册相关章节的描述
- STM32G0、G4:Embedded Flash memory (FLASH)章节有关Securable memory area的描述
- STM32L5: Embedded Flash memory (FLASH) 章节有关HDP(Hide Protect)的描述
- STM32H7: Embedded Flash memory (FLASH) 章节有关Secure access mode章节的描述。
1.4 启动入口限定
- 唯一启动地址功能可以用于安全启动的实现,保证每次启动时总是运行安全启动代码,安全启动代码对系统和后续代码的校验无法被绕过。唯一启动入口的实现在不同的STM32系列上不尽相同。
- STM32G0、G4系列具有Boot_Lock启动入口锁定功能,G0/G4设置Boot Lock+RDP1将使得芯片只能从用户Flash地址启动,且调试端口无法连接,类似于RDP2的效果;
- STM32L5也带有BootLock功能,一旦设置Boot Lock选项,则系统总是从SECBOOTADDR配置的安全区Flash地址启动,且该设置无法被取消;
- STM32H7带有Security安全功能的系列,当Security功能被使能的时候,系统将总是从RSS(Root Security Service)启动,配合安全用户存储区以及BOOTADDR配置,可以锁定用户代码总是从安全用户存储区的代码地址开始运行;
- STM32 F系列及L0、L4、WB系列可以通过设置RDP2确保每次启动总是从内部Flash地址开始执行
关于STM32的各个系列的启动模式,详见芯片参考手册相关章节的描述。
1.5 Anti-Tamper防篡改检测
Anti-Tamper的目的是检测电路板级别的物理攻击,并且在检测到入侵事件时自动清除敏感数据。Anti-Tamper包括静态检测和动态检测(STM32L5支持动态检测),配合电路板上的布线和开关一起使用,用于检查是否出现非法打开设备外壳的情况。静态检测针对防篡改引脚的电平或边沿变化,动态检测则使用成对的检测管脚,输出管脚会持续输出随机序列,输入管脚将检查收到的序列与输出的序列是否匹配,相比静态检测更难被绕过。除了防篡改引脚,异常检测的范围还包括对时钟频率,温度以及电压的监测,任何的异常都将自动引发(存储于后备域寄存器或RAM的)敏感数据的擦除,并触发相应的中断,由应用程序作进一步处理,例如保存异常检测事件,用作后续的审计等。
1.6 Crypto密码学单元
密码学相关的功能单元包括TRNG真随机数发生器,AES、CRYP加解密引擎,HASH加速器,PKA公钥算法加速器。
- TRNG模块在除F0,F1,F3,L1外的其他系列产品上都有支持,真随机数发生器能够产生符合随机性要求的随机数,作为密码学操作、加密通信等的基础;
- STM32 MCU中的对称密钥算法加速器硬件有两种,AES或者CRYP引擎,CRYP引擎包含AES及DES/TDES算法,除F0,F1,F3以外,其它的系列均带有AES或者CRPT引擎(具体请参见具体型号的相关文档),支持加解密、各种Chaining Mode以及秘钥派生等算法;
- HASH处理模块能够进行SHA-1,SHA-224,SHA-256以及HMAC操作,带有HASH硬件模块的系列包括F2,F4,F7,L4,L5,H7;
- PKA公钥算法加速器主要提供公钥算法(RSA,DH,ECC)相关的密码学运算功能,无需其它软硬件的参与额外的运算。PKA模块能够大幅度提高公钥算法相关密码学运算的速度,释放CPU的运算资源,并降低运算所需要的功耗。目前带有PKA公钥算法加速器的系列包括WB和L5。
密码学单元的具体使用方法,请参考芯片参考手册AES,CRYP,HASH,TRNG,PKA相关章节的描述。
2、STM32信息安全相关培训资源
线上课程培训
STM32信息安全
从智能锁谈STM32安全技术
线下技术培训资料
STM32软硬件安全技术培训
STM32加解密技术